一
什么是勒索病毒?
勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,进以加密硬盘上的关键文档(如ERP数据库文件)乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密。该病毒性质恶劣、危害极大,一旦感染将给企业用户带来无法估量的损失。
勒索病毒所产生的庞大收益令让黑客组织赚得盆满钵满。在利益驱使下,黑客组织不断采用尖端技术让勒索病毒变的越来越强大。直到2017年上半年,WannaCry(永恒之蓝)的爆发,很多中国企业用户才意识到勒索病毒的存在。WannaCry之后,Petya又再次在国外爆发,国内由于刚经历过WannaCry的洗礼,受到Petya攻击的用户并不多见。但之后的2-3个月,我们陆陆续续发现master、Sega2.0、arena开始有爆发的势头。
随着勒索攻击工具化程度越来越高,无数的勒索病毒在互联网中游荡,寻找着合适的目标。就像流感病毒入侵人体一样,感染的过程安静、缓慢,并不激烈…直到抵达临界点迅猛爆发,人体免疫系统已无力抵抗。目前,许多新式攻击媒介倾向与于缓慢低调,一般的网络防御手段在其面前如若无物。
美国联邦调查局报告称,每天有超过4,000起勒索软件攻击事件发生,而其他研究机构则表示,每天产生23万个新的恶意软件样本。
二
勒索病毒是怎么产生的?
自网络攻击产生以来,攻击范围和攻击领域不断拓展,从单个硬件设施、到单个行业领域、再到单个国家,逐渐拓展到全领域、跨行业、遍及全球,勒索病毒更是凸显了这一趋势。
目前已知最早的勒索病毒雏形诞生于1989年,该木马程序以“艾滋病信息引导盘”的形式进入系统,采用替换DOS系统文件的方式,实现开机记数。一旦系统启动次数达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密,从而导致系统无法启动。此时,屏幕显示信息,声称用户的软件许可已经过期,要求用户通过指定邮箱支付赎金以解锁系统。该病毒被称为艾滋病特洛伊木马或PC Cyborg病毒。
2006年出现的Redplus勒索木马是中国大陆首个勒索软件。该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。据国家计算机病毒应急处理中心统计,来自全国各地的该病毒及其变种的感染报告有581例。次年,出现的新型蠕虫病毒开始使用更复杂的RSA加密方案,同时密钥大小不断增加。
2013年,随着比特币市场的疯狂兴起,勒索赎金的支付方式也产生的很大变化。早期的勒索软件采用传统的邮寄方式接收赎金,会要求受害者向指定的邮箱邮寄一定数量的赎金,或者向指定号码发送可以产生高额费用的短信。直到比特币这种虚拟货币出现,为勒索软件提供了更为隐蔽的赎金获取方式。2013年以来,勒索软件逐渐采用了比特币为代表的虚拟货币支付方式,不可溯源的赎金渠道加速了勒索软件的泛滥。
经权威机构预测,2018年之后的勒索病毒的趋势分析如下:
1漏洞利用或成为勒索病毒新的传播方式
2017年几次大规模爆发的勒索病毒,主要是以钓鱼邮件为传播渠道。而随着网民安全意识的提高,钓鱼邮件传播成功率较之往年已出现降低趋势。而“漏洞利用”由于具有较强的自传播能力,能在短时间内大范围传播,在2018年或将更受“不法黑客”青睐。
2与安全软件的对抗将持续升级
随着安全软件对勒索病毒免疫能力的持续升级,安全软件对主流的勒索病毒逐渐形成多维度的防御。勒索病毒需不断进化并与安全软件的对抗,才能够提高感染成功率。这种对抗可能体现为“传播渠道的多样化”,也可能表现为“样本的免杀对抗”。
3攻击目标日益精准化
2017下半年勒索病毒的攻击目标出现明显的精准化趋势:拥有企业核心系统权限的企业人员,将成为主要的黑客攻击目标。因为该类目标用户往往掌握更多的关键数据,加密后也会更加倾向于支付解密赎金。
4勒索病毒呈现低成本,蹭热点特征
随着勒索病毒技术细节的公开,部分勒索软件代码被放在暗网上售卖,勒索病毒的制作成本持续降低。2017年有多个系列的勒索病毒持续活跃:一开始在小范围传播的勒索病毒(例如“希特勒”、“WannaSmile”等),为实现更大范围的传播,通常会借势节日热点和社会热点等,例如万圣节、圣诞节等。随着制作成本的降低,或将出现更多蹭热点的勒索病毒。
5国产勒索病毒开始活跃
对国内用户“量身打造”的国产勒索病毒,会非常“贴心”的使用全中文的勒索提示界面,个别会要求直接通过微信、支付宝来缴纳赎金。与其它语言版本的勒索病毒相比,国产勒索病毒中招者支付赎金的可能性更高。2017年出现的主要国产勒索病毒有“云龙”、“xiaoba”等,而2018年或将出现更多的国产勒索病毒。
三
勒索病毒的种类和传播方式
常见的勒索病毒有以下几类
1:文件加密勒索病毒
所有文件被加密(文件、图片、视频甚至是数据库),受感染的文件被加密后会被删除,用户通常会在文件夹中看到一个包含付款说明的文本文件。当用户尝试打开其中一个加密文件时,才可能会发现问题。最典型的案例就是WannaCry,该类型勒索病毒是目前最常见的勒索病毒。感染文件型勒索病毒后,病毒会更改系统桌面并展示勒索支付提示。
2:锁屏勒索病毒——WinLocker
WinLocker会锁定电脑屏幕并要求付款。它会呈现一个全屏图像并阻止所有其它窗口开启。幸运的是,这种类型的勒索病毒并不会加密用户的数据文件,数据有挽回的可能。
3:主引导记录(MBR)勒索病毒
主引导记录(MBR)是电脑硬盘驱动器的一部份,影响操作系统的启动功能。主引导记录勒索病毒会更改电脑的主引导记录,中断电脑的正常启动,然后在屏幕上显示要求赎金的内容,今年最流行的Petya就属于这类病毒。这类病毒不同于文件型勒索病毒,感染后病毒可能采用磁盘级加密技术覆写磁盘,数据基本无挽回可能。
4:网络服务器加密勒索病毒
这类病毒专门针对网络服务器上的文件进行加密。它通常使用内容管理系统中的已知漏洞,在网络服务上释放和安装勒索病毒,例如最近经常碰到的master勒索病毒。
5:移动设备勒索软件(安卓)
目前针对移动设备的勒索病毒主要存在于安卓系统上(iOS系统安全性要高一些,但也要注意及时升级),用户遭受感染的方式一般为下载、浏览不信任程序以及网站或伪装程序。
6:另类的勒索攻击——DDoS攻击
通过DDoS攻击来堵塞服务器通道。万幸的是这样的攻击不会影响到企业的数据安全。目前,国内市场中常常出现的DDoS一般分为四种:ARP攻击、ICMP攻击、TCP攻击、应用层攻击。DDoS攻击日渐猖獗,大量实践数据表明,DDoS特别青睐于安全管理等级不高的服务器。
勒索病毒的传播方式
在我们接到的案例中,勒索病毒主要的传播途径有以下几种:
1:网站挂马
用户浏览有安全威胁的网站,系统被植入木马感染ceber勒索病毒。
2:邮件传播
这种传播方式也是病毒界老套路的传播方式。病毒执行体附着于邮件附件的docx、XLS、TXT等文件中,攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件,一旦收件人打开邮件附件或者点击邮件中的链接地址,勒索软件会以用户看不见的形式在后台静默安装,实施勒索。
3:漏洞传播
这种传播方式是这几年非常流行的病毒传播方式。通过网络、系统、应用程序的漏洞攻击用户。例如今年在国内泛滥的WannaCry就是这样的典型:利用微软445端口协议漏洞,感染传播网内计算机。
4:捆绑传播
与其他恶意软件捆绑传播,这种传播方式这两年有所变化。有用户使用P2P下载例如Bt、迅雷、电驴等下载工具下载文件后,勒索病毒体同下载文件进行捆绑导致用户感染。
5:介质传播
可移动存储介质、本地和远程的驱动器以及网络共享传播、社交媒体传播。
四
勒索病毒威胁的解决方案
企业用户应该提升新兴威胁的对抗能力。传统的基于合规要求的防御体系,对于勒索软件等新兴威胁在发现、检测、处理上已经呈现出力不从心的状态。而通过对抗式演习,从安全技术、安全管理和安全运营等多个维度出发,对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验,可以持续提升企业对抗新兴威胁的能力。
根据勒索病毒普遍的攻击方式,我们提供以下建议
1:加强网络层防御
我们正在经历全球互联网化的浪潮,几乎所有的商业企业都已经接入互联网。企业的边界渐渐模糊,网络逐渐成为企业的虚拟边界。有效加强企业网络层的安全防御水平,对企业防止来自网络层的恶意攻击非常有必要。作为网络层防御的第一道卫士,我们建议:企业用户配备专业的网络安全设备(网络防火墙系统)。
2:加强应用系统防护
目前企业用户大量使用ERP、CRM、OA等管理软件,已经开始将交易、管理、运营的数据迁移至信息化系统之中,所以管理和业务软件的安全至关重要。
由于勒索病毒的泛滥,已经造成多起企业ERP系统被加密,企业业务无法正常开展的案例。防火墙由于防御颗粒度粗,在网络架构中位置偏低(网络层在应用层之下),难以防御针对应用层关键业务系统的攻击。另外,不同的管理和业务系统软件,因为其开发语言、开发过程、开发环境,以及其应用场景、应用过程、应用环境的不同,会有不同的安全隐患存在。企业用户需要进行有针对的威胁检测和威胁防护,并且部署专属的应用系统防御产品。我们建议:企业用户配备专属的应用安全设备(ERP安全防护系统)。
3:加强终端安全防御
勒索病毒的目的很简单:控制企业核心业务系统,掌握企业重要业务数据。只有这样,企业才能快速的支付“赎金”。业务实践和统计数据显示,95%以上针对企业用户的网络攻击,目标都是业务服务器和业务终端。但是,很多企业用户对核心业务系统基础设施(服务器和PC)防护意识薄弱,认为安装一款免费杀毒软件就能够“万事大吉”。对于终端防御来讲,查杀病毒只是一个环节,还需要科学的对“操作系统补丁、操作系统漏洞、高可持续攻击、0day攻击”进行系统的防御。我们建议:企业用户应该进行两方面的安全防御,服务器做好主机加固、终端安全管理、防病毒;PC:做好防病毒管理。
4:做好数据备份
数据备份是企业遭受到勒索病毒攻击后最后的补救措施。但是,新型勒索病毒越来越智能,会主动搜寻备份设备与备份软件,一旦发现备份系统将优先进行加密,实施勒索。我们遇到的案例中,企业ERP系统遭到勒索病毒的攻击,运行服务器、灾备服务器、备份服务器被一锅端,丢失长达6年的业务数据。我们建议:企业用户日常化关键数据备份工作。有条件的企业,建议做好异地备份,并通过网络隔离保障备份数据安全。
五
安全派企业信息安全联合实验室推荐的防御设备
企业信息安全建设是个系统性工程,针对日益猖獗的勒索病毒必须多管齐下,系统性建设防御体系才能更有功效的预防勒索病毒的攻击。为此,企业信息安全联合实验室向企业用户推荐一个勒索病毒防御解决方案(三款组件),同时在网络层、应用层、终端层布防,构建企业可信环境:
网络层防御建议购买的安全产品
360网神下一代智慧防火墙(联合实验室专版)
推荐理由:为企业用户提供最基础的网络防御
推荐指数:★★★★★
价值1:针对用友ERP进行优化
能够识别用友ERP协议特征,针对用友各款ERP产品定制专属的安全防御模板,在不影响防护能力的基础上,最大限度保障ERP系统效率。
价值2:共享威胁情报,借助AI技术建立的智慧防御体系
与全球威胁情报中心共享威胁情报,辅助以人工智能分析技术,根据不同用户的网络状况、安全状况自主学习,建立智慧的防御体系。
价值3:“失陷”主机查杀
智慧防火墙会与终端安全管理天擎联动,不断的在企业内部扫描服务器与终端设备,一旦发现被病毒、木马劫持的服务器与终端设备,可以及时处置,提高企业防御的反引力,保障数据安全。
应用层防御建议购买的安全产品
ERP安全防御系统
推荐理由:用友ERP超级防御堡垒,解决90%+针对ERP服务器的攻击
推荐指数:★★★★★
价值1:为用友ERP量身打造的应用防御系统
弥补传统防火墙、Web防火墙等针对应用层管理软件系统防御不足的问题,防御各种针对用友ERP的网络攻击;业内领先的机器学习技术,能够智慧的学习企业的数据流向,为用友ERP提供更安全的保护。
价值2:业内领先的防御技术
业界领先的“旁路阻断”技术,能够在不影响业务访问ERP系统的前提下,最大限度的为ERP系统提供安全防御。
价值3:与360共享威胁情报
与全球威胁情报中心共享威胁情报,为企业用户提供业内领先的应用层安全防御。
终端防御建议购买的安全产品
360天擎终端安全管理系统(联合实验室专版)
推荐理由:领先和强大的防病毒系统和服务器加固系统(防病毒+主机加固)
推荐指数:★★★★★
价值1:拥有东半球最强大的杀毒引擎
8亿PC端用户、6亿移动端用户构建了东半球最强大的病毒样板采集体系,拥有世界级的网络病毒研究、防御、查杀能力。
价值2:在服务器上对用友ERP程序进行防护
能够保护服务器上的用友ERP安装文件、ERP注册表、ERP数据库,防止由于遭到攻击而造成的数据丢失。
价值3:对服务器操作系统进行加固
能够对服务器操作系统内核提供安全防御,通过内核级加固、强制访问控制、应用自保护等提高操作系统对抗黑客攻击及恶意代码的能力,有效检测及拦截已知和未知安全威胁,全方位保障服务器操作系统、业务系统和数据内容的安全。