应急响应-勒索病毒概述
勒索病毒简介
- 勒索病毒是伴随数字货币兴起的一种新型病毒木马,机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且受害者无法读取原本正常的文件,从而造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件。绝大多数勒索病毒均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。攻击者正是通过这样的行为向受害者勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
常见的勒索病毒
- 自2017年“永痕之蓝”勒索事件之后,勒索病毒愈演愈烈,不同类型的变种勒索病毒层出不穷。勒索病毒的传播以传播方法快、目的性强著称,传播多利用“永痕之蓝”漏洞、暴力破解、钓鱼邮件、捆绑软件等方法。同时勒索病毒文件一旦被受害者打开,进入本地,就会自动运行,同时删除勒索病毒样本,以躲避查杀和分析。所以,加强常见勒索病毒认知至关重要。若在工作中发现存在以下特征的文件,则要务必谨慎。
WannaCry勒索病毒
- 2017年5月12日,Wannary勒索病毒全球大爆发,至少150个国家、30万用户“中招”,造成巨大损失。WannaCry勒索病毒通过MS17-010漏洞在全球范围传播,感染了大量的计算机。改病毒感染计算机后会向计算机植入敲诈者病毒,导致计算机大量文件被加密。受害者计算机被攻击者锁定后,病毒会提示需要支付相应赎金方可解密。WannaCry勒索病毒的勒索信如图所示。
- 常见后缀:wncry
- 传播方法:“永痕之蓝”漏洞
- 特征:启动时会连接一个不存在的URL(Uniform Resource Locator,统一资源定位符);创建系统服务mssecvc2.0;释放路径为Windows目录。
GlobeImposter勒索病毒
- GlobeImposter勒索病毒于2017年5月首次出现,主要通过钓鱼邮件进行传播。2018年8月21日起,多地发生GlobeImposter勒索病毒事件,攻击目标主要是开启远程桌面服务的服务器,攻击者暴力破解服务器密码,对内外服务器发起扫描并人工投放勒索病毒,导致文件被加密,暂时无法解密。GlobeImposter勒索病毒的勒索信如图所示。
-
- 常见后缀:auchetoshan、动物名+444等。
- 传播方法:RDP暴力破解、钓鱼邮件、捆绑软件等。
- 特征:释放在%appdata%或%localappdata%。
-
Crysis/Dharma勒索病毒
- Crysis/Dharma勒索病毒最早出现在2016年,在2017年后5月其万能密钥被公布之后,消失了一段时间,但在2017年6月后开始继续更新。攻击方法同样是利用远程RDP暴力破解的方法植入到服务器进行攻击。由于Crysis采用AES+RSA的加密方法,因此最新版本无法解密。Crysis/Dharma勒索病毒的了勒索信如图所示。
- 常见后缀:【id】+ 勒索邮箱+特殊后缀。
- 传播方法:RDP暴力破解。
- 特征:勒索信任伪造在startup目录,样本位置在%windir%\system32、startup目录、%appdata%目录。
GandCrad勒索病毒
- GandCrad勒索病毒于2018年年初面试,仅半年的时间,就连续出现V1.0、V2.0、V3.0、V4.0等变种。病毒采用Salsa20和RSA-2048算法对文件进行加密,并将感染主机桌面背景替换为勒索信息图片。在2019年6月,GandCrad勒索病毒团队发布声明,他们已经通过勒索病毒赚取了20多亿美元,将停止更新GandCrad勒索病毒。GandCrad勒索病毒的勒索信如下。
- 常见后缀:随机生成。
- 传播方法:RDP暴力破解、钓鱼邮件、捆绑软件、僵尸网络、漏洞传播等。
- 特征:样本执行完毕后自动删除,并会修改感染主机桌面背景,有后缀MANU.txtDECRYPY.txt.
Satan勒索病毒
- Satan勒索病毒首次出现于2017年1月,可以对Windows和Linux双平台系统进行攻击。最新版本攻击成功后,会加密文件并修改文件后缀为evopro。除了通过RDP暴力破解,一般还通过多个漏洞传播。Satan勒索病毒的勒索信如图所示。
- 常见后缀:evopro、sick等。
- 传播方法:“永痕之蓝漏洞”、RDP暴力破解、JBoss系列漏洞、Tomcat系列漏洞、WebLogic组件漏洞等。
- 特征:最新变种暂时无法解密,以前的变种可解密。
Sacrab勒索病毒
- Sacrab勒索病毒于2017年6月首次发现,此后,有多个版本的变种陆续产生并发现。最流行的一个版本是通过Necurs僵尸网络进行分发,使用Visual C语言编写而成的,又于2017年12月发现变种Sacrabey,其分发方法和其他变种不同,并且它的有效载荷代码也不同。Sacrab勒索病毒的勒索信如图所示。
- 常见后缀:krad、sacrab、bomber、carsh等
- 传播方法:Necurs僵尸网络、RDP暴力破解、钓鱼邮件等。
- 特征:样本释放位置在%appdata%\roaming。
Matrix勒索病毒
- Matrix勒索病毒是目前位置变种最多的一种勒索病毒,该勒索病毒主要通过入侵远程桌面进行感染安装,攻击者通过暴力枚举直接连入公网的远程桌面服务,从而入侵服务器,获取权限后便会上传勒索病毒进行感染。勒索病毒启动后或显示感染进度等信息,在过滤部分系统可执行文件类型和系统关键目录后,对其文件进行加密。Matrix勒索病毒的勒索信如图所示。
- 常见后缀:grhan、prcp、spec、pedant等。
- 传播方法:RDP暴力破解。
Stop勒索病毒
- Stop勒索病毒最早出现在2018年2月,从8月开始在全球范围活跃,主要通过钓友邮件、捆绑软件、RDP暴力破解进行传播,有些特殊变种还会释放远控木马。与Matrix勒索病毒类似,Stop勒索病毒也是一个多变种的勒索木马,截至目前变种多达160余种。Stop勒索病毒的勒索信如图所示。
- 常见后缀:tro、djvu、puma、pumas、pumax、djvnq等
- 传播方法:钓鱼邮件、捆绑软件和RDP暴力破解。
- 特征:样本释放位置在%appdata%\local\<随机名称>,可能会执行计划任务。
Paradis勒索病毒
- Paradis勒索病毒最早出现在2018年7月,最初版本会附加一个超长后缀到原文件名末尾。在每个包含加密文件的文件夹中都会生成一封勒索信,早期Paradis勒索病毒的勒索信如图所示。
- Paradise 勒索病毒后续的活跃变种版本采用了Crysis/Dharma勒索信样式,如图所示。
- 常见后缀:文件名_%ID字符串%_{勒索邮箱}.特定后缀。
- 特征:将勒索弹窗和自身释放到startup启动目录。
其他勒索病毒
| 7ev3n |
CryptoJoker |
Kriptovo |
RemindM |
| 8lock8 |
CryptoMix |
KryptoLocker |
Rokku |
| Alpha |
CryptoTorLocker |
LeChiffre |
Samas |
| AutoLocky |
CryptoWall |
Locky |
Sanction |
| BitCryptor |
Crypt×× |
Lortok |
Shade |
| BitMessage |
CTB-Locker |
Magic |
Shujin |
| Booyah |
ECLR |
DMA |
MireWare |
| Brazilian |
EnCiPhErEd |
RansomWare |
Surprise |
| BuyUnlockCode |
Enigma |
Mischa |
TeslaCrypt |
| Cerber |
GhostCrypt |
Mobef |
TrueCrypter |
| Chimera |
GNL |
NanoLocker |
Nemucod |
| CoinVault |
Hi |
Buddy |
Nemucod-7z |
| Coverton |
HydraCrypt |
OMG |
RansomCrypt |
| Crypren |
Jigsaw |
PadCrypt |
WonderCrypter |
| Crypt0L0cker |
JobCrypter |
PClock |
Xort |
| CryptoDefense |
KeRanger |
PowerWare |
XTBL |
| CryptoFortress |
KEYHolder |
Protected |
SuperCrypt |
| CryptoHasYou |
Locker |
SNSLocker |
UmbreCrypt |
| CryptoHitman |
VaultCrypt |
Virlocker |
|
| Maktub |
KimcilWare |
Radamant |
勒索病毒利用的常见漏洞
- 表中是已知的被勒索病毒利用的常见漏洞,可以看出攻击者会使用常见的中间件漏洞及弱密码暴力破解进行攻击,因此安全管理人员在日常应关注补丁更新信息,设置的登录密码应采用大小写字母、数字、特殊符号混合的组合结合,且密码位数要足够长(15位、两种组合以上),并且定期进行更新
| RDP 协议弱密码暴力破解 |
Windows SMB 远程代码执行漏洞 MS17-010 |
| Win32k 提权漏洞 CVE-2018-8120 |
JBoss 默认配置漏洞 CVE-2010-0738 |
| Windows ALPC 提权漏洞 CVE-2018-8440 |
JBoss 反序列化漏洞 CVE-2013-4810 |
| Windows 内核信息泄露 CVE-2018-0896 |
JBoss 反序列化漏洞 CVE-2017-12149 |
| WebLogic 反序列化漏洞 CVE-2017-3248 |
Tomcat Web 管理后台弱密码暴力破解 |
| WebLogicWLS 组件漏洞 CVE-2017-10271 |
Spring Data Commons 远程命令执行漏洞 CVE-2018-1273 |
| Apache Struts2 远程代码执行漏洞 S2-057 |
WinRAR 代码执行漏洞 CVE-2018-20250 |
| Apache Struts2 远程代码执行漏洞 S2-045 |
Nexus Repository Manager 3 远 程 代 码 执 行 漏 洞CVE-2019-7238 |
勒索病毒的解密方法
| 解密方法 |
难度系数 |
| 入侵攻击者的服务器,获取非对称加密的私钥,用非对称加密的私钥解密经过非对称加密公钥加密后的对称加密密钥,进而解密文件数据 |
高 |
| 勒索病毒加密算法设计存在问题,如 2018 年年底的“微信支付”勒索病毒,加密密钥存放在了本地,故很快被破解 |
高 |
| 暴力破解私钥 |
高 |
| 支付赎金,下载特定的解密器 |
中 |
- 对于不可解密的勒索病毒,常规的解密方法主要为支付赎金,通过支付赎金获取解密工具,使用解密工具进行解密。
- 目前,最常见的可解密家族类型如表所示。
| 777Ransom |
AES_NIRansom |
Agent.iihRansom |
| AlcatrazRansom |
AlphaRansom |
AmnesiaRansom |
| Amnesia2Ransom |
AnnabelleRansom |
AuraRansom |
| AuroraRansom |
AutoItRansom |
AutoLockyRansom |
| AvestRansom |
BTCWareRansom |
BadBlockRansom |
| BarRaxRansom |
BartRansom |
BigBobRossRansom |
| BitcryptorRansom |
CERBER v1Ransom |
ChimeraRansom |
| CoinvaultRansom |
Cry128Ransom |
Cry9Ransom |
| CrySISRansom |
CryaklRansom |
CrybolaRansom |
| Crypt888Ransom |
CryptONRansom |
Crypt××V1 Ransom |
| Crypt××V2 Ransom |
Crypt××V3 Ransom |
Crypt××V4 Ransom |
| Crypt××V5 Ransom |
CryptoMixRansom |
CryptokluchenRansom |
| DXXDRansom |
DamageRansom |
DemocryRansom |
| DerialockRansom |
DharmaRansom |
EncrypTileRansom |
| Everbe1.0 Ransom |
FenixLockerRansom |
FilesLockerV1 and V2 Ransom |
| FortuneCryptRansom |
FuryRansom |
GalactiCryperRansom |
| GandCrab(V1,V4 and V5 up to V5.2 versions Ransom) |
GetCryptRansom |
GlobeRansom |
勒索病毒的传播方法
服务器入侵传播
- 攻击者可通过系统或软件漏洞等方法入侵服务器,或通过RDP弱密码暴力破解远程登录服务器。一旦入侵成功,攻击者就可以在服务器上为所欲为,如,可卸载服务器上的安全软件并手动运行勒索病毒。这种传播方法,安全软件一般很难起作用。
- 目前,管理员账号、密码被破解是服务器入侵的主要原因。如,攻击者通过暴力破解使用弱密码的账号入侵服务器,或者利用病毒、木马潜伏在管理员计算机中盗取密码,甚至可从其他渠道直接购买账号、密码来入侵服务器。
利用漏洞自动传播
- 勒索病毒可通过系统自身漏洞进行传播扩散,如WannaCry勒索病毒就是利用“永痕之蓝”漏洞进行传播的。此类勒索病毒在破坏功能上与传统勒索病毒无异,都是通过加密用户文件来获得勒索赎金的,但因传播方法不同,所以更难防防范,需要用户提高安全意识,及时更新有漏洞的软件或安装对应的安全补丁。
软件供应链传播
- 软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查,达到非法目的的攻击。
- Fireball、暗云III、类Petya、异鬼II、Kuzzle、XshellGhost、CCleaner等后门事件均属于软件供应链攻击传播。在乌克兰爆发的类Petya勒索病毒事件也属于案例之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中并进行传播。
邮件附件传播
- 通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中类带含有恶意代码的脚本文件,一旦用户打开邮件附件,便会执行其中的脚本,释放勒索病毒。这类传播方法针对性较强,主要瞄准机构、企业,攻击的计算机往往存储的不是个人文档,而是机构、企业的办公文档。最终目的是破坏机构、企业的业务运转,迫使其为了止损而不得不支付交付赎金
利用挂马网页传播
- 攻击者入侵主流网站的服务器,在正常网页中植入木马,访问者在浏览页面时,其利用IE或Flash等软件漏洞进行攻击。这类勒索病毒属于撒网抓鱼式的传播,没有针对性,“中招”的受害者多数为“裸奔”用户,未安装任何杀毒软件。
勒索病毒的攻击特点
无C2服务器加密技术流行
- 攻击者在对文件加密的过程中,一般不再使用C2服务器,也就是说现在的勒索病毒在加密时不需要回传私钥。
- 攻击者对文件加密的过程中,一般不再使用C2服务器,也就是说现在的勒索病毒在加密时不需要回传私钥。
-
- 在加密前随机生成新的加密秘钥对非对称(公、私钥);
- 使用新生成的公钥对文件进行加密;
- 采用攻击者预埋的公钥把新生成的私钥进行加密,保存在一个ID文件中或嵌入加密文件。
- 无C2服务器加密技术的解密过程大致如下:
-
- 通过邮件或在线提交的方法,提交ID串或加密文件中的加密私钥(一般攻击者会提供工具提取该私钥);
- 攻击者使用保留的与预埋公钥对应的私钥解密受害者提交过来的私钥;
- 把解密私钥或解密工具交付给受害者进行解密。
- 通过以上过程可以实现每个受害者的解密私钥都不同,同事避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至在隔离网环境下依然可以对文件和数据进行加密。显然,这种技术是针对采用了各种隔离措施的机构、企业设计的。
勒索病毒平台化运营更加成熟
- 从2017年开始勒索病毒已经不再是攻击者单打独斗的产物,而是形成了平台化的成熟服务,甚至形成了一个完整的产业链条。在勒索病毒服务平台上,勒索病毒的核心技术已经直接打包封装好,攻击者直接购买调用其服务,即可得到一个完整的勒索病毒。这种勒索病毒的生成模式称为RaaS服务,而黑市中一般用Satan Ransomware(撒旦勒索病毒)来指代由RaaS服务生成的勒索病毒。发展到2020年,整个产业链日渐完善,产业链包括专业开发人员、售卖商、分发机构、代支付机构、解密机构等多个环节,使得勒索门槛大幅减低,哥大黑产团伙都有其靠拢的趋势。
勒索病毒攻击的定型化、高级化
- 从2019年开始,勒索病毒定制化攻击明显,如BitPaymer定向攻击了金融、农业、科技和工控等多个领域,主要攻击各个行业的供应链解决方案提供商,并且提供定制化的勒索信息。同时,攻击手法APT化,例如,挪威铝业公司Norsk Hydro遭遇的勒索攻击,是因为以为员工不止不觉中打开了一封来自受信任客户的电子邮件,导致后门程序的执行,后续采用横向移动或域渗透等APT攻击手法使得攻击者成功控制了数千台主机,最后植入LockerGoga勒索病毒。在以往的由勒索病毒发起的钓鱼攻击中从来没有出现过来自受信任客户的恶意邮件,而这种攻击方法在APT攻击中普遍使用。
漏洞利用频率更高、攻击平台更多
- 从2019年开始,勒索病毒除了采用众多web服务漏洞进行传播,还在其他阶段使用漏洞进行攻击,如Sodinokibi在执行过程中会使用内核提权漏洞进行权限提升。与此同时,使用漏洞针对Linux和MacOS服务器的勒索也在真假。
攻击的多样化
- 顾名思义,勒索病毒开发的目的就是要勒索钱财。而如今,使用勒索病毒发起攻击的目的更加的多样化。以网络破坏、组织破坏为目的的勒索病毒从2017年开始流行。例如,类Petya勒索病毒,其攻击的目的不是为了向受害者勒索钱财,而是为了摧毁一切。2019年下半年,以MAZE(迷宫)勒索为首的各大勒索家族掀起一股“窃密”潮,以往受害者只需要担心如果恢复被加密后的文件即可,而现在当文件被窃取后,受害者还需要担心被窃取的文件是否泄露给了公众,这种心理犹如催化剂,缩短了受害者支付赎金的时间。
勒索病毒的防御方法
个人终端防御技术
文档自动备份隔离
- 文档自动备份隔离技术是奇安信提出的一种勒索病毒防御技术。该技术在未来一两年内或成为安全软件反勒索技术的标配。鉴于勒索病毒一旦攻击成功,被攻击的文件往往难以修复,且勒索病毒具有变种多、更新快、大量采用免杀技术等特点,因此,单纯防范勒索病毒感染并不是“万全之策”。但是,无论勒索病毒采用何种具体技术,无论是哪一家族的哪一变种,其一个基本的共同特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征,通过监测系统中是否存在文档篡改行为,并对可能被篡改的文档加以必要的保护,就可以在相当程度上帮助用户挽回勒索病毒攻击的损失。
- 文档自动备份隔离技术就是这一技术思想的具体实现,奇安信将其应用于文档卫士功能模块中。只要计算机中的文档出现被篡改的情况,该功能模块就会第一时间把文档自动备份在隔离区并保护起来,用户可以随时恢复文件。无论病毒如何变化,只要它有篡改用户文档的行为,就会触发文档自动备份隔离,从而使用户可以免遭勒索,不用支付赎金也能恢复文件。
- 文档卫士的自动备份触发条件主要包括两点:第一,开机后第一次修改文档;第二,有可疑程序篡改文档。当出现上述两种情况时,文档卫士会默认备份包括Word、Excel、PowerPoint、PDF 等格式在内的文件,并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式,如用户计算机中的照片非常重要,就可以将 JPG 等图片格式加入保护范围。
- 此外,文档卫士还集合了“文件解密”功能,安全专家可对一些勒索病毒家族进行逆向分析,实现多种类型的文件解密,如 2017 年出现的“纵情文件修复敲诈者病毒”等。若用户的计算机不慎“中招”,则可尝试通过“文档解密”功能一键扫描并恢复被加密的文件。
综合性反勒索病毒技术
- 与一般的病毒和木马相比,勒索病毒的代码特征和攻击行为都有很大不同,采用任何单一防范技术都是不可靠的。因此,综合运用各种新型安全技术来防范勒索病毒攻击,已经成为趋势,如可使用智能诱捕、行为追踪、智能文件格式分析、数据流分析技术等。
- 智能诱捕技术是捕获勒索病毒的利器,具体方法是:防护软件在计算机系统的各处设置陷阱文件;当有病毒试图加密文件时,就会首先命中设置的陷阱,从而暴露其攻击行为。这样,安全软件就可以快速无损地发现各类试图加密或破坏文件的恶意程序。
- 行为追踪技术是云安全与大数据技术综合运用的一种安全技术。基于奇安信的云安全主动防御体系,通过对程序行为的多维度智能分析,安全软件可以对可疑的文件操作进行备份或内容检测,一旦发现恶意修改,就立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击,能够主动防御新出现的勒索病毒。
- 智能文件格式分析技术是一种防护加速技术,目的是尽可能地降低反勒索功能对用户体验造成的影响。实际上,几乎所有的反勒索技术都会或多或少地增加安全软件和计算机系统的负担,相关技术是否实用的关键就在于其是否能够尽可能地降低对系统性能的影响,提升用户体验。奇安信研发的智能文件格式分析技术,可以快速识别数十种常用文档格式,精准识别对文件内容的破坏性操作,且基本不会影响正常文件操作,在确保数据安全的同时又不影响用户体验。
- 数据流分析技术是一种将人工智能技术与安全防护技术结合使用的新型文档安全保护技术。首先,基于机器学习的方法,我们可以在计算机内部的数据流层面,分析出勒索病毒对文档的读/写操作与正常使用文档情况下的读/写操作的区别,而这些区别可以用于识别勒索病毒的攻击行为,从而可以在“第一现场”捕获和过滤勒索病毒,避免勒索病毒的读/写操作实际作用于相关文档,从而实现文档的有效保护。
企业级终端防御技术
云端免疫技术
- 在机构、企业中,系统未打补丁或补丁更新不及时的情况普遍存在。这并非是简单的安全意识问题,而是由于多种客观因素限制了机构、企业对系统设备进行补丁管理。因此,对无补丁系统或补丁更新较慢的系统的安全防护需求,就成为一种“强需求”。而云端免疫技术就是解决此类问题的有效方法之一。
- 所谓云端免疫,实际上就是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户进行防护或打补丁。对于无法打补丁的计算机终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵。除此之外,在云端还可以直接升级本地的免疫库或免疫工具,保护用户的计算机安全。
- 需要说明的是,云端免疫技术只是一种折中的解决方案,并不是万能的或一劳永逸的,未打补丁的系统的安全性仍然比打了补丁的系统的安全性弱。但就当前国内众多机构、企业的实际网络环境而言,云端免疫不失为一种相对有效的解决方案。
密码保护技术
- 针对中小企业网络服务器实施攻击是 2017 年勒索病毒攻击的一大特点。而攻击者之所以能够渗透到企业服务器内部,绝大多数情况是因为管理员设置的密码为弱密码或账号、密码被盗。因此,加强登录密码的安全管理也是一种必要的反勒索技术。
- 具体来看,加强密码保护主要应从三方面入手:一是采用弱密码检验技术,强制管理员使用复杂密码;二是采用反暴力破解技术,对于陌生 IP 地址用户的登录位置和登录次数进行严格控制;三是采用 VPN 或双因子认证技术,从而使攻击者即便盗取了管理员账号、密码,也无法轻易登录企业服务器。