2019年全球十大流行勒索病毒 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-12-08 瀏覽次數(shù): |
信息來源:FreeBuf 2019年應(yīng)該是勒索病毒針對(duì)企業(yè)攻擊爆發(fā)的一年,這一年全球各地仿佛都在被“勒索”,每天全球各地都有不同的政府、企業(yè)、組織機(jī)構(gòu)被勒索病毒攻擊的新聞被曝光,勒索病毒已經(jīng)成為了網(wǎng)絡(luò)安全最大的威脅,利用勒索病毒進(jìn)行攻擊的網(wǎng)絡(luò)犯罪活動(dòng)也是全球危害最大的網(wǎng)絡(luò)犯罪組織活動(dòng),勒索病毒成為了地下黑客論壇最流行、討論最熱門的惡意軟件,下面我們來盤點(diǎn)一下2019年全球十大流行勒索病毒家族。 一、STOP勒索病毒 STOP勒索病毒最早出現(xiàn)在2018年2月份左右,從2018年8月份開始在全球范圍內(nèi)活躍,主要通過捆綁其它破解軟件、廣告類軟件包等渠道進(jìn)行感染傳播,最近一兩年STOP勒索病毒捆綁過KMS激活工具進(jìn)行傳播,甚至還捆綁過其他防毒軟件,到目前為止,此勒索病毒一共有160多個(gè)變種,雖然此前Emsisoft公司已經(jīng)發(fā)布過它的解密工具,可以解密140多個(gè)變種,但最新的一批STOP勒索病毒仍然無法解密,此勒索病毒加密后的文件,如下所示: 勒索提示信息,如下所示: 二、GandCrab勒索病毒 GandCrab勒索病毒于2018年1月首次被觀察到感染了韓國公司,隨后GandCrab在全球迅速擴(kuò)大,包括2018年初的美國受害者,至少8個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門受到此勒索病毒的影響,GandCrab也迅速成為最流行的勒索病毒,估計(jì)到2018年中期該勒索病毒已經(jīng)占據(jù)勒索軟件市場份額的50%,專家估計(jì)GandCrab在全球范圍內(nèi)感染了超過500,000名受害者,造成超過3億美元的損失,GandCrab使用勒索軟件即服務(wù)(RaaS)商業(yè)模式運(yùn)營,通過將惡意軟件分發(fā)給購買勒索病毒服務(wù)的合作伙伴,以換取40%的贖金,從2018年1月到2019年6月,此勒索病毒多現(xiàn)了多個(gè)不同的變種版本,2019年1月,此勒索病毒GandCrab5.1變種版本開始在全球流行,直到2019年6月1日,GandCrab勒索病毒運(yùn)營團(tuán)隊(duì)宣布關(guān)閉他們的網(wǎng)站,并聲稱他們已經(jīng)賺了20億美元贖金,兩周之后,Bitdefender與歐州刑警組織、聯(lián)幫調(diào)查局、眾多執(zhí)法部門以及NoMoreRansom機(jī)構(gòu)合作,發(fā)布了GandCrab勒索病毒的解密工具,可以適用于GandCrab1.0、4.0、5、5.2等版本,此勒索病毒的故事就此結(jié)束,加密后的文件,如下所示: 勒索提示信息,如下所示: 最近半年確實(shí)沒有發(fā)現(xiàn)這款勒索病毒的最新變種了,取而代之的是另一款新型的勒索病毒REvil/Sodinokibi,而且這款勒索病毒全版本的解密工具也已經(jīng)公布了 三、REvil/Sodinokibi勒索病毒 Sodinokibi勒索病毒(也稱REvil),2019年5月24日首次在意大利被發(fā)現(xiàn),在意大利被發(fā)現(xiàn)使用RDP攻擊的方式進(jìn)行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在短短幾個(gè)月的時(shí)間內(nèi),已經(jīng)在全球大范圍傳播,這款勒索病毒與GandCrab勒索軟件存在很多關(guān)聯(lián),國外安全研究人員此前已發(fā)布了多篇關(guān)于這兩款勒索病毒關(guān)聯(lián)信息的相關(guān)的報(bào)道,Sodinokibi勒索病毒也是一種勒索即服務(wù)(RAAS)的模式進(jìn)行分發(fā)和營銷的,并采用了一些免殺技術(shù)避免安全軟件檢測到,主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網(wǎng)絡(luò)釣魚郵件、RDP端口、漏洞利用工具包以及攻擊一些托管服務(wù)提供商MSP等方式發(fā)起攻擊,此勒索病毒加密后的文件,如下所示: 勒索提示信息,如下所示: 四、Globelmposter勒索病毒 Globelmposter勒索病毒首次出現(xiàn)是在2017年5月份,主要通過釣魚郵件進(jìn)行傳播,2018年2月國內(nèi)各大醫(yī)院爆發(fā)Globelmposter變種樣本2.0版本,通過溯源分析發(fā)現(xiàn)此勒索病毒可能是通過RDP爆破、社會(huì)工程等方式進(jìn)行傳播,此勒索病毒采用RSA2048加密算法,導(dǎo)致加密后的文件無法解密,在隨后的一年多的時(shí)間里,這款勒索病毒不斷變種,2018年8月份出現(xiàn)了此勒索病毒的“十二生肖”版,2019年7月出現(xiàn)了此勒索病毒的“十二主神”版,兩大版相差正好一年的時(shí)間,“十二主神”版后面又出現(xiàn)了一些小的版本變化,主要是加密后的文件后綴出現(xiàn)了一些微小的變化,此勒索病毒加密后的文件,如下所示: 勒索提示信息,如下所示: 五、CrySiS/Dharma勒索病毒 CrySiS勒索病毒,又稱Dharma,首次出現(xiàn)是在2016年,2017年5月此勒索病毒萬能密鑰被公布之后,之前的樣本可以解密,導(dǎo)致此勒索病毒曾消失了一段時(shí)間,不過隨后又馬上出現(xiàn)了它的一款最新的變種樣本,加密后綴為java,通過RDP暴力破解的方式進(jìn)入受害者服務(wù)器進(jìn)行加密勒索,此勒索病毒加密算法采用AES+RSA方式進(jìn)行加密,導(dǎo)致加密后的文件無法解密,在最近一年的時(shí)間里,這款勒索病毒異?;钴S,變種已經(jīng)達(dá)到一百多個(gè),此勒索病毒加密后的文件,如下所示: 勒索提示信息,如下所示: 六、Phobos勒索病毒 Phobos勒索病毒在2019年非?;钴S,此勒索病毒首次出現(xiàn)是在2018年12月,國外安全研究人員當(dāng)時(shí)發(fā)現(xiàn)了一種新型勒索病毒,加密后的文件后綴名為Phobos,這款新型的勒索病毒與CrySiS(Dharma)勒索病毒有很多相似之處,同樣使用RDP暴力破解的方式進(jìn)傳播,兩者使用了非常相似的勒索提示信息,所以很容易搞混淆,想要確認(rèn)是哪個(gè)家族的勒索病毒,最好的方式就是捕獲到相應(yīng)的樣本,然后通過人工分析進(jìn)行確認(rèn),單純的通過勒索提示信息,很難辨別,兩款勒索病毒背后是否是相同的黑客團(tuán)伙在運(yùn)營,需要捕獲到更多的證據(jù),此勒索病毒加密后的文件,如下所示: 勒索提示信息,如下所示: 七、Ryuk勒索病毒 Ryuk勒索病毒最早于2018年8月被首次發(fā)現(xiàn),它是由俄羅斯黑客團(tuán)伙GrimSpider幕后操作運(yùn)營,GrimSpider是一個(gè)網(wǎng)絡(luò)犯罪集團(tuán),使用Ryuk勒索軟件對(duì)大型企業(yè)及組織進(jìn)行針對(duì)性攻擊,C.R.A.M. TG Soft(反惡意軟件研究中心)發(fā)現(xiàn)Ryuk勒索軟件主要是通過網(wǎng)絡(luò)攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進(jìn)行傳播,Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網(wǎng)站登錄憑據(jù),同時(shí)充當(dāng)下載器功能,提供下載其它勒索病毒服務(wù),為啥Emotet和TrickBot銀行木馬會(huì)傳播Ryuk勒索病毒,因?yàn)門rickBot銀行木馬傳播渠道的運(yùn)營者是俄羅斯黑客團(tuán)伙WIZARD SPIDER,GRIM SPIDER是俄羅斯黑客團(tuán)伙WIZARD SPIDER的部門之一,此勒索病毒加密后的文件,如下所示: 勒索提示信息,如下所示: 八、Maze(迷宮)勒索病毒 Maze(迷宮)勒索病毒,又稱Chacha勒索病毒,最早于2019年5月份由Malwarebytes安全研究員首次發(fā)現(xiàn),此勒索病毒主要使用各種漏洞利用工具包Fallout、Spelevo,偽裝成合法加密貨幣交換應(yīng)用程序的假冒站點(diǎn)或掛馬網(wǎng)站等方式進(jìn)行分發(fā)傳播,最近的一段時(shí)間里,Proofpoint的安全研究人員發(fā)現(xiàn)一個(gè)新型的黑客組織TA2101,通過垃圾郵件的方式對(duì)德國、意大利、美國發(fā)起網(wǎng)絡(luò)攻擊,傳播Maze(迷宮)勒索病毒,此勒索病毒加密后的文件,如下所示: 勒索提示信息,如下所示: 九、Buran勒索病毒 Buran勒索病毒首次出現(xiàn)在2019年5月,是一款新型的基于RaaS模式進(jìn)行傳播的新型勒索病毒,在一個(gè)著名的俄羅斯論壇中進(jìn)行銷售,與其他基于RaaS勒索病毒(如GandCrab)獲得30%-40%的收入不同,Buran勒索病毒的作者僅占感染產(chǎn)生的25%的收入,安全研究人員認(rèn)為Buran是Jumper勒索病毒的變種樣本,同時(shí)VegaLocker勒索病毒是該家族最初的起源,由于其豐厚的利潤,使其迅速開始在全球范圍內(nèi)傳播感染,Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包進(jìn)行傳播,其利用了Internet Explorer的一個(gè)比較嚴(yán)重的漏洞CVE-2018-8174,近期發(fā)現(xiàn)此勒索病毒利用IQY(Microsoft Excel Web查詢文件)進(jìn)行傳播,此勒索病毒加密后的文件,如下所示: 勒索病毒信息,如下所示: 十、MegaCortex勒索病毒 MegeCortex勒索病毒最早于2019年1月份被人在VT上發(fā)現(xiàn),當(dāng)時(shí)有人在VT上傳了一個(gè)惡意樣本,英國網(wǎng)絡(luò)安全公司Sophos在5月份發(fā)布了一個(gè)關(guān)于MegaCortex勒索病毒的相關(guān)分析報(bào)告,筆者此前在分析的時(shí)候發(fā)現(xiàn)此勒索病毒早期的版本與去年非常流行的SamSam勒索病毒有一些類似,都使用了BAT腳本,同時(shí)都使用了密碼參數(shù),兩款勒索病毒的負(fù)載加載的手法類似,不過暫時(shí)還沒有更多的證據(jù),證明兩款勒索病毒存在關(guān)聯(lián),MegaCortex勒索病毒從1月份被人上傳到VT之后,網(wǎng)絡(luò)安全公司Sophos監(jiān)控到此勒索病毒的數(shù)量一直在增加,并對(duì)此勒索病毒進(jìn)行了詳細(xì)的分析報(bào)道,該勒索病毒曾經(jīng)對(duì)歐州和北美多個(gè)行業(yè)發(fā)起過勒索攻擊,并要求支付高額的贖金,美國、加拿大、荷蘭、愛爾蘭、意大利和法國等國家的一些企業(yè)網(wǎng)絡(luò)都曾受到此勒索病毒的攻擊,2019年8月,發(fā)現(xiàn)MegaCortex勒索病毒V2.0版本,重新設(shè)計(jì)了負(fù)載的運(yùn)行過程,它會(huì)自動(dòng)執(zhí)行不需要安裝密碼的要求,作者將密碼硬編碼在了二進(jìn)制文件中,同時(shí)作者還加入一些反分析,以及阻止和殺死各種安全產(chǎn)品和服務(wù)的功能,此過程在之前的版本中是通過在在每個(gè)受害者主機(jī)上手動(dòng)執(zhí)行相關(guān)的批處理腳本來完成的,最新的版本不需要手動(dòng)執(zhí)行,都封裝在了二進(jìn)制程序中,此勒索病毒加密后的文件,如下所示: 勒索提示信息,如下所示: 全球這些主流的勒索病毒筆者都曾詳細(xì)跟蹤并研究過,相關(guān)的報(bào)告可以查看之前的文章,2019年下半年又出現(xiàn)了一些新型的勒索病毒,比方NEMTY勒索病毒、EvaRichter(GermanWiper)勒索病毒等,這幾款新型的勒索病毒主要在國外比較流行,目前發(fā)現(xiàn)的大部分流行的勒索病毒暫時(shí)無法解密,重點(diǎn)在防御,針對(duì)勒索病毒的一般防范措施,筆者總結(jié)了以下幾條建議,僅供參考: 1、及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞 2、謹(jǐn)慎打開來歷不明的郵件,點(diǎn)擊其中鏈接或下載附件,防止網(wǎng)絡(luò)掛馬和郵件附件攻擊 3、盡量不要點(diǎn)擊office宏運(yùn)行提示,避免來自office組件的病毒感染 4、需要的軟件從正規(guī)(官網(wǎng))途徑下載,不要用雙擊方式打開.js、.vbs、.bat等后綴名的腳本文件 5、升級(jí)防病毒軟件到最新的防病毒庫,阻止已知病毒樣本的攻擊 6、開啟Windows Update自動(dòng)更新設(shè)置,定期對(duì)系統(tǒng)進(jìn)行升級(jí) 7、養(yǎng)成良好的備份習(xí)慣,對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份,及時(shí)使用網(wǎng)盤或移動(dòng)硬盤備份個(gè)人重要文件 8、更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃,黑客會(huì)通過相同的弱密碼攻擊其它主機(jī) 9、如果業(yè)務(wù)上無需使用RDP的,建議關(guān)閉RDP,以防被黑客RDP爆破攻擊 通過筆者一直跟蹤與分析,預(yù)測勒索病毒攻擊在明年可能會(huì)越來越多,而且使用的攻擊手法會(huì)越來越復(fù)雜,攻擊也會(huì)越來越具有針對(duì)性和目的性,不排除未來會(huì)有更多的新型黑客組織加入進(jìn)來,通過勒索病毒迅速獲利,各企業(yè)要做好相應(yīng)的防范措施,提高自身員工的安全意識(shí),以防中招。 |