安全動(dòng)態(tài)

2019 勒索病毒專(zhuān)題報(bào)告

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-02-12    瀏覽次數(shù):
 

信息來(lái)源:hackernews


一、概述

勒索病毒作為全球最嚴(yán)峻的網(wǎng)絡(luò)安全威脅之一,2019年持續(xù)對(duì)全球范圍內(nèi)的醫(yī)療、教育、能源、交通等社會(huì)基礎(chǔ)服務(wù)設(shè)施,社會(huì)支柱產(chǎn)業(yè)造成重創(chuàng)。圍繞目標(biāo)優(yōu)質(zhì)化、攻擊精準(zhǔn)化、贖金定制化的勒索策略,以數(shù)據(jù)加密為核心,同時(shí)展開(kāi)數(shù)據(jù)竊取、詐騙恐嚇的勒索戰(zhàn)術(shù)穩(wěn)定成型,促使勒索病毒在2019年索取贖金的額度有明顯增長(zhǎng)。老的勒索家族持續(xù)活躍,新的勒索病毒層出不窮,犯罪行為愈演愈烈,安全形勢(shì)不容樂(lè)觀。

勒索病毒攻擊2019典型事件

2019年3月初,國(guó)內(nèi)發(fā)現(xiàn)大量境外黑客組織借助惡意郵件傳播的GandCrab勒索病毒,黑客通過(guò)假冒司法機(jī)構(gòu)發(fā)件人,成功攻擊感染了我國(guó)多個(gè)政企機(jī)構(gòu)內(nèi)網(wǎng),隨后我國(guó)多地區(qū)機(jī)構(gòu)發(fā)起安全預(yù)警。

2019年3月下旬,世界最大的鋁產(chǎn)品生產(chǎn)商之一挪威海德魯公司(Norsk Hydro)遭遇勒索軟件公司,隨后該公司被迫關(guān)閉了幾條自動(dòng)化生產(chǎn)線,損失不可估量。

2019年5月26日,易到用車(chē)發(fā)布公告稱(chēng)其服務(wù)器遭受到連續(xù)攻擊,服務(wù)器內(nèi)核心數(shù)據(jù)被加密,攻擊者索要巨額的比特幣。易到表示嚴(yán)厲譴責(zé)該不法行為,并已報(bào)警。

2019年5月29日,美國(guó)佛羅里達(dá)州里維埃拉海灘警察局因員工運(yùn)行了惡意的電子郵件,從而導(dǎo)致該城市基礎(chǔ)服務(wù)設(shè)施遭受勒索軟件加密。市政官員于隨后召開(kāi)會(huì)議,批準(zhǔn)通過(guò)一筆大約60萬(wàn)美元的資金用于支付勒索贖金。

2019年6月中旬,世界最大飛機(jī)零件供應(yīng)商之一ASCO遭遇勒索病毒攻擊,由于被病毒攻擊導(dǎo)致的生產(chǎn)環(huán)境系統(tǒng)癱瘓,該公司將1400名工人中大約1000人送回家?guī)叫菁?,同時(shí)停止了四個(gè)國(guó)家的工廠生產(chǎn)。

2019年9月22日,國(guó)內(nèi)某大型建筑設(shè)計(jì)有限公司遭到勒索病毒攻擊,被勒索的每臺(tái)電腦要給出1.5個(gè)比特幣才能解鎖,該公司的電腦全面崩潰,所有圖紙都無(wú)法外發(fā),該事件引發(fā)微博熱議。

2019年10月,全球最大的助聽(tīng)器制造商之一Demant遭受勒索病毒入侵,該公司是目前聽(tīng)力行業(yè)唯一產(chǎn)品線涵蓋助聽(tīng)器、人工中耳、骨導(dǎo)助聽(tīng)器、電子耳蝸及調(diào)頻語(yǔ)訓(xùn)系統(tǒng)的全面聽(tīng)力解決方案提供者,全球聽(tīng)力檢測(cè)設(shè)備領(lǐng)域的領(lǐng)先者,攻擊導(dǎo)致的造成的損失高達(dá)9500W美元。

2019年12月,Maze(迷宮)勒索團(tuán)伙向Southwire集團(tuán)勒索600W美元,Southwire是北美領(lǐng)先的電線電纜制造商之一,勒索團(tuán)伙聲稱(chēng):如果Southwire不交贖金,則會(huì)在網(wǎng)絡(luò)上公布該公司的泄漏的120G重要數(shù)據(jù)。

二、2019年勒索病毒特點(diǎn)總結(jié)

1.老牌勒索家族轉(zhuǎn)向精準(zhǔn)化,高質(zhì)量的狩獵行動(dòng)

觀察過(guò)去一年騰訊安全威脅情報(bào)中心收到的勒索求助反饋,主流老牌勒索家族(如GlobeImposter,Crysis)實(shí)施的勒索攻擊中,企業(yè)用戶(hù)占據(jù)了其絕大部分。這意味著老牌勒索家族已經(jīng)從廣撒網(wǎng)無(wú)差別模式的攻擊,轉(zhuǎn)變?yōu)榫珳?zhǔn)化、高質(zhì)量的行動(dòng),該轉(zhuǎn)變使攻擊者每次攻擊行動(dòng)后的收益轉(zhuǎn)化過(guò)程更有效。

企業(yè)服務(wù)器被攻陷則多為對(duì)外開(kāi)放相關(guān)服務(wù)使用弱口令導(dǎo)致,當(dāng)企業(yè)內(nèi)一臺(tái)服務(wù)器被攻失陷,攻擊者則會(huì)將該機(jī)器作為跳板機(jī),繼續(xù)嘗試攻擊其它局域網(wǎng)內(nèi)的重要資產(chǎn),在部分勒索感染現(xiàn)場(chǎng)我們也看到攻擊者留下的大量相關(guān)對(duì)抗、掃描工具,個(gè)別失陷環(huán)境中攻擊者光是使用的密碼抓取工具就有數(shù)十款之多。

3

2.威脅公開(kāi)機(jī)密數(shù)據(jù)成勒索攻擊新手段

勒索病毒發(fā)展歷程中,攻擊者勒索的加密幣種包括門(mén)羅幣、達(dá)世幣、比特幣、平臺(tái)代金券等。觀察2019年相關(guān)數(shù)據(jù)可知,基于匿名性,穩(wěn)定性,便捷性,相對(duì)保值性等特點(diǎn),比特幣已基本成為勒索市場(chǎng)中唯一不二的硬通貨。

付款方式上,基本使用虛擬貨幣錢(qián)包轉(zhuǎn)賬。勒索交涉的溝通過(guò)程中,使用IM工具私信的方式在大型攻擊中已消失(少量惡搞、鎖機(jī)類(lèi)低贖金還在使用),攻擊者多選擇以匿名、非匿名郵箱溝通交涉,或使用Tor登錄暗網(wǎng),瀏覽器直接訪問(wèn)明網(wǎng)相應(yīng)站點(diǎn)使用相應(yīng)的贖金交涉服務(wù)。

2019年,勒索病毒團(tuán)伙開(kāi)始偏向于贖金定制化,對(duì)不同目標(biāo)要價(jià)各不相同,往往根據(jù)被加密數(shù)據(jù)的潛在價(jià)值定價(jià)(通常在5K-10w人民幣),勒索病毒運(yùn)營(yíng)者的這種手法大幅提高了單筆勒索收益。這也導(dǎo)致個(gè)別大型政企機(jī)構(gòu)在遭受到針對(duì)性的加密攻擊后,被開(kāi)出的勒索金額高達(dá)數(shù)百萬(wàn)元。

當(dāng)企業(yè)有完善的數(shù)據(jù)備份方案,拒絕繳納贖金時(shí),勒索團(tuán)伙則采取另一種手段:威脅泄露受害者的機(jī)密文件來(lái)勒索。下圖為Maze病毒團(tuán)伙在數(shù)據(jù)加密勒索企業(yè)失敗后,公開(kāi)放出了被攻擊企業(yè)2GB私密數(shù)據(jù)。

Sodinokibi勒索團(tuán)伙也在黑客論壇發(fā)聲,稱(chēng)如果被攻擊者拒絕拒絕繳納贖金,則會(huì)將其商業(yè)信息出售給其競(jìng)爭(zhēng)對(duì)手。通過(guò)加密前先竊取企業(yè)重要數(shù)據(jù),當(dāng)企業(yè)拒絕交付解密贖金情況時(shí),再以公開(kāi)機(jī)密數(shù)據(jù)為籌碼,對(duì)企業(yè)實(shí)施威脅勒索。數(shù)據(jù)泄露對(duì)大型企業(yè)而言,帶來(lái)的損失可能更加嚴(yán)重,不僅會(huì)造成嚴(yán)重的經(jīng)濟(jì)損失,還會(huì)使企業(yè)形象受損,造成嚴(yán)重的負(fù)面影響。

3.僵尸網(wǎng)絡(luò)與勒索病毒相互勾結(jié)

僵尸網(wǎng)絡(luò)是一種通過(guò)多重傳播手段,將大量主機(jī)感染bot程序,從而在控制者和感染僵尸網(wǎng)絡(luò)程序之間所形成的一對(duì)多控制的網(wǎng)絡(luò),僵尸網(wǎng)絡(luò)擁有豐富的資源(肉雞),勒索病毒團(tuán)伙與其合作可迅速提升其勒索規(guī)模,進(jìn)而直接有效增加勒索收益。在2019年,國(guó)內(nèi)借助僵尸網(wǎng)絡(luò)實(shí)施的勒索攻擊趨勢(shì)也進(jìn)一步提升,我們觀察到主要有以下相互勾結(jié)。

A.Emotet僵尸網(wǎng)絡(luò)伙同Ryuk實(shí)施勒索

Ryuk勒索病毒家族起源于Hermes家族,最早的活躍跡象可追溯到2018年8月,國(guó)內(nèi)自2019年7月開(kāi)始有活動(dòng)跡象,該團(tuán)伙的特征之一為勒索贖金額度通常極高(超過(guò)百萬(wàn)),觀察國(guó)內(nèi)被勒索環(huán)境中可知,該染毒環(huán)境中同時(shí)會(huì)伴隨著Emotet病毒的檢出,而國(guó)外也有相關(guān)分析,指出該病毒常借助Trickbot,Emotet進(jìn)行分發(fā)。

B.Phorpiex僵尸網(wǎng)絡(luò)伙同Nemty實(shí)施勒索

Nemty 病毒在國(guó)內(nèi)早期主要依靠垃圾郵件傳播,在2019年中也依靠Phorpiex僵尸網(wǎng)絡(luò)大面積投遞,下圖中IP:185.176.27.132,騰訊安圖情報(bào)平臺(tái)中已標(biāo)識(shí)為Phorpiex僵尸網(wǎng)絡(luò)資產(chǎn),其上投遞了Nemty 1.6版本的勒索變種,此次病毒間的勾結(jié)行為導(dǎo)致在2019年國(guó)慶期間Nemty勒索病毒一度高發(fā),國(guó)內(nèi)多家企業(yè)受到Nemty勒索病毒影響。

C.Phorpiex僵尸網(wǎng)絡(luò)伙同GandCrab實(shí)施的勒索

GandCrab勒索病毒首次出現(xiàn)于2018年1月,也是2019上半年是最為活躍的病毒之一。該病毒在一年多的時(shí)間里經(jīng)歷了5個(gè)大版本的迭代,于2019年6月1日在社交媒體公開(kāi)宣布已成功勒索20億美元將停止運(yùn)營(yíng),GandCrab勒索病毒的整個(gè)歷程與使用Phorpiex僵尸網(wǎng)絡(luò)長(zhǎng)期投遞有密不可分的關(guān)系。

D.Phorpiex僵尸網(wǎng)絡(luò)群發(fā)勒索恐嚇郵件

你可能收到過(guò)類(lèi)似的郵件:“你已經(jīng)感染了我的私人木馬,我知道你的所有密碼和隱私信息(包括隱私視頻),唯一讓我停下來(lái)的方式就是三天內(nèi)向我支付價(jià)值900美元的比特幣?!?

Phorpiex僵尸網(wǎng)絡(luò)利用網(wǎng)絡(luò)中的歷史泄漏郵箱信息,對(duì)千萬(wàn)級(jí)別的郵箱發(fā)起了詐騙勒索,當(dāng)命中收件人隱私信息后,利用收件人的恐慌心里,進(jìn)而成功實(shí)施欺詐勒索。勒索過(guò)程中,受害者由于擔(dān)心自己隱私信息遭受進(jìn)一步的泄漏,極容易陷入勒索者的圈套,從而受騙繳納贖金。

4.喪心病狂的反復(fù)加密,文件名加密

騰訊安全御見(jiàn)威脅情報(bào)中心在日常處理勒索病毒的現(xiàn)場(chǎng)發(fā)現(xiàn),有個(gè)別系統(tǒng)內(nèi)同時(shí)被多個(gè)勒索病毒感染。后來(lái)的攻擊者在面對(duì)文件已被加密的失陷系統(tǒng),依然將已損壞數(shù)據(jù)再次加密。導(dǎo)致受害者需繳納兩次贖金,且由于解密測(cè)試過(guò)程無(wú)法單一驗(yàn)證,即使繳納贖金,數(shù)據(jù)還原難度也有所提高。

同時(shí)還注意到部分勒索病毒并不滿(mǎn)足于加密文件,連同文件名也一同進(jìn)行修改,從側(cè)面反映出勒索病毒運(yùn)營(yíng)者也存在競(jìng)爭(zhēng)激烈,攻擊者對(duì)贖金的追求已喪心病狂。

5.中文定制化

中國(guó)作為擁有8億多網(wǎng)民的網(wǎng)絡(luò)應(yīng)用大國(guó),毫無(wú)疑問(wèn)成為勒索病毒攻擊的重要目標(biāo),一部分勒索病毒運(yùn)營(yíng)者開(kāi)始在勒索信、暗網(wǎng)服務(wù)頁(yè)面提供中文語(yǔ)言界面。

三、2019年勒索病毒攻擊數(shù)據(jù)盤(pán)點(diǎn)

2019年,勒索病毒攻擊以1月份攻擊次數(shù)最多,下半年整體攻擊次數(shù)較上半年有所下降。但根據(jù)騰訊安全威脅情報(bào)中心接收到的眾多反饋數(shù)據(jù),下半年企業(yè)遭受勒索病毒攻擊的反饋數(shù)不減反增,主要原因?yàn)椴糠掷吓评账骷易鍖?duì)企業(yè)網(wǎng)絡(luò)的攻擊更加精準(zhǔn),致企業(yè)遭遇勒索病毒的損失更加嚴(yán)重。

從2019我們接受到的勒索反饋來(lái)看,通過(guò)加密用戶(hù)系統(tǒng)內(nèi)的重要資料文檔,數(shù)據(jù),再勒索虛擬幣實(shí)施犯罪仍為當(dāng)前勒索病毒攻擊的的主要形式。使用群發(fā)勒索恐嚇郵件,命中收件人隱私信息后,再利用收件人的恐慌心里,實(shí)施欺詐勒索的方式也較為流行。

加密數(shù)據(jù)勒索不成以泄漏數(shù)據(jù)再次脅迫企業(yè)的方式也成為了勒索團(tuán)伙新的盈利模式(Maze和Sodinokibi已使用)。以鎖定系統(tǒng)的方式進(jìn)行勒索多以易語(yǔ)言為代表編寫(xiě)的游戲外掛、輔助工具中。同時(shí)也有極少數(shù)以勒索攻擊為表象,以消除入侵痕跡掩蓋真相為目的的攻擊事件,該類(lèi)型的勒索病毒通常出現(xiàn)在部分定向竊密行動(dòng)中。

觀察2019全年勒索病毒感染地域數(shù)據(jù)可知,國(guó)內(nèi)遭受勒索病毒攻擊中,廣東,北京,江蘇,上海,河北,山東最為嚴(yán)重,其它省份也有遭受到不同程度攻擊。傳統(tǒng)企業(yè),教育,政府機(jī)構(gòu)遭受攻擊最為嚴(yán)重,互聯(lián)網(wǎng),醫(yī)療,金融,能源緊隨其后。

2019全年勒索病毒攻擊方式依然以弱口令爆破為主,其次為通過(guò)海量的垃圾郵件傳播,勾結(jié)僵尸網(wǎng)絡(luò)發(fā)起的攻擊有上升趨勢(shì)。勒索病毒也通過(guò)高危漏洞,軟件供應(yīng)鏈形等形式傳播。

 

四、2019年國(guó)內(nèi)勒索病毒活躍TOP榜

觀察2019全年勒索病毒活躍度,GlobeImposter家族最為活躍,該病毒在國(guó)內(nèi)傳播主要以其12生肖系列,12主神系列為主(加密擴(kuò)展后綴中包含相關(guān)英文,例如:.Zeus865),各政企機(jī)構(gòu)都是其重點(diǎn)攻擊目標(biāo)。

其次為Crysis系列家族,該家族伙同其衍生Phobos系列一同持續(xù)活躍,緊隨GlobeImposter之后。

GandCrab家族雖然在2019年6月1日宣布停止運(yùn)營(yíng),但在之后短時(shí)間內(nèi)依然有部分余毒擴(kuò)散,該病毒以出道16個(gè)月,非法獲利20億美元結(jié)束傳播,雖然其2019生命周期只有一半,但其瘋狂斂財(cái)程度堪稱(chēng)年度之最。

緊隨其后的則是被稱(chēng)為GandCrab接班人的Sodinokibi,該病毒在傳播手法,作案方式,病毒行為上于GandCrab有許多相似,為2019年勒索病毒中最具威脅的新型家族之一。

Stop家族則寄生于大量的破解軟件中,持續(xù)攻擊加密了國(guó)內(nèi)大量技術(shù)人員的工程制圖,音頻,視頻制作材料。老牌勒索家族持續(xù)活躍,新的勒索病毒不斷涌現(xiàn)。越來(lái)越多的不法分子參與到這個(gè)黑產(chǎn)行業(yè)中來(lái)。

GlobeImposter

GlobeImposter出現(xiàn)于2017年中,加密文件完成后會(huì)留下名為HOW TO BACK YOUR FILES.(txt html exe)類(lèi)型的勒索說(shuō)明文件。該病毒加密擴(kuò)展后綴繁多,其規(guī)模使用且感染泛濫的類(lèi)型有12生肖4444,12生肖/主神666,12生肖/主神865,12生肖/主神865qq等系列,由于該病毒出現(xiàn)至今仍然無(wú)有效的解密工具,各政企機(jī)構(gòu)需提高警惕。

Crysis

Crysis勒索病毒從2016年開(kāi)始具有勒索活動(dòng) ,加密文件完成后通常會(huì)添加“ID+郵箱+指定后綴”格式的擴(kuò)展后綴,例:“id-編號(hào).[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列變種在今年2月開(kāi)始也有所活躍。該病毒通常使用弱口令爆破的方式入侵企業(yè)服務(wù)器,安全意識(shí)薄弱的企業(yè)由于多臺(tái)機(jī)器使用同一弱密碼,面對(duì)該病毒極容易引起企業(yè)內(nèi)服務(wù)器的大面積感染,進(jìn)而造成業(yè)務(wù)系統(tǒng)癱瘓。

GandCrab

GandCrab勒索病毒首次出現(xiàn)于2018年1月,是國(guó)內(nèi)首個(gè)使用達(dá)世幣(DASH)作為贖金的勒索病毒,也是2019上半年是最為活躍的病毒之一。該病毒在一年多的時(shí)間里經(jīng)歷了5個(gè)大版本的迭代,該病毒作者也一直和安全廠商、執(zhí)法部門(mén)斗智斗勇。該病毒在國(guó)內(nèi)擅長(zhǎng)使用弱口令爆破,掛馬,垃圾郵件等各種方式傳播。

2018年10月16日,一位敘利亞用戶(hù)在推特表示,GandCrab病毒加密了他的電腦文件,因無(wú)力支付勒索贖金,他再也無(wú)法看到因?yàn)閼?zhàn)爭(zhēng)喪生的小兒子的照片。隨后GandCrab放出了敘利亞地區(qū)的部分密鑰,并在之后的病毒版本中將敘利亞地區(qū)列入白名單不再感染,這也是國(guó)內(nèi)有廠商將其命名為“俠盜勒索”的原因。

2019年6月1日,GandCrab運(yùn)營(yíng)團(tuán)隊(duì)在某俄語(yǔ)論壇公開(kāi)聲明“從出道到現(xiàn)在的16個(gè)月內(nèi)共賺到20多億美金,平均每人每年入賬1.5億,并成功將這些錢(qián)洗白。同時(shí)宣布關(guān)閉勒索服務(wù),停止運(yùn)營(yíng)團(tuán)隊(duì),后續(xù)也不會(huì)放出用于解密的密鑰,往后余生,要揮金如土,風(fēng)流快活去”。

2019年6月17日,Bitdefender聯(lián)合羅馬尼亞與歐洲多地區(qū)警方一起通過(guò)線上線下聯(lián)合打擊的方式,實(shí)現(xiàn)了對(duì)GandCrab最新病毒版本v5.2的解密。該事件也標(biāo)志著GandCrab勒索團(tuán)伙故事的終結(jié)。

Sodinokibi

Sodinokibi勒索病毒首次出現(xiàn)于2019年4月底,由于之后GandCrab停止運(yùn)營(yíng)事件,該病毒緊跟其后將GandCrab勒索家族的多個(gè)傳播渠道納入自身手中。該病毒目前在國(guó)內(nèi)主要通過(guò)web相關(guān)漏洞和海量的釣魚(yú)郵件傳播,也被國(guó)內(nèi)廠商稱(chēng)為GandCrab的“接班人”,從該病毒傳播感染勢(shì)頭來(lái)看,毫無(wú)疑問(wèn)是勒索黑產(chǎn)中的一顆上升的新星。

Stop

Stop勒索病毒家族在國(guó)內(nèi)主要通過(guò)破解軟件等工具捆綁進(jìn)行傳播,加密時(shí)通常需要下載其它病毒輔助工作模塊。Stop勒索病毒使用勒索后綴變化極為頻繁,通常勒索980美元,并聲稱(chēng)72小時(shí)內(nèi)聯(lián)系病毒作者將獲得50%費(fèi)用減免,同時(shí),該病毒除加密文件外,還具備以下行為特點(diǎn)。

1.加密時(shí),禁用任務(wù)管理器、禁用Windows Defender、關(guān)閉Windows Defender的實(shí)時(shí)監(jiān)控功能;
2.通過(guò)修改hosts文件阻止系統(tǒng)訪問(wèn)全球范圍內(nèi)大量安全廠商的網(wǎng)站;
3.因病毒執(zhí)行加密時(shí),會(huì)造成系統(tǒng)明顯卡頓,為掩人耳目,病毒會(huì)彈出偽造的Windows 自動(dòng)更新窗口;
4.釋放一個(gè)被人為修改后不顯示界面的TeamViewer模塊,用來(lái)實(shí)現(xiàn)對(duì)目標(biāo)電腦的遠(yuǎn)程控制;
5.下載AZORult竊密木馬,以竊取用戶(hù)瀏覽器、郵箱、多個(gè)聊天工具的用戶(hù)名密碼;

Paradise

Paradise勒索病毒最早出現(xiàn)于2018年7月,該病毒勒索彈窗樣式與Crysis極為相似,勒索病毒加密文件完成后將修改文件名為以下格式:[原文件名]_[隨機(jī)字符串]_{郵箱}.隨機(jī)后綴,并留下名為Instructions with your files.txt 或###_INFO_you_FILE_###.txt 的勒索說(shuō)明文檔。

Maze

Maze(迷宮)勒索病毒也叫ChaCha勒索病毒,擅長(zhǎng)使用Fallout EK漏洞利用工具通過(guò)網(wǎng)頁(yè)掛馬等方式傳播。被掛馬的網(wǎng)頁(yè),多見(jiàn)于黃賭毒相關(guān)頁(yè)面,通常會(huì)逐步擴(kuò)大到盜版軟件、游戲外掛(或破解)、盜版影視作品下載,以及某些軟件內(nèi)嵌的廣告頁(yè)面,該病毒的特點(diǎn)之一是稱(chēng)根據(jù)染毒機(jī)器的價(jià)值來(lái)確認(rèn)勒索所需的具體金額,該勒索病毒同時(shí)也是將數(shù)據(jù)加密勒索轉(zhuǎn)向數(shù)據(jù)泄露的先行者。

Nemty

NEMTY勒索病毒出現(xiàn)于今年8月,該病毒早期版本加密文件完成后會(huì)添加NEMTY擴(kuò)展后綴,也因此得名。NEMTY 變種病毒加密文件完成后會(huì)添加“._NEMTY_random_7個(gè)隨機(jī)字符”擴(kuò)展名后綴,由于該病毒與Phorpiex僵尸網(wǎng)絡(luò)合作,在2019年國(guó)慶期間感染量有一次爆發(fā)增長(zhǎng),該病毒會(huì)避開(kāi)感染俄羅斯、白俄羅斯、烏克蘭及多個(gè)中亞國(guó)家。

Medusalocker

Medusalocker該病毒出現(xiàn)于2019年10月,已知該病毒主要通過(guò)釣魚(yú)欺詐郵件及托口令爆破傳播。該病毒早期版本加密文件完成后添加擴(kuò)展后綴.encrypted,最新傳播病毒版本加密文件后添加.ReadTheInstructions擴(kuò)展后綴。攻擊者會(huì)向受害者勒索1BTC(比特幣),市值約6.5萬(wàn)元。

Ryuk

Ryuk的特點(diǎn)之一是傾向于攻擊數(shù)據(jù)價(jià)值較高的政企機(jī)構(gòu),且贖金普遍極高(最近聯(lián)系作者要價(jià)11個(gè)比特幣,價(jià)值約75萬(wàn)元RMB,在國(guó)外該病毒開(kāi)出的贖金額度通常高達(dá)數(shù)百萬(wàn)RMB),Ryuk勒索家族起源于Hermes家族,最早的活躍跡象可追溯到2018年8月,國(guó)內(nèi)發(fā)現(xiàn)該病毒的投遞與Emotet僵尸網(wǎng)絡(luò)有著密不可分的關(guān)系。

五、勒索病毒接下來(lái)會(huì)怎樣

1、勒索病毒與安全軟件的對(duì)抗加劇

隨著安全軟件對(duì)勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶(hù)電腦,病毒傳播者會(huì)不斷升級(jí)對(duì)抗技術(shù)方案。

2、勒索病毒傳播場(chǎng)景多樣化

過(guò)去勒索病毒傳播主要以釣魚(yú)郵件為主,現(xiàn)在勒索病毒更多利用了高危漏洞、魚(yú)叉式攻擊,或水坑攻擊等方式傳播,乃至通過(guò)軟件供應(yīng)鏈傳播,都大大提高了入侵成功率。

3、勒索病毒攻擊目標(biāo)轉(zhuǎn)向企業(yè)用戶(hù)

個(gè)人電腦大多能夠使用安全軟件完成漏洞修補(bǔ),在遭遇勒索病毒攻擊時(shí),個(gè)人用戶(hù)往往會(huì)放棄數(shù)據(jù),恢復(fù)系統(tǒng)。而企業(yè)用戶(hù)在沒(méi)有及時(shí)備份的情況下,會(huì)傾向于支付贖金,挽回?cái)?shù)據(jù)。因此,已發(fā)現(xiàn)越來(lái)越多攻擊目標(biāo)是政府機(jī)關(guān)、企業(yè)、醫(yī)院、學(xué)校。

4、勒索病毒更新迭代加快

隨著安全廠商與警方的不斷努力,越來(lái)越多的勒索病毒將會(huì)被破解,被打擊,這也將加劇黑產(chǎn)從業(yè)者對(duì)病毒進(jìn)行更新迭代。

5、勒索贖金定制化,贖金進(jìn)一步提高

隨著用戶(hù)安全意識(shí)提高、安全軟件防御能力提升,勒索病毒入侵成本越來(lái)越高,攻擊者更偏向于向不同企業(yè)開(kāi)出不同價(jià)格的勒索贖金,定制化的贖金方案能有效提升勒索成功率,直接提升勒索收益。如某公司被勒索病毒入侵后,竟被勒索9.5個(gè)比特幣,還有Ryuk團(tuán)伙動(dòng)輒開(kāi)出上百萬(wàn)的勒索贖金單,都代表勒索病毒贖金未來(lái)會(huì)有進(jìn)一步的提高。

6、勒索病毒開(kāi)發(fā)門(mén)檻降低

觀察近期勒索病毒開(kāi)發(fā)語(yǔ)言類(lèi)型可知,越來(lái)越多基于腳本語(yǔ)言開(kāi)發(fā)出的勒索病毒開(kāi)始涌現(xiàn),甚至開(kāi)始出現(xiàn)使用中文編程“易語(yǔ)言”開(kāi)發(fā)的勒索病毒。

例如使用Python系列的“Py-Locker”勒索病毒,易語(yǔ)言供應(yīng)鏈傳播鬧的沸沸揚(yáng)揚(yáng)的“unname1989”勒索病毒,甚至利用bat腳本結(jié)合Winrar相關(guān)模塊直接對(duì)文件進(jìn)行壓縮包密碼加密的“FakeGlobeimposter”病毒等,門(mén)檻低意味著將有更多的黑產(chǎn)人群進(jìn)入勒索產(chǎn)業(yè)這個(gè)領(lǐng)域,也意味著該病毒將持續(xù)發(fā)展泛濫。

7、勒索病毒產(chǎn)業(yè)化加劇

隨著勒索病毒的不斷涌現(xiàn),騰訊安全御見(jiàn)威脅情報(bào)中心觀察到勒索代理同樣繁榮。當(dāng)企業(yè)遭遇勒索病毒攻擊,關(guān)鍵業(yè)務(wù)數(shù)據(jù)被加密,而理論上根本無(wú)法解密時(shí),勒索代理機(jī)構(gòu),承接了受害者和攻擊者之間談判交易恢復(fù)數(shù)據(jù)的業(yè)務(wù)。我們注意到勒索代理機(jī)構(gòu)常年購(gòu)買(mǎi)搜索關(guān)鍵字廣告承接生意。

8、勒索病毒多平臺(tái)擴(kuò)散

目前受到的勒索病毒攻擊主要是windows系統(tǒng),但是管家也陸續(xù)發(fā)現(xiàn)了MacOS、Android等平臺(tái)的勒索病毒,隨著windows的防范措施完善和攻擊者永不滿(mǎn)足的貪欲,未來(lái)勒索病毒在其他平臺(tái)的影響力也會(huì)逐步增大。

9、勒索病毒黑產(chǎn)參與者持續(xù)上升,勒索病毒影響規(guī)模進(jìn)一步擴(kuò)大

GandCrab通過(guò)16個(gè)月賺夠20億美金高調(diào)“退休”的故事被廣為流傳,可以預(yù)見(jiàn),此事件將引爆黑暗中更多人的貪欲,在未來(lái)相當(dāng)長(zhǎng)一段時(shí)間內(nèi),將會(huì)有越來(lái)越多的人投身勒索行業(yè),黑產(chǎn)從業(yè)者將持續(xù)上升。

隨著各類(lèi)型病毒木馬盈利模式一致,各類(lèi)型病毒均有可能隨時(shí)附加勒索屬性。蠕蟲(chóng),感染,僵尸網(wǎng)絡(luò),挖礦木馬,在充分榨干感染目標(biāo)剩余價(jià)值后,都極有可能下發(fā)勒索模塊進(jìn)行最后一步敲詐,2019年老的勒索家族持續(xù)活躍,新的勒索病毒也層出不窮,可預(yù)測(cè)未來(lái)由勒索病毒導(dǎo)致的網(wǎng)絡(luò)攻擊將依然是企業(yè)安全面臨的重要問(wèn)題之一。

六、勒索病毒防范措施

企業(yè)用戶(hù)可參考以下措施加強(qiáng)防御

A、定期進(jìn)行安全培訓(xùn),日常安全管理可參考“三不三要”思路

1.不上鉤:標(biāo)題吸引人的未知郵件不要點(diǎn)開(kāi)
2.不打開(kāi):不隨便打開(kāi)電子郵件附件
3.不點(diǎn)擊:不隨意點(diǎn)擊電子郵件中附帶網(wǎng)址
4.要備份:重要資料要備份
5.要確認(rèn):開(kāi)啟電子郵件前確認(rèn)發(fā)件人可信
6.要更新:系統(tǒng)補(bǔ)丁/安全軟件病毒庫(kù)保持實(shí)時(shí)更新

B、全網(wǎng)安裝專(zhuān)業(yè)的終端安全管理軟件,由管理員批量殺毒和安裝補(bǔ)丁,后續(xù)定期更新各類(lèi)系統(tǒng)高危補(bǔ)丁。

C、部署流量監(jiān)控/阻斷類(lèi)設(shè)備/軟件,便于事前發(fā)現(xiàn),事中阻斷和事后回溯。

D、建議由于其他原因不能及時(shí)安裝補(bǔ)丁的系統(tǒng),考慮在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問(wèn)控制策略,以保證網(wǎng)絡(luò)的動(dòng)態(tài)安全。

E、使用內(nèi)網(wǎng)強(qiáng)制密碼安全策略來(lái)避免使用簡(jiǎn)單密碼。

1.一些關(guān)鍵服務(wù),應(yīng)加強(qiáng)口令強(qiáng)度,同時(shí)需使用加密傳輸方式,對(duì)于一些可關(guān)閉的服務(wù)來(lái)說(shuō),建議關(guān)閉不要的服務(wù)端口以達(dá)到安全目的。不使用相同口令管理多臺(tái)關(guān)鍵服務(wù)器。

2.建議對(duì)數(shù)據(jù)庫(kù)賬戶(hù)密碼策略建議進(jìn)行配置,對(duì)最大錯(cuò)誤登錄次數(shù)、超過(guò)有效次數(shù)進(jìn)行鎖定、密碼有效期、到期后的寬限時(shí)間、密碼重用等策略進(jìn)行加固設(shè)置。

F、建議網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員關(guān)注安全信息、安全動(dòng)態(tài)及最新的嚴(yán)重漏洞,攻與防的循環(huán),伴隨每個(gè)主流操作系統(tǒng)、應(yīng)用服務(wù)的生命周期。

G、建議對(duì)數(shù)據(jù)庫(kù)的管理訪問(wèn)節(jié)點(diǎn)地址進(jìn)行嚴(yán)格限制,只允許特定管理主機(jī)IP進(jìn)行遠(yuǎn)程登錄數(shù)據(jù)庫(kù)。

H、做好安全災(zāi)備方案,可按數(shù)據(jù)備份三二一原則來(lái)指導(dǎo)實(shí)施

1.至少準(zhǔn)備三份:重要數(shù)據(jù)備份兩份
2.兩種不同形式:將數(shù)據(jù)備份在兩種不同的存儲(chǔ)類(lèi)型,如服務(wù)器/移動(dòng)硬盤(pán)/云端/光盤(pán)等
3.一份異地備份:至少一份備份存儲(chǔ)在異地,當(dāng)發(fā)生意外時(shí)保證有一份備份數(shù)據(jù)安全。

個(gè)人消費(fèi)者可使用安全防護(hù)軟件

騰訊電腦管家可對(duì)各勒索病毒家族變種及時(shí)防御攔截,同時(shí)管家文檔守護(hù)者通過(guò)集成多個(gè)主流勒索家族的解密方案,通過(guò)完善的數(shù)據(jù)備份防護(hù)方案,在2019中為數(shù)千萬(wàn)的管家用戶(hù)提供文檔保護(hù)恢復(fù)服務(wù)。通過(guò)自研解密方案成功為上千名不幸感染勒索病毒者提供了解密服務(wù),幫助其成功恢復(fù)了被病毒加密的文件。

 
 

上一篇:工信部出臺(tái)推動(dòng)云化部署等20條措施 助力中小企業(yè)復(fù)工復(fù)產(chǎn)

下一篇:需要關(guān)注數(shù)據(jù)安全的四個(gè)新挑戰(zhàn)