2018年勒索病毒活動情況回顧

日期:2019-03-12 浏覽:

文章來源自:騰訊禦見威脅情報中心,由“重慶信息安全産業研究院”整理發布。

 

一、概述
勒索病毒並不是什麽新鮮事物,已經零零散散存在了很多年,一直被當作偶發性破壞性強的破壞性程序記錄在案,直到WannaCry勒索蠕蟲病毒爆發,給所有人上了一課:喪心病狂的破壞者可以把勒索病毒與蠕蟲病毒有機結合起來,制造大面積的災難性後果。之後,安全軟件與勒索病毒的技術對抗即不斷升級,勒索病毒的攻擊也日益呈現出技術手段更成熟,攻擊目標更精准,産業分工更具體的特性。

 

回顧2018年勒索病毒的感染數據,會注意到整體上升趨勢較爲明顯。

勒索病毒感染地域分布和行業分布

 

觀察2018年勒索病毒攻擊地域分布可知,勒索病毒在全國各地均有分布,其中廣東,浙江,山東,河南等地最爲嚴重。勒索病毒攻擊行業中以傳統行業,教育,互聯網行業最爲嚴重,醫療,政府機構緊隨其後。分析可知,勒索病毒影響到事關國計民生的各個行業,一旦社會長期依賴的基礎涉及遭受攻擊,將帶來難以估計,且不可逆轉的損失。

 

二、勒索類型

 

1.使用正規加密工具:
該勒索方式不同于傳統的勒索病毒攻擊流程,黑客通過入侵服務器成功後,使用正規的磁盤加密保護軟件對受害者機器數據進行攻擊。

 

例如BestCrypt Volume Encryption软件,BestCrypt Volume Encryption是一款专业加密软件厂商开发的磁盘保护软件,能将整个分区加密,加密后除非有加密时候设置的口令,否则难以通过第三方去恢复解密。黑客通过利用专业加密软件对服务器上的磁盘进行加密,并要求缴纳大量赎金方式进一步提供文件解密恢复服务。

 

2.病毒加密:
該類勒索爲最常見的病毒類型攻擊手法,主要分爲兩類,一是劫持操作系統引導區禁止用戶正常登錄系統,二是使用高強度的加密算法加密用戶磁盤上的所有數據文件,兩種方式可能存在相互引用。

 

病毒由于使用高強度的對稱或非對稱加密算法對數據進行了加密,當無法拿到文件解密密鑰的情況下,解密恢複文件的可能性極低。這也是勒索病毒攻擊者能一次次得手的技術前提。

 

 

3.虛假勒索詐騙郵件:
此勒索類嚴格意義上來講不屬于病毒,但由于該類型勒索巧妙利用了人性的弱點:通過電子郵件威脅、恐嚇,欺騙受害人向某個加密錢包轉帳,這一作法在2018相當流行。

 

騰訊安全團隊在2018年陸續接收到多起該類型勒索用戶反饋。勒索者通過大量群發詐騙郵件,當命中收件人隱私信息後,利用收件人的恐慌心裏,進而成功實施欺詐勒索。勒索過程中,受害者由于擔心自己隱私信息遭受進一步的泄漏,極容易陷入勒索者的圈套,從而受騙繳納贖金。

 

三、勒索病毒産業鏈
勒索病毒在經過爆發式的增長後,産業鏈條化較爲明顯,各角色分工明確,完整的一次勒索攻擊流程可能涉及勒索病毒作者,勒索實施者,傳播渠道商,代理,受害者5個角色,各角色具體分工如下:

 

勒索病毒作者:

負責勒索病毒編寫制作,與安全軟件免殺對抗。通過在“暗網”或其它地下平台販賣病毒代碼,接受病毒定制,或出售病毒生成器的方式,與勒索者進行合作拿取分成。

 

勒索實施者:

從病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通過自定義病毒勒索信息後得到自己的專屬病毒,與勒索病毒作者進行收入分成。

 

傳播渠道商:

幫助勒索者傳播勒索病毒,最爲熟悉的則是僵屍網絡,例Necurs、Gamut,全球有97%的釣魚郵件由該兩個僵屍網絡發送。

 

代理:

向受害者假稱自己能夠解密各勒索病毒加密的文件,並且是勒索者提出贖金的50%甚至更低,但實際上與勒索者進行合作,從中賺取差價。代理常通過搜索關鍵字廣告推廣。

 

受害者:

通過勒索病毒各種傳播渠道不幸中招的受害者,如有重要文件被加密,則向代理或勒索者聯系繳納贖金解密文件。

衆所周知,除非勒索病毒存在邏輯漏洞,或者取得解密密鑰,以當前的計算機算力去解密幾乎不可能,而通過搜索引擎可發現大量號稱可解密多種主流勒索病毒的公司,該類部分解密公司,實際上是勒索者在國內的代理,利用國內用戶不方便買數字貨幣以及相對更加便宜的價格,吸引受害者聯系解密,在整個過程中賺取差價。根據某解密公司官網上公開的記錄,一家解密公司靠做勒索中間代理一個月收入可達300W人民幣。

 

四、勒索病毒2018典型攻擊事件

根據已公開的新聞事件整理

觀察分析2018年典型勒索攻擊事件不難發現,勒索病毒團夥爲了提高收益,已將攻擊目標從最初的大面積撒網無差別攻擊,轉向精准攻擊高價值目標。比如直接攻擊醫療行業,企事業單位、政府機關服務器,包括制造業在內的傳統企業面臨著日益嚴峻的安全形勢。

 

盡管WannaCry大範圍攻擊已過去一年多,但依然引起多次大型攻擊事件。騰訊安全團隊監測發現,直到現在依然有部分企業、機構存在電腦未修複該高危漏洞。一年前爆發流行的WannaCry勒索病毒仍然在某些企業、機關、事業單位內網出現。

 

以醫療行業安全性相對較高的三甲醫院爲例,42%三甲醫院內依然有PC電腦存在永恒之藍漏洞未修複。平均每天有7家三甲醫院被檢出WannaCry勒索病毒(所幸多爲加密功能失效的病毒版本)

 

制造業正迎來「工業4.0」的重大曆史契機,面對需要將無處不在的傳感器、嵌入式系統、智能控制系統和産品數據、設備數據、研發數據、運營管理數據緊密互聯成一個智能網絡的新模式,一個全新的安全需求正在産生。

 

騰訊高級副總裁丁珂曾經指出:數字經濟時代信息安全已不只是一種基礎能力,還是産業發展升級的驅動力之一;安全是所有0前面的1,沒有了1,所有0都失去了意義。

 

五、勒索病毒家族活躍TOP榜

伴隨著數字貨幣過去兩年的高速發展,在巨大的利益誘惑,以GandCrab,GlobeImposter,Crysis等爲代表的勒索家族依然高度活躍,以上爲2018年最具代表性的10個勒索病毒家族,下面通過簡單介紹讓大家了解當前流行的勒索病毒。

 

1.GandCrab:
GandCrab最早出現于2018年1月,是首個使用達世幣(DASH)作爲贖金的勒索病毒,也是2018年也是最爲活躍的病毒之一。GandCrab傳播方式多種多樣,主要有弱口令爆破,惡意郵件,網頁挂馬傳播,移動存儲設備傳播,軟件供應鏈感染傳播。該病毒更新速度極快,在1年時間內經曆了5個大版本,數各小版本更新,最新版本爲5.1.6(截止2018年底),國內最爲最活躍版本爲5.0.4。

 

2.GlobeImposter:
GlobeImposter出現于2017年12月,該病毒發展到今天已有4個大版本,該病毒加密文件完成後添加擴展後綴較多,主要有以下類型,目前最活躍版本病毒加密文件完成後會添加.*4444的擴展後綴。
(GOTHAM .YAYA .CHAK .GRANNY .SKUNK .SEXY .MAKGR .TRUE .BIG1 .LIN .BIIT .BUNNY .FREEMAN .reserve .DREAM .CHIEF.WALKER .Ox4444 .booty .YOYO .BIG3 .xx .BIG2 .sexy2 .sexy1 .China4444 .Help4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444)

 

3.Crysis:
Crysis勒索病毒加密文件完成後通常會添加“ID+郵箱+指定後綴”格式的擴展後綴,例:“id-編號.[gracey1c6rwhite@aol.com].bip,id-編號.[stopencrypt@qq.com].bip”。

 

該病毒通常使用弱口令爆破的方式入侵企業服務器,安全意識薄弱的企業由于多台機器使用同一弱密碼,面對該病毒極容易引起企業內服務器的大面積感染,進而造成業務系統癱瘓。

 

4.WannaCry:
WannaCry于2017年5月12日在全球範圍大爆發,引爆了互聯網行業的“生化危機”。借助“永恒之藍”高危漏洞傳播的WannaCry在短時間內影響近150個國家,致使多個國家政府、教育、醫院、能源、通信、交通、制造等諸多關鍵信息基礎設施遭受前所未有的破壞,勒索病毒也由此事件受到空前的關注,由于當前網絡中仍有部分機器未修複漏洞,所以該病毒仍然有較強活力(大部分加密功能失效)。

 

5.Satan:
撒旦(Satan)勒索病毒在2017年初被外媒曝光,被曝光后,撒旦(Satan)勒索病毒并没有停止攻击的脚步,反而不断进行升级优化,跟安全软件做持久性的对抗。该病毒利用JBoss、Tomcat、Weblogic,Apache Struts2等多个组件漏洞以及永恒之蓝漏洞进行攻击感染传播。

 

6.Hermes:
Hermes勒索病毒首次活躍于2017年11月,加密文件完成後會在文件名後添加.HRM擴展後綴。該家族擅長使用釣魚郵件,RDP(遠程桌面管理)爆破攻擊,軟件供應鏈劫持等方式進行傳播,使用RSA+AES的加密方式,在沒有拿到病毒作者手中私鑰情況下,文件無法解密。

 

7.Stop:
该家族病毒不仅加密文件,还会静默安装修改后的TeamViwer进而导致中毒电脑被攻击者远程控制,同时修改Host文件,阻止受害者访问安全厂商的网站,禁用Windows Defender开机启动,实时监测功能,令电脑失去保护。为防止加密文件造成的CPU占用卡顿,还会释放专门的模块伪装Windows补丁更新状态。

 

8.Rapid:
Rapid勒索病毒在2017開始有過活躍,該病毒主要通過弱口令爆破,惡意郵件、網站挂馬等方式進行傳播,目前國內活躍版本加密完成後會添加no_more_ransom的擴展後綴。病毒加密文件後無法解密。

 

9.FilesLocker:
FilesLocker勒索病毒在2018年10月出現,並在網上大量招募傳播代理。目前已升級到2.0版本,加密文件後會添加[fileslocker@pm.me]的擴展後綴。該病毒由于加密完成後使用彈窗告知受害者勒索信息,所以病毒進程未退出情況下有極大概率可通過內存查找到文件加密密鑰進而解密。

 

10.Py-Locker:
该勒索病毒家族使用Python语言编写,令人惊讶的是捕获到的个别样本携带了正规的数字签名,签名人名称为LA CREM LTD,具有正规数字签名的文件极易被安全软件放行。根据勒索信息,受害者若想解密受损文件,必须使用tor浏览器访问境外网站(暗网)购买解密工具。

 

六、勒索病毒未來趨勢
1、勒索病毒與安全軟件的對抗加劇
隨著安全軟件對勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶電腦,病毒傳播者會不斷升級對抗技術方案。

 

2、勒索病毒傳播場景多樣化
過去勒索病毒傳播主要以釣魚郵件爲主,現在勒索病毒更多利用了高危漏洞(如永恒之藍)、魚叉郵件攻擊,或水坑攻擊等方式傳播,大大提高了入侵成功率。

 

3、勒索病毒攻擊目標轉向企業用戶
個人電腦大多能夠使用安全軟件完成漏洞修補,在遭遇勒索病毒攻擊時,個人用戶往往會放棄數據,恢複系統。而企業用戶在沒有及時備份的情況下,會傾向于支付贖金,挽回數據。因此,已發現越來越多攻擊目標是政府機關、企業、醫院、學校。

 

4、勒索病毒更新叠代加快
以GandCrab爲例,當第一代的後台被安全公司入侵之後,隨後在一周內便發布了GandCrab2,該病毒在短短一年時間內,已經升級了5個大版本,無數個小版本。

 

5、勒索贖金提高
隨著用戶安全意識提高、安全軟件防禦能力提升,勒索病毒入侵成本越來越高,贖金也有可能隨之提高。上半年某例公司被勒索病毒入侵後,竟被勒索9.5個比特幣。如今勒索病毒的攻擊目標也更加明確,或許接下來在贖金上勒索者會趁火打劫,提高勒索贖金。

 

6、勒索病毒加密對象升級
傳統的勒索病毒加密目標基本以文件文檔爲主,現在越來越多的勒索病毒會嘗試加密數據庫文件,加密磁盤備份文件,甚至加密磁盤引導區。一旦加密後用戶將無法訪問系統,相對加密而言危害更大,也有可能迫使用戶支付贖金。

 

7、勒索病毒開發門檻降低
觀察近期勒索病毒開發語言類型可知,越來越多基于腳本語言開發出的勒索病毒開始湧現,甚至開始出現使用中文編程“易語言”開發的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒,易語言供應鏈傳播鬧的沸沸揚揚的“unname1889”勒索病毒,門檻低意味著將有更多的黑産人群進入勒索産業這個領域,也意味著該病毒將持續發展泛濫。

 

8、勒索病毒産業化
隨著勒索病毒的不斷湧現,騰訊禦見威脅情報中心甚至觀察到一類特殊的産業誕生:勒索代理業務。當企業遭遇勒索病毒攻擊,關鍵業務數據被加密,而理論上根本無法解密時,而勒索代理機構,承接了受害者和攻擊者之間談判交易恢複數據的業務。

 

9、勒索病毒感染趨勢上升
隨著虛擬貨幣的迅速發展,各類型病毒木馬盈利模式一致,各類型病毒均有可能隨時附加勒索屬性。蠕蟲,感染,僵屍網絡,挖礦木馬,在充分榨幹感染目標剩余價值後,都極有可能下發勒索功能進行最後一步敲詐,這一點觀察GandCrab勒索病毒發展趨勢已有明顯的體現,預測未來勒索病毒攻擊將持續上升。

 

七、勒索病毒預防措施
1.定期進行安全培訓,日常安全管理可參考“三不三要”思路
1)不上鈎:標題吸引人的未知郵件不要點開
2)不打開:不隨便打開電子郵件附件
3)不點擊:不隨意點擊電子郵件中附帶網址
4)要備份:重要資料要備份
5)要確認:開啓電子郵件前確認發件人可信
6)要更新:系統補丁/安全軟件病毒庫保持實時更新

 

2.全網安裝專業的終端安全管理軟件,由管理員批量殺毒和安裝補丁,後續定期更新各類系統高危補丁。 

 

3.部署流量監測/阻斷類設備/軟件,便于事前發現,事中阻斷和事後回溯。

 

4.建議由于其他原因不能及時安裝補丁的系統,考慮在網絡邊界、路由器、防火牆上設置嚴格的訪問控制策略,以保證網絡的動態安全。

 

5.建議對于存在弱口令的系統,需在加強使用者安全意識的前提下,督促其修改密碼,或者使用策略來強制限制密碼長度和複雜性。 

 

6.建議對于存在弱口令或是空口令的服務,在一些關鍵服務上,應加強口令強度,同時需使用加密傳輸方式,對于一些可關閉的服務來說,建議關閉不要的服務端口以達到安全目的。不使用相同口令管理多台關鍵服務器。

 

7.建議網絡管理員、系統管理員、安全管理員關注安全信息、安全動態及最新的嚴重漏洞,攻與防的循環,伴隨每個主流操作系統、應用服務的生命周期。

 

8.建議對數據庫賬戶密碼策略建議進行配置,對最大錯誤登錄次數、超過有效次數進行鎖定、密碼有效期、到期後的寬限時間、密碼重用等策略進行加固設置。

 

9.建議對數據庫的管理訪問節點地址進行嚴格限制,只允許特定管理主機IP進行遠程登錄數據庫。

 

做好安全災備方案,可按數據備份三二一原則來指導實施
1.至少准備三份:重要數據保證至少有三個以上的備份。
2.兩種不同形式:將數據備份在兩種不同的存儲類型,如服務器/移動硬盤/雲端/光盤等。
3.一份異地備份:至少一份備份存儲在異地,當發生意外時保證有一份備份數據安全。

 

 

?

新聞動態

聯系方式丨CONTACT

  • 聯系電話:023-81661602
  • 公司地址:合川區工業園區科技孵化大樓
  • Q Q咨询:10001
  • 企業郵箱:cqxxaqcyyjy@cisiri.com
首頁
電話
短信
聯系