年4月中旬,“永恒之蓝”攻击工具在网络盛传,5月不法分子通过改造此工具制作了wannacry勒索病毒,医院、高校、企业、政府及个人PC接连不断中招,受害者被要求支付高额赎金才可解密恢复文件,这是勒索病毒第一次以如此“亲民”的方式大规模渗透进各类网络。
年12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“年度中国媒体十大新词语”。由于近年来数字加密币的流行,勒索病毒感染正处于愈演愈烈的态势。
1.1.无法估量损失的新型电脑病毒勒索病毒(英:Ransomware),是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播,通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索钱财。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。由于原理是利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。
1.2.勒索病毒进程演变,动机始终为金钱变现事实上,wannacry不是第一个在国内出现的勒索病毒。早期的勒索病毒通常是通过钓鱼邮件、社工等方式传播,通常传播规模量比较小,随着年NSA方程式工具泄露,“永恒之蓝”工具被大量利用,勒索病毒开始爆发式增长。
目前已知最早的勒索病毒雏形诞生于年,该木马程序以“艾滋病信息引导盘”的形式进入系统,采用替换DOS系统文件的方式,实现开机记数。一旦系统启动次数达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密,从而导致系统无法启动。此时,屏幕显示信息,声称用户的软件许可已经过期,要求用户通过指定邮箱支付赎金以解锁系统。该病毒被称为艾滋病特洛伊木马或PCCyborg病毒。
年出现的Redplus勒索木马是中国大陆首个勒索软件。该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。该木马程序运行时,还会试图终止除几个系统进程之外的所有正在运行的进程程序。如果计算机系统中装有反病毒软件和一些病毒分析工具,木马也会将其进程终止,以达到保护自己的目的。据国家计算机病毒应急处理中心统计,来自全国各地的该病毒及其变种的感染报告有例。次年,出现的新型蠕虫病毒开始使用更复杂的RSA加密方案,同时密钥大小不断增加。
图1Redplus勒索木马
后来,勒索病毒又有了另外一种表现形式,那就是“非法”设置开机密码。对于这一种“敲诈”方法,实际上进入PE后直接去掉开机密码就可以了,数据不会丢失。
图2“非法”设置开机密码
年,随着比特币市场的疯狂兴起,勒索赎金的支付方式也产生的很大变化。早期的勒索软件采用传统的邮寄方式接收赎金,会要求受害者向指定的邮箱邮寄一定数量的赎金,或者向指定号码发送可以产生高额费用的短信。直到比特币这种虚拟货币出现,为勒索软件提供了更为隐蔽的赎金获取方式年以来,勒索软件逐渐采用了比特币为代表的虚拟货币支付方式,不可溯源的赎金渠道加速了勒索软件的泛滥。
图3如今人尽皆知的勒索病毒界面
1.3.实际众多勒索事件难破解,解密不是万能药事实上,能够在勒索事件后成功解密的组织机构并不多,愈发复杂的加密方式给黑客带来了更大的信心,许多中招的客户经常为黑客的加密方式和密码的复杂性感到苦恼,总而言之,勒索病毒在多数情况下难以解密。
图4常见的勒索病毒(GlobeImposter勒索病毒家族的最新变种)加密方式
与此同时,已有些许受害者会发现,即使乖乖交了赎金,黑客也有可能不信守承诺,不帮用户解密。
图5支付赎金后,黑客并未如期解密
2.病毒种类常见的勒索病毒主要有以下几类:
2.1.文件加密勒索病毒所有文件被加密(文件、图片、视频甚至是数据库),受感染的文件被加密后会被删除,用户通常会在文件夹中看到一个包含付款说明的文本文件。当用户尝试打开其中一个加密文件时,才可能会发现问题。最典型的案例就是WannaCry,该类型勒索病毒是目前最常见的勒索病毒。感染文件型勒索病毒后,病毒会更改系统桌面并展示勒索支付提示。
图6受害者桌面的警示文件
2.2.锁屏勒索病毒锁屏病毒会锁定电脑屏幕并要求付款。它会呈现一个全屏图像并阻止所有其它窗口开启。幸运的是,这种类型的勒索病毒并不会加密用户的数据文件,数据有挽回的可能。
图7锁屏病毒示例
2.3.主引导记录(MBR)勒索病毒主引导记录(MBR)是电脑硬盘驱动器的一部份,影响操作系统的启动功能。主引导记录勒索病毒会更改电脑的主引导记录,中断电脑的正常启动,然后在屏幕上显示要求赎金的内容,最流行的Petya就属于这类病毒。这类病毒不同于文件型勒索病毒,感染后病毒可能采用磁盘级加密技术覆写磁盘,数据基本无挽回可能。
图8Petya变种病毒页面
2.4.网络服务器加密勒索病毒这类病毒专门针对网络服务器上的文件进行加密。它通常使用内容管理系统中的已知漏洞,在网络服务上释放和安装勒索病毒,例如最近经常碰到的master勒索病毒。
2.5.移动设备勒索软件(安卓)目前针对移动设备的勒索病毒主要存在于安卓系统上(iOS系统安全性要高一些,但也要注意及时升级),用户遭受感染的方式一般为下载、浏览不信任程序以及网站或伪装程序。
2.6.另类的勒索攻击-DDoS攻击通过DDoS攻击来堵塞服务器通道。万幸的是这样的攻击不会影响到企业的数据安全。目前,国内市场中常常出现的DDoS一般分为四种:ARP攻击、ICMP攻击、TCP攻击、应用层攻击。DDoS攻击日渐猖獗,大量实践数据表明,DDoS特别青睐于安全管理等级不高的服务器。
3.病毒传播方式勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。:
3.1.远程桌面入侵攻击者大多利用弱口令漏洞、系统漏洞等方式获得远程登录用户名和密码,之后通过RDP(远程桌面协议)远程登录目标服务器并运行勒索病毒程序。“黑客”一旦能够成功登录服务器,就可以在服务器上为所欲为。即使服务器上安装了安全软件,也有可能会被黑客第一时间手动退出,以便于后续投毒勒索。
如常见的GlobeImposter勒索病毒,主要是开启远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放病毒加密文件进行勒索,医院被入侵,医院系统瘫痪,患者无法正常接受治疗。
3.2.共享文件夹入侵此类病毒通常会结合远程桌面入侵,对本地磁盘与共享文件夹的所有文件进行加密,导致系统、数据库文件被加密破坏。
3.3.网站挂马黑客通过在色情网站某些页面中嵌入恶意代码文件,当网民、企业员工访问色情网站时,触发恶意代码,导致电脑被勒索病毒感染,严重者甚至会感染整个组织机构/企业的网络。
3.4.恶意软件黑客利用恶意软件试图获取计算机系统和网络的资源以及在未获得用户的许可时得到其私人的敏感信息,如个人信息凭证,并以此进一步入侵网络,实施勒索病毒入侵。
图10下载恶意软件容易引起勒索事件
3.5.邮件传播这种传播方式也是病毒界老套路的传播方式。病毒执行体附着于邮件附件的docx、XLS、TXT等文件中,攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件,一旦收件人打开邮件附件或者点击邮件中的链接地址,勒索软件会以用户看不见的形式在后台静默安装,实施勒索。
图9伪装为发票的勒索病毒
3.6.漏洞传播这种传播方式是这几年非常流行的病毒传播方式。通过网络、系统、应用程序的漏洞攻击用户。例如国内曾经泛滥的WannaCry就是这样的典型:利用微软端口协议漏洞,感染传播网内计算机。
3.7.捆绑传播与其他恶意软件捆绑传播,这种传播方式这两年有所变化。有用户使用P2P下载例如Bt、迅雷、电驴等下载工具下载文件后,勒索病毒体同下载文件进行捆绑导致用户感染。
3.8.介质传播(如U盘蠕虫传播)可移动存储介质、本地和远程的驱动器以及网络共享传播、社交媒体传播。
4.病毒传播特征4.1.漏洞利用手段加持,勒索病毒传播更迅速我们能够看到,在过去几次大规模爆发的勒索病毒事件中,黑客主要利用钓鱼邮件、恶意链接、RDP口令爆破等传播渠道为主,诱导用户点击运行相应的程序。而随着各类漏洞信息的披露、信息系统的普及、复杂的网络环境、难以区分的网络边界,勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等非常专业的黑客攻击方式传播,乃至通过软件供应链传播,大大提高了入侵成功率和病毒影响面。
4.2.勒索病毒多平台扩散目前受到的勒索病毒攻击主要是windows系统,但也陆续出现了针对MacOS、Linux等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增加。
4.3.安全软件对抗持久,勒索病毒持续变种目前仅国内来看,已有众多杀毒软件、病毒防护软件与勒索病毒进行抗衡,原理多基于病毒库、沙箱、文件备份、诱捕等方式,随着各类安全软件对于勒索病毒的免疫能力持续升级,基于原有特征的入侵已相对较难,因此勒索病毒需要不断演变,即演变成我们常说的变种病毒,才能够提高感染的成功率,这也是当前勒索病毒常见的手段。
4.4.愈加复杂密码算法加码,受害者无奈妥协如今,虽然已有部分厂商能够对数据进行恢复,但大多依赖已公开的密钥和解密方式,如果为了降低厂商的破解效率和能力,狠心的黑客很有可能大范围使用诸如的RSA等加密算法,可以用“太阳系爆炸了都无法破解来形容了”,因此做好事前防范才是关键。
4.5.勒索病毒蹭热点,诱导受害者点击中招勒索病毒在不断演变的过程中,本身也增加了许多带有社会事件话题的影子,如年新出现的“新冠肺炎”勒索病毒,人们对“新冠肺炎”的
转载请注明:http://www.wangguoqiangq.com/sglbdl/6762.html
