1、勒索病毒介绍
最早的勒索病毒源自美国国安局。一个叫“shadowbroker”的黑客组织从美国国安局下属单位窃取数据的时候,顺手从国安局的武器库里偷出来一些黑客工具,直接就公开到了互联网上。
公开之后,有黑客基于这些工具开发勒索病毒,进行敲诈勒索。第一批人尝到甜头之后,越来越多的人开始效仿,开发变种病毒。从此,勒索病毒开始席卷全球,灾难开始爆发。
勒索病毒就长上面这样。服务器中了勒索病毒之后,服务器上的文件会被加密,无法打开。病毒完成加密之后,会在界面上弹出勒索信息:你的文件都被加密了,只有拿到私钥,才能解密。支付几个比特币的赎金,就给你解密的私钥。
这种加密的破解难度很高,所以很多公司无可奈何之下,只能选择支付赎金。
2、勒索病毒为什么能肆虐
(1)病毒变种多,难以查杀
勒索病毒变种非常多,变化很快。杀毒软件一般是根据已知的病毒库去对比特征、发现病毒的。新开发的病毒的特征没那么快进入病毒库,所以很多新病毒,杀毒软件识别不出来。
一般勒索病毒的开发者发布病毒之前,肯定也会自己测一下,常见的杀毒软件杀不了,才去展开攻击。所以,面对勒索病毒,现有防病毒手段难以奏效。
(2)传染性极强
勒索病毒可以通过漏洞传播,国内大量用户使用盗版系统,补丁更新不及时,导致漏洞广泛存在。
用户中毒后,勒索病毒会自动扫描其他设备的漏洞,所以传播性极强。
(3)病毒开发者难以追踪
勒索过程一般是用比特币结算的,比特币是去中心化的,没有一个总的服务器可以查询账户对应的个人信息,所以基本追踪不到黑客本人。世界上这么多勒索病毒,现在都没几个开发者落网。
成本低而且收益高,所以搞勒索病毒的人越来越多。
3、勒索病毒的传播原理
勒索病毒可以通过漏洞、邮件、程序木马、网页挂马等形式传播。利用漏洞进行传播是勒索病毒最常见的传播方式。
最早的勒索病毒只是一个软件,现在勒索病毒技术上越来越强大,已经变成云服务了(RaaS,Ransomware-as-a-Service勒索软件即服务)。云服务让勒索病毒更加强大。例如,加密所用的密钥是从云端获取的,勒索信息在后台可以实时编辑等等。
(1)传播目标
从操作系统方面看,传播目标中Windows和Linux都有。重灾区是WindowsXP、Windows7等老旧系统。虽然微软官方都已经不再维护了,但是国内很多的机关单位仍在大量的使用这些老旧的系统。
个人电脑和企业服务器都是勒索病毒的目标。企业服务器多暴露在公网,所以比个人电脑更容易被攻击。
(2)入侵
勒索病毒攻击一般始于网络端口扫描。找到网络内高价值服务器、数据库后,利用漏洞进入目标服务器。
著名的勒索病毒WannaCry就是利用了Windows的smb协议(文件共享)的漏洞进行传播的。扫描端口,发现漏洞之后,就能在电脑里执行任意代码,植入后门程序,然后继续扫描传播。
WannaCry使用Doublepulsar后门程序向目标电脑传输木马和其他下一步所需的工具,远程安装并运行。
传输过程是加密的,安全设备很难检测到恶意软件的传输。
为什么第一批病毒受害者多为高校、医院等机构呢?就是因为很多勒索病毒是利用端口进行攻击。
由于国内曾多次出现利用端口传播的蠕虫病毒,部分运营商对个人用户封掉了端口。但是教育网并无此限制,存在大量暴露着端口的机器,因此成为攻击的重灾区。
(3)获取密钥
勒索病毒的加密算法几乎都比较复杂,需要获取“密钥”才能进行加密。而且要保证对每个用户使用不同的密钥。
所以,勒索病毒利用漏洞入侵目标之后,首先要从自己的服务器端获取密钥,才能开始加密。
为了隐藏自己,勒索病毒跟服务端的通信一般都是通过Tor协议进行通信,或者是经过多层代理服务器的跳转然后进行通信。这两种方式都可以防追踪,避免服务器被别人发现。
所以,WannaCry利用后门进入目标电脑之后,第一件事就是安装一个tor客户端,再通过tor客户端与自己的服务器通信。
勒索病毒会上传当前设备的信息,比如系统版本等,勒索病毒服务器根据设备信息来判断下发什么样的加密方式和密钥。
(4)收集目标文件
勒索病毒会进行一些准备工作,为下一步文件加密做好准备。
例如,勒索病毒会停掉数据库和服务器,释放其所占用的资源,以便对这些数据进行加密。
勒索病毒会使用工具破坏服务器内的安全软件,例如关闭WindowsDefender。
最后勒索病毒一般会对被攻击计算机上的文件进行遍历,对比文件的扩展名,找到最有价值的数据进行加密。
不同的病毒会以不同的文件为目标,WannaCry的目标包括office文档、代码、视频、图片、程序、密钥、数据库文件、虚拟盘等等。
(5)文件加密
勒索病毒的加密过程很快。受害者的文件会被篡改文件后缀。加密后的各类文件都无法正常打开,只有支付赎金才能解密恢复。
例如,Ripid病毒对文件进行加密之后,就会添加.rapid拓展名。并在每个文件夹中创建“HowRecoveryFiles.txt”提示文件,让受害者知道如何进行付款。
(6)勒索信息
勒索病毒的最后一步就是展示勒索信息。
例如,WannaCry会在加密文件之后,运行锁屏程序,并进行重启,用户再次进入电脑时就会看到弹出的勒索信息。
比较讽刺的是一般勒索病毒的体验会做的特别的好。
例如,一般勒索信息都支持多语言切换。
做勒索病毒的人里面还有很多营销大师。
例如,48小时内未支付,赎金翻倍。如不交赎金,则会将数据公开拍卖。企业即使在有文件备份的情况下,为了数据不被泄露,也不得不交付赎金。
(7)其他进攻手段
僵尸网络、银行木马等与勒索病毒的合作也越来越多,例如MegaCortex勒索病毒会通过Qakbot银行木马传播,Ryuk勒索病毒会通过Trickbot银行木马传播。
甚至有人会在“暗网”招收不同地区的代理进行合作,利用RDP弱口令渗透、钓鱼邮件、软件捆绑、漏洞等多种手段进行传播。
例如,STOP勒索病毒会藏匿在激活工具、下载器、破解软件内,”
转载请注明:http://www.wangguoqiangq.com/sglbmj/6439.html
