最近,勒索軟件成為了全民熱議話題,甚至也可說是全球熱議話題。全球共有 150 多個(gè)國(guó)家遭到病毒“永恒之藍(lán)”的攻擊,校園網(wǎng)、公安網(wǎng)、醫(yī)療網(wǎng)等專線專網(wǎng)成為被攻擊的主要對(duì)象,人們紛紛獻(xiàn)計(jì)獻(xiàn)策,也成功的遏制住了病毒的繼續(xù)蔓延。其實(shí),勒索軟件對(duì)于安全圈里的人來說,已經(jīng)算是一個(gè)老生常談問題。
“永恒之藍(lán)”WannaCry勒索病毒分析報(bào)告
瑞星安全研究院多年來一直嚴(yán)密跟蹤勒索軟件、敲詐病毒的情況,下面我們將就勒索軟件歷史、傳播途徑、家族種類、受害人群、爆發(fā)原因及防護(hù)建議等進(jìn)行全面分析,如果你想全面了解勒索軟件,看完這篇就夠了。
最早的一批勒索軟件病毒大概出現(xiàn)在8、 9 年前,那時(shí)候的勒索軟件作者還沒有現(xiàn)在那么惡毒大膽,勒索的形式還比較溫和,主要通過一些虛假的電腦檢測(cè)軟件,提示用戶電腦出現(xiàn)了故障或被病毒感染,需要提供贖金才能幫助用戶解決問題和清除病毒,期間以FakeAV為主。
隨著人們安全意識(shí)的提高,這類以欺騙為主的勒索軟件逐漸的失去了它的地位,慢慢消失了。伴隨而來的是一類locker類型的勒索軟件。此類病毒不加密用戶的數(shù)據(jù),只是鎖住用戶的設(shè)備,阻止對(duì)設(shè)備的訪問,需提供贖金才能幫用戶進(jìn)行解鎖。期間以LockScreen 家族占主導(dǎo)地位。由于它不加密用戶數(shù)據(jù),所以只要清除了病毒就不會(huì)給用戶造成任何損失。由于這種病毒帶來危害都能夠很好的被解決,所以該類型的勒索軟件也只是曇花一現(xiàn),很快也消失了。
隨之而來的是一種更惡毒的以加密用戶數(shù)據(jù)為手段勒索贖金的勒索軟件,“永恒之藍(lán)”就屬于此類勒索軟件。由于這類勒索軟件采用了一些高強(qiáng)度的對(duì)稱和非對(duì)稱的加密算法對(duì)用戶文件進(jìn)行加密,在無法獲取私鑰的情況下要對(duì)文件進(jìn)行解密,以目前的計(jì)算水平幾乎是不可能完成的事情。正是因?yàn)橛羞@一點(diǎn),該類型的勒索軟件能夠帶來很大利潤(rùn),各種家族如雨后春筍般出現(xiàn)了,比較著名的有CTB-Locker、TeslaCrypt、CryptoWall、Cerber 等等。
勒索軟件的傳播途徑和其他惡意軟件的傳播類似,垃圾郵件是最主要的傳播方式。攻擊者通常會(huì)用搜索引擎和爬蟲在網(wǎng)上搜集郵箱地址,然后利用已經(jīng)控制的僵尸網(wǎng)絡(luò)向這些郵箱發(fā)有帶有病毒附件的郵件。
Exploit Kit也是勒索軟件常用的攻擊手段,它是一種漏洞利用工具包,里面集成了各種瀏覽器、Flash和PDF等軟件漏洞代碼。攻擊流程通常是:在正常網(wǎng)頁(yè)中插入跳轉(zhuǎn)語句或者使用詐騙頁(yè)面和惡意廣告等劫持用戶頁(yè)面,觸發(fā)漏洞后執(zhí)行shellcode并下載惡意病毒執(zhí)行。常見比較著名的EK有Angler、Nuclear、Neutrino和RIG等。勒索軟件也會(huì)利用EK去投毒,當(dāng)用戶機(jī)器沒有及時(shí)打補(bǔ)丁的情況下被劫持到攻擊頁(yè)面的話,中毒的概率是比較高的。
勒索軟件還有一種使用的越來越多的攻擊手段定向攻擊,“永恒之藍(lán)”就屬于本類攻擊手段。攻擊者有針對(duì)性的對(duì)某些互聯(lián)網(wǎng)上的服務(wù)器進(jìn)行攻擊,通過弱口令或者一些未及時(shí)打補(bǔ)丁的漏洞對(duì)服務(wù)器進(jìn)行滲透,獲得相應(yīng)的權(quán)限后在系統(tǒng)執(zhí)行勒索病毒,破壞用戶數(shù)據(jù),進(jìn)而勒取贖金。
勒索軟件的家族種類中,Cerber 家族是 2016 年年初出現(xiàn)的一款新型勒索軟件。從年初的1. 0 版本一直更新到現(xiàn)在的4. 0 版。傳播方式主要是垃圾郵件和EK掛馬。索要贖金為1- 2 個(gè)比特幣。到目前為止加密過后的文件沒有公開辦法進(jìn)行解密。
Locky家族也是 2016 年流行的勒索軟件之一,和Cerber 的傳播方式類似,主要采用垃圾郵件和EK。勒索贖金0.5- 1 個(gè)比特幣。
CryptoWall家族也是 2016 年較流行的一款勒索軟件,勒索贖金1. 5 個(gè)比特幣。最主要的傳播方式是垃圾郵件和EK傳播。垃圾郵件附件中通常包含一個(gè)doc文檔,文檔打開后會(huì)加載宏釋放wsf文件并執(zhí)行,從網(wǎng)上下載勒索病毒運(yùn)行。
為了能夠獲取最大的利潤(rùn),攻擊者通常是不區(qū)分受害者對(duì)象的。就目前勒索軟件最主要的傳播途徑來看,個(gè)人用戶比企事業(yè)組織受害比例要高。隨著各人市場(chǎng)攻擊的飽和,必然會(huì)使攻擊者轉(zhuǎn)向企事業(yè)單位和政府組織,企事業(yè)面臨的風(fēng)險(xiǎn)也會(huì)越來越大。
勒索軟件都采用成熟的密碼學(xué)算法,使用高強(qiáng)度的對(duì)稱和非對(duì)稱加密算法對(duì)文件進(jìn)行加密。除非在實(shí)現(xiàn)上有漏洞或密鑰泄密,不然在沒有私鑰的情況下是幾乎沒有可能解密。當(dāng)受害者數(shù)據(jù)非常重要又沒有備份的情況下,除了支付贖金沒有什么別的方法去恢復(fù)數(shù)據(jù),正是因?yàn)檫@點(diǎn)勒索者能源源不斷的獲取高額收益,推動(dòng)了勒索軟件的爆發(fā)增長(zhǎng)。
互聯(lián)網(wǎng)上也流傳有一些被勒索軟件加密后的修復(fù)軟件,但這些都是利用了勒索軟件實(shí)現(xiàn)上的漏洞或私鑰泄露才能夠完成的。如Petya和Cryptxxx家族恢復(fù)工具利用了開發(fā)者軟件實(shí)現(xiàn)上的漏洞,TeslaCrypt和CoinVault家族數(shù)據(jù)恢復(fù)工具利用了key的泄露來實(shí)現(xiàn)的。
幾乎所有勒索軟件支付贖金的手段都是采用比特幣來進(jìn)行的。比特幣因?yàn)樗囊恍┨攸c(diǎn):匿名、變現(xiàn)快、追蹤困難,在加上比特幣名氣大,大眾比較熟知,支付起來困難不是很大而被攻擊者大量使用。可以說比特幣很好的幫助了勒索軟件解決贖金的問題,進(jìn)一步推動(dòng)了勒索軟件的繁榮發(fā)展。
勒索軟件服務(wù)化,開發(fā)者提供整套勒索軟件的解決方案,從勒索軟件的開發(fā)、傳播到贖金的收取都提供完整的服務(wù)。攻擊者不需要任何知識(shí),只要支付少量的租金及可租賃他們的服務(wù)就可以開展勒索軟件的非法勾當(dāng)。這大大降低了勒索軟件的門檻,推動(dòng)了勒索軟件大規(guī)模爆發(fā)。
1)定期備份系統(tǒng)與重要文件,并離線存儲(chǔ)獨(dú)立設(shè)備。
2)使用專業(yè)的電子郵件與網(wǎng)絡(luò)安全工具,可分析郵件附件、網(wǎng)頁(yè)、文件是否包括惡意軟件,帶有沙箱功能。
3)經(jīng)常給操作系統(tǒng)、設(shè)備及第三方軟件更新補(bǔ)丁。
4)使用專業(yè)的反病毒軟件、防護(hù)系統(tǒng),并及時(shí)更新。
5)設(shè)置網(wǎng)絡(luò)安全隔離區(qū),確保既是感染也不會(huì)輕易擴(kuò)散。
6)針對(duì)BYOD設(shè)置同樣或更高級(jí)別的安全策略。
7)加強(qiáng)員工(用戶)安全意識(shí)培訓(xùn),不要輕易下載文件、郵件附件或點(diǎn)擊郵件中的不明鏈接。
8)受感染后盡量不要給勒索者付贖金,不要去縱容勒索者,增加他們的收入去繼續(xù)破壞更多的人。
點(diǎn)擊排行
推薦文章
