勒索软件是黑客组织的主要获利手段数家工厂被关闭,该公司随后向犯罪分子支付了1100万美元的比特币赎金以解决此次攻击。近年来,勒索软件攻击事件频发。计算机劫持不仅会造成人身损失,还会破坏能源、电力等领域的关键基础设施,危害公共安全。据2020年虚拟货币犯罪统计,2020年勒索攻击案件超过140起,案件数量较2019年增长近两倍,支付给勒索软件的虚拟货币赎金金额超过4.16亿美元.勒索软件的前世今生勒索软件又称勒索软件,是一种特殊的恶意软件。与其他病毒最大的区别在于攻击方式和中毒方式。有些勒索软件只是简单地锁定受害者的电脑,同时也有一些勒索软件会系统地加密受害者硬盘上的文件。所有勒索软件都会要求受害者支付赎金以重新获得对计算机的控制权,或者找回受害者无法自行获取的解密密钥。解密文件。一、起源1989年,世界上出现了第一个勒索软件,名为“艾滋信息木马”。它的开发者是1989年获得哈佛大学博士学位的生物学家约瑟夫·波普。他向世界卫生组织报告说,参加艾滋病大会的与会者分发了20000张被感染的软盘,名为“艾滋病信息-入门软盘”,插入时进入电脑,显示如下信息:勒索字条要求用户向PCCyborgCorporation发送189美元以解锁访问权限,历史上第一个勒索软件由此诞生。2006年,国内出现第一个勒索软件——Redplus勒索木马,它会隐藏用户文件,然后弹出窗口勒索赎金,70-200元不等,但实际上用户的文件并没有丢失,而是被只是被盗了。移动到具有隐藏属性的文件夹。2.发展随着2008年比特币的诞生,勒索软件攻击进入了一个新的发展阶段——比特币勒索阶段。2013年下半年,一种名为CryptoLocker的木马以勒索软件的形式出现,新兴的恶意软件主要针对Windows操作系统。它通常通过电子邮件附件传输。执行附件后,会加密特定类型的文件,然后会弹出支付信息窗口。勒索信息称,如果在规定期限内支付比特币赎金,文件即可解密,否则私钥将被销毁,文件将无法再打开。该恶意软件还提供了一种由恶意软件控制的在线服务,该服务以高昂的比特币价格提供解密服务。也就是说,从这个恶意软件开始,黑客开始使用比特币来支付赎金。据消息人士透露,该恶意软件为黑客组织带来了近41,000个比特币。3、2017年4月14日晚,黑客组织影子经纪人(ShadowBrokers)公布了大量网络攻击工具,其中就包括“永恒之蓝”工具。《永恒之蓝》可以利用Windows系统的SMB漏洞获取系统最高权限。WannaCry锁屏界面5月12日,不法分子通过修改“永恒之蓝”创建了WannaCry勒索软件,感染全球计算机和服务器。五小时内,英国、俄罗斯、乌克兰、西班牙和法国在整个欧洲遭到袭击,包括政府、银行、电力系统、通信系统、能源公司、机场和其他重要基础设施。中招企业内网、政府机关私网,勒索高额赎金解密还原文件,造成严重损失。4.平台化2015年,年中发布了名为Tox的勒索软件开发包。任何人都可以通过注册该服务来创建勒索软件。管理面板会显示感染人数、支付赎金的人数和总收入。创始人收取20%的赎金。一些黑客将勒索软件开源,任何人都可以操作和修改勒索软件。支付工具包括比特币和更难追踪的匿名币(如门罗币等)。5、多元化近年来,一些酒店、企业或医院“拖仓”事件频发。黑客组织除了勒索被攻击企业外,还会在暗网黑市上出售窃取的用户隐私数据,以此牟利;另一方面,它还勒索隐私被泄露的用户,称将大规模传播用户隐私,以此恐吓用户勒索赎金。勒索病毒的几种形式勒索病毒的攻击形式多种多样,主要分为:加密数据、锁定系统、数据泄露、恐吓用户等。加密数据:这种形式最为常见,因为这种形式是受害群体最多、社会影响最广的攻击形式。攻击者通常使用非对称加密算法(理论上几乎不可能破解)来保护被攻击系统中的重要数据。没有攻击者的私钥,就无法解密被锁定的文件。然后告知用户,如果要打开个人资料数据,必须通过支付虚拟货币的方式完成解密。锁定系统:锁定系统后,连系统都无法登录。例如系统开机密码被篡改,受害者没有特定的数字密钥就无法访问服务器。攻击者以此为威胁来勒索用户。2019年5月上旬,黑客入侵并控制了美国马里兰州巴尔的摩市约10000台政府计算机,索要13个比特币(价值10万美元),但市政府拒绝支付赎金。政府部门没有特定的数字密钥就无法访问服务器,政府公务员无法访问他们的电子邮件帐户,普通公民无法使用基本的市政服务,包括支付水费、财产税和停车罚单。数据泄露:此类形式主要针对酒店、企业、医院等实施,黑客通过入侵系统窃取企业内部的相关机密数据(用户隐私信息、机密文件等),并要求企业支付费用一定数量的用于数据赎回,否则这批数据将在某个时候公开。恐吓用户:勒索者主要通过攻击用户隐私,利用社会工程学攻击人性弱点,发送大量勒索邮件,声称入侵控制了收件人的电脑,发现了不可告人的隐私秘密,如果不支付勒索,把你的秘密发到网上或者群发给你的朋友,从而达到勒索钱财的目的。勒索软件的传播勒索软件发展迅速,融合了很多恶意软件的传播特性。新型勒索病毒可以在企业内快速传播感染整个网络,加密各种可以访问的数据,甚至导致很多企业的业务中断,这对企业的安全防御提出了巨大的挑战。邮件攻击者通过发送邮件来传播勒索软件,邮件看起来与一些知名机构、品牌或社交网站的界面非常相似,以降低被攻击者的警惕性,攻击者直接将恶意链接放在邮件中或者在邮件的附件中,只要攻击者点击链接或打开附件,就会自动下载并触发包含勒索软件的文件。案例:2019年3月11日起,境外某黑客组织对我国相关政府部门发起勒索病毒邮件攻击。邮件内容为“3月11日下午3点必须到派出所报到!”,附件名为“03-11-19.rar”。研究发现,该勒索软件版本号为GANDCRABV5.2,是目前国内最活跃的勒索软件之一。邮件传输是目前应用最广泛的一种传输方式,由于采用RSA+Salsa20加密方式,受害用户无法获取病毒作者手中的私钥,无法解密。病毒运行后,会对用户主机硬盘上的数据进行加密,并要求受害者支付赎金。网站和下载用户浏览受感染的网站并下载软件,误导用户认为它是正版软件,而实际上它是包含勒索软件的勒索软件。案例:2016年,第一款针对苹果操作系统的勒索软件KeRanger发布。它通过已被感染的TransmissionBitTorrent客户端的安装程序迅速传播。在2016年3月4日至5日下载Transmission的MacOSX用户面临受到恶意软件的威胁。一旦用户安装了勒索软件,KeRanger就会搜索大约300种不同的文件类型,并对找到的任何文件进行加密。随后,勒索软件会弹出勒索提示,要求受害者支付1个比特币的赎金,并要求受害者通过暗网完成赎金支付。利用漏洞传播攻击者抓住了很多人认为打补丁没有用,会拖慢系统的错误观念,所以利用刚刚修复或人们不太重视的漏洞进行传播。如果用户不及时更新系统或安装补丁,即使用户没有进行任何不当操作,也有可能在没有任何警告的情况下感染勒索软件。此类勒索病毒在破坏功能上与传统勒索病毒无异,但由于传播方式不同,防范难度更大。用户需要提高安全意识,尽快更新易受攻击的软件或安装相应的安全补丁。案例:WannaCry是一种“类蠕虫”勒索软件,大小为3.3MB,不法分子利用NSA(国家安全局,美国国家安全局)泄露的危险漏洞“永恒之蓝”进行传播。病毒感染电脑后,会导致大量电脑文件被加密。受害者的电脑被黑客锁定后,病毒会提示支付当时价值约300美元的比特币来解锁。虚拟货币作为勒索从技术角度来说,我们不得不承认勒索软件与虚拟货币的结合堪称完美。在虚拟货币被广泛使用之前,病毒制作者想要直接从勒索软件中获利并不容易,他们除了劫持受害者的??电脑设备或文件外,还必须要求受害者支付现金或银行转账来获取利益。这种方法太容易被警察抓到。因此,在过去的几十年里,勒索病毒虽然存在已久,但并没有大规模爆发,造成巨大的影响。虚拟货币的出现打破了这种平衡。受害者以虚拟货币的形式支付。虚拟货币的匿名性和全球流通性,不仅可以让跨境交易变得极速,还能在一定程度上规避监管。受到勒索软件攻击的企业会收到勒索通知,要求受害者以虚拟货币支付赎金,并且通常包括如何从交易所购买虚拟货币的说明。虽然虚拟货币给黑客组织带来了“新渠道”,但目前能够使用虚拟货币进行直接支付的场景非常少。因此,攻击者拿到虚拟货币赎金后,必须要兑现成法币,这样才有可能通过分析资金流向来追踪资金流向。到罪犯的踪迹。止损及防范措施当我们确认自己受到了勒索病毒的攻击后,应及时采取必要的止损措施,以免损失进一步扩大。确认服务器感染勒索病毒后,应立即隔离感染主机。一方面是为了防止被感染的主机通过连接的网络自动继续感染其他服务器;另一方面是为了防止黑客通过受感染的主机继续操纵其他服务器。常用的隔离操作方法有断开和关机。断网的主要操作步骤包括:拔掉网线,禁用网卡,如果是笔记本电脑,关闭无线网络。感染主机被隔离后,还要检查局域网内的其他机器,查看核心业务系统是否受影响,生产线是否受影响,备份系统是否加密,以确定感染范围。另外,如果备份系统是安全的,就可以避免支付赎金,顺利恢复文件。因此,在确认服务器感染勒索病毒并隔离感染主机后,应立即对核心业务系统和备份系统进行排查。基于勒索病毒可防可控不可治的特点,智帆科技安全专家提醒大家:企业用户:构建网络安全防护体系,加强数据安全防护,设置防火墙,及时更新病毒库,广泛获取威胁情报,建立企业病毒预警机制。个人用户:提高网络安全意识,定期给操作系统打补丁,不点击来路不明的邮件、链接和软件,及时备份重要数据和文件。
