2019年应该是针对企业的勒索病毒攻击大爆发的一年。今年,似乎世界各地都在被“勒索”。每天,全球不同政府、企业、组织机构被勒索软件攻击的消息不断被曝光。勒索软件已经成为网络安全的最大威胁。利用勒索软件进行攻击的网络犯罪活动也是世界上危害最大的网络犯罪活动。勒索软件已成为地下黑客论坛中最流行的软件。讨论最流行的恶意软件,让我们来看看2019年全球流行的十大勒索软件家族。1、STOP勒索病毒STOP勒索病毒最早出现于2018年2月左右,自2018年8月开始在全球范围内活跃,主要通过捆绑其他破解软件和广告软件包进行感染和传播。TheSTOP勒索病毒在过去一两年内与KMS激活工具捆绑在一起,甚至与其他杀毒软件捆绑在一起。截至目前,该勒索病毒的变种已超过160个,虽然之前Emsisoft发布了解密工具,可以解密140多个变种,但最新一批STOP勒索病毒依然无法解密。该勒索病毒的加密文件如下:勒索提示信息如下:2.GandCrab勒索病毒GandCrab勒索病毒最早出现于2018年1月感染一家韩国公司后,GandCrab在全球范围内迅速扩张,其中受害者在美国2018年初。至少有8个关键基础设施部门受到此勒索软件的影响。GandCrab也迅速成为最受欢迎的勒索软件。据估计,到2018年年中,勒索软件已经占据了勒索软件市场份额的50%。专家估计,GandCrab已在全球范围内感染超过50万受害者,并造成超过3亿美元的损失。GandCrab使用勒索软件即服务(RaaS)商业模式运营,通过向购买勒索软件服务的合作伙伴分发恶意软件以换取40%的赎金。从2018年1月到2019年6月,该勒索软件出现了多个不同的变种。2019年1月,这款勒索病毒TheGandCrab5.1变种开始在全球范围内蔓延,直到2019年6月1日,GandCrab勒索病毒运营团队宣布关闭其网站,并声称已赚取20亿美元赎金。两周后,Bitdefender和Europol组织、FBI、许多执法机构和NoMoreRansom发布了GandCrab勒索软件的解密工具,可适用于GandCrab1.0、4.0、5、5.2等版本。本次勒索病毒到此结束,加密后的文件,如下图:勒索病毒提示信息,如下图:该勒索病毒的最新变种确实在过去六个月内未发现,已被另一种新型病毒所取代勒索软件REvil/Sodinokibi,以及该勒索软件完整版的解密工具也已经发布。3.REvil/Sodinokibi勒索软件Sodinokibi勒索软件(又称REvil),于2019年5月24日在意大利首次被发现,被发现利用RDP攻击在意大利传播感染。这种病毒被称为GandCrab勒索软件,在短短几个月内,这种勒索软件已经在全球广泛传播。该勒索软件与GandCrab勒索软件之间存在诸多关联。信息相关报道,Sodinokibi勒索软件也以勒索软件即服务(RAAS)的模式进行分发和销售,并使用了一些反病毒技术来避免被安全软件检测到,主要是通过OracleWebLogic漏洞、FlashUAF漏洞、网络利用钓鱼邮件、RDP端口、漏洞利用工具包以及对某些托管服务提供商MSP的攻击来发起攻击。该勒索病毒加密文件如下:勒索提示信息如下:4.Globelmposter勒索病毒Globelmposter勒索病毒该病毒最早出现于2017年5月,主要通过钓鱼邮件传播。2018年2月,Globelmposter变种样本2.0版在国内各大医院爆发。通过溯源分析,发现该勒索病毒可能通过RDP爆破、社会工程学等方式进行传播,该勒索病毒采用RSA2048加密算法,导致加密文件无法解密,在接下来的一年多时间里,该勒索病毒不断变异,2018年8月出现了该勒索病毒的“生肖”版本,2019年7月该勒索病毒的“十二宫”版本出现,两个版本相差整整一年,并出现了一些小问题《十二王爷》版本之后的版本变化,主要是加密文件的后缀有一些细微的变化。该勒索病毒的加密文件如下:勒索提示信息如下:5.CrySiS/Dharma勒索病毒CrySiS勒索病毒又名Dharma,2016年首次出现,2017年5月公布该勒索病毒的万能钥匙后,之前的样本可以被解密,导致勒索病毒暂时消失,但紧接着又出现了新变种,加密后缀为java,通过RDP暴力破解进入受害者服务器进行加密勒索。该勒索病毒的加密算法采用AES+RSA方式进行加密,导致加密文件无法解密。在过去的一年里,这种勒索病毒异常活跃,变种已达百余种,该勒索病毒的加密文件如下:勒索提示信息如下:6.Phobos勒索病毒Phobos勒索病毒在2019年非常活跃,该勒索病毒最早出现于2018年12月,国外安全研究人员当时发现的一种新型勒索病毒被发现。加密后的文件后缀名为Phobos。这种新型勒索软件与CrySiS(Dharma)勒索软件有很多相似之处。它还使用RDP暴力破解进行传播。两者都使用勒索软件非常容易混淆。如果要确认是哪个家族的勒索病毒,最好的办法就是抓取相应的样本,然后通过人工分析确认。只需通过勒索提示信息,就很容易了。很难判断这两款勒索软件背后是否是同一个黑客组织在操作,还需要抓取更多证据。该勒索病毒的加密文件如下:勒索病毒提示信息如下:7.Ryuk勒索病毒Ryuk勒索病毒于2018年8月首次被发现,由俄罗斯黑客组织GrimSpider在幕后操作。GrimSpider是一个网络犯罪组织,它使用Ryuk勒索软件对大型企业和组织进行有针对性的攻击。C.R.A.M.TGSoft(反恶意软件研究中心)发现,Ryuk勒索软件主要通过网络攻击通过Emotet或TrickBot银行木马等其他恶意软件进行传播。Emotet和TrickBot银行木马主要用于窃取受害者银行网站的登录凭证,同时充当下载器功能,为下载其他勒索软件提供服务,为什么Emotet和TrickBot银行木马传播Ryuk勒索软件,是因为运营商TrickBot银行木马传播通道的主要成员是俄罗斯黑客组织WIZARDSPIDER,GRIMSPIDER是俄罗斯黑客组织WIZARDSPIDER的分支之一,该勒索病毒的加密文件如下:勒索提示信息如下:8迷宫(maze)勒索病毒迷宫(maze)勒索病毒又名Chacha勒索病毒,由Malwarebytes于2019年5月首次发布安全研究人员首次发现该勒索病毒主要利用各种漏洞利用工具包Fallout、Spelevo、假冒网站伪装成合法网站加密货币交换应用程序,或链接到马匹以进行分发和传播的网站。近日,Proofpoint的安全研究人员发现了一个新型黑客组织TA2101,它通过垃圾邮件对德国、意大利和美国发起网络攻击,并传播Maze勒索病毒。这个勒索软件的加密文件,如下图:勒索提示信息,如下图:9.Buran勒索病毒Buran勒索病毒最早出现于2019年5月,是一种基于RaaS模型传播的新型勒索病毒。在俄罗斯某知名论坛的销售中,与其他基于RaaS的勒索软件(如GandCrab)赚取30%-40%的收入不同,Buran勒索软件的作者只占感染产生的收入的25%.安全研究人员认为Buran是Jumper勒索病毒的变种样本,同时VegaLocker勒索病毒是该家族的原始起源。由于利润丰厚,它迅速开始在世界范围内传播感染。Buran勒索病毒此前使用RIGExploitKit传播,利用InternetExplorer中比较严重的漏洞CVE-2018-8174,近期发现该勒索病毒使用IQY(MicrosoftExcelWeb查询文件)进行传播,该勒索病毒的加密文件为如下:勒索病毒信息,如下:10.MegaCortex勒索病毒最早于2019年1月在VT上被发现,当时有人在VT上上传了恶意样本。英国网络安全公司Sophos在5月份发布了一份针对MegaCortex勒索软件的相关分析报告。笔者在之前的分析中发现,该勒索病毒的早期版本与去年非常流行的SamSam勒索病毒有些相似。他们都使用了BAT脚本和密码参数。两种勒索病毒的加载方式相似,但暂时没有更多证据证明这两种勒索病毒有关联。自1月份MegaCortex勒索软件上传至VT以来,网络安全公司Sophos监测到勒索软件数量的增长,并对该勒索软件进行了调查。详细分析报告称,该勒索病毒对欧洲和北美多个行业发起勒索攻击,并索要高额赎金。美国、加拿大、荷兰、爱尔兰、意大利、法国的部分企业网络已受到此勒索软件攻击影响,2019年8月发现MegaCortex勒索软件V2.0版本,重新设计加载运行流程,会自动执行不需要安装密码的需求,作者将密码硬编码在二进制文件中,同时作者也加入了一些反分析,以及对各种安全产品的拦截查杀功能和服务。在之前的版本中,这个过程是通过在每个受害主机上手动执行相关的批处理脚本来完成的。最新版本的勒索软件不需要手动执行,封装在二进制程序中。这个勒索软件加密后的文件如下:勒索病毒提示信息如下:笔者对这些全球主流的勒索病毒进行了详细的跟踪研究。相关报道可以查看往期文章。2019年下半年,出现了一些新型勒索软件。勒索病毒,如NEMTY勒索病毒、EvaRichter(GermanWiper)勒索病毒等,这些新型勒索病毒主要在国外流行。目前发现的流行勒索软件,大部分暂时无法解密。重在防御,针对勒索病毒笔者总结如下建议,仅供参考:及时给电脑打补丁,修复漏洞。谨慎打开来历不明的邮件、点击链接或下载附件,尽量不要点击,以防网络钓鱼和邮件附件攻击。office宏运行提示,避免office组件感染病毒,从官方(官网)渠道下载所需软件,不要双击打开.js、.vbs、.bat等后缀的脚本文件病毒库,防止已知病毒样本攻击开启WindowsUpdate自动更新设置,定期升级系统养成良好的备份习惯,定期对重要数据文件进行异地备份,使用网盘或移动硬盘备份个人重要信息数据及时更改文件中的账户密码,设置强密码,避免使用统一密码,因为统一密码会造成一台被盗,多台电脑受害。黑客会使用相同的弱密码来攻击其他主机。如果业务不需要使用RDP,建议关闭。RDP,防止黑客爆破RDP攻击。通过笔者的持续跟踪分析,预计未来一年内勒索病毒攻击事件会越来越多,所使用的攻击手段也会越来越复杂,攻击的针对性和针对性也会越来越强。目的,不排除未来会有更多新的黑客组织加入,通过勒索软件快速获利。各企业要采取相应的防范措施,提高员工的安全意识,防止员工上当受骗。
