近日,北京江民新科科技有限公司针对2018年勒索病毒的发展现状和趋势,发布了《2018年勒索病毒威胁态势全报告》。本报告由北京江民新科红豹安全实验室编写集江民大数据威胁情报平台、江民终端反病毒监测网络、国内外研究数据、权威媒体公开报道于一体的科技有限公司。长期监测跟踪分析,对2018年全年勒索病毒感染现状及趋势进行分析研究,涵盖勒索病毒的来源、特征、现状、技术趋势及防御方案。一、勒索病毒简介1、什么是勒索病毒?勒索病毒是一种流行的木马程序,通过骚扰、恐吓甚至绑架用户文件,使用户的数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。主要通过漏洞利用、暴力破解RDP弱口令、钓鱼邮件、网页木马等形式传播。该病毒使用各种加密算法对文件进行加密,并向文件所有者索要赎金。如果感染者拒绝支付赎金,则无法获取加密私钥,无法恢复文件。该病毒实际上只是对传统安全技术的一个小的应用创新。过去,加密技术用于防御,现在则用于攻击。从防御到攻击,突然发现原来加密技术可以这么用。近年来,在数字世界中,敲诈勒索业务蓬勃发展。勒索软件的概念最早可以追溯到1989年,当时人们通过手动传送软盘向受害者发送锁定PC的恶意代码,但自2014年以来,随着比特币等加密数字货币的广泛使用,这一品类业务增长迅猛.2、为什么勒索病毒越来越严重?一方面,使用勒索软件的成本非常低。在黑市上,几千块钱就可以买到一个不知名的病毒,一旦勒索成功,就可以赚取几万甚至几十万元的利润。利润是十几倍到几百倍,真是疯了。另一方面,勒索软件保护是一件麻烦事。因为简单粗暴,直接加密文件,不管杀还是埋,只要加密成功,就等着勒索。传统的安全防护措施对这种不合理的攻击方式束手无策。第三个方面,虚拟货币缺乏监管。在现实中,敲诈勒索案件最难解决的问题是如何收取赎金,而由于虚拟货币监管的缺失,赎金这个问题才刚刚解决。因此,低门槛、低启动成本、高收益、低风险,这些因素结合在一起,勒索病毒愈演愈烈!三、勒索病毒发展简史1)原始阶段:最早的勒索病毒出现于1989年,名为“艾滋信息木马”。木马替换系统文件,并在系统开机时进行计数。一旦系统启动次数达到90次,木马就会在磁盘上隐藏多个目录,C盘的所有文件名也会被加密,从而导致系统无法启动。此时,屏幕上出现一条消息,声称用户的软件许可证已过期,要求邮寄189美元以解锁系统。2006年出现的Redplus勒索病毒是国内第一款勒索病毒。该木马隐藏用户文件,然后弹窗勒索赎金,金额从70元到200元不等。据我国计算机病毒应急中心统计,全国感染该病毒及其变种的病例已达580余例。其实用户的文件并没有丢失,只是被移动到了一个具有隐藏属性的文件夹中。2)新的发展时期,比特币勒索阶段:从2013年的CryptoLocker开始,勒索病毒进入了新的发展时期,比特币进入了黑客的视野。CryptoLocker可以感染大多数Windows操作系统,并且通常通过电子邮件附件传播。执行附件后,会加密特定类型的文件,然后会弹出支付窗口。也就是说,从这款软件开始,黑客开始要求组织使用比特币支付赎金,而正是这款软件为黑客组织带来了近4.1万枚比特币。按照比特币最新的市场价格计算,这些比特币的价值接近10亿美元。3)勒索软件平台化和开源趋势:2015年,年中发布了名为Tox的勒索软件开发包。通过注册服务,任何人都可以创建勒索软件,管理面板会显示感染数量、支付赎金的数量和整体收入,Tox创始人收取赎金的20%。2015年下半年,土耳其安全专家发布了一款名为HiddenTear的开源勒索软件。它只有12KB。麻雀虽小,但五脏六腑一应俱全。该软件在传播模块和破坏模块方面的设计非常好。尽管来自土耳其的黑客一再强调这款软件是为了让人们更多地了解勒索软件的工作原理,但其作为勒索软件的开源却引发了不小的争议。在阅读了这款勒索软件的源代码后,作者也恍然大悟,原来的编程思路和方法真是别具一格,破坏性思维和建设性思维确实是完全不同的风格。4)与窃取公私信息相结合的趋势近年来,针对一些快捷酒店住宿系统的入侵、脱机(脱机是指黑客入侵系统后信息被窃取)事件频发。私立医院HIS系统,16年前,黑客通常只是悄悄窃取信息,然后在黑市上出售,但现在黑客甚至想敲诈医院和酒店,然后再出售私人信息。去年年底,美国好莱坞一家医疗中心遭到黑客攻击,勒索340万美元赎金。虽然经过一番讨价还价,医院最终支付了1.7万美元,恢复了运营,但医院的病历很快就出现在了数据黑市上。优越的。而且近期的勒索病毒明显加强了“用户体验”的建设,会给用户带来强烈的心理暗示。例如,一些最新的勒索软件将UI设计为无法退出的界面,赎金价格随时间上涨,倒计时强化了紧迫感。二、2018年勒索病毒感染情况1、2018年勒索病毒感染情况根据江民病毒监测中心勒索病毒监测统计发现,2017年1-8月、2018年7-10月勒索病毒高发在感染发病期,2017年勒索软件感染事件总数为263.2万起,2018年为119.5万起,较上年下降54.6%。2、服务器攻击趋势及攻击者家族一个多月以来,企业Windows服务器每周都会遭受勒索病毒的攻击,针对服务器的勒索病毒攻击呈上升趋势。今年以来,两个针对服务器攻击的勒索软件家族(GlobeImposter和Crysis家族)出现了爆发迹象。GlobeImposter、Crysis、BTCWare这三种勒索病毒是近期对服务器的主流攻击,占比超过90%。这三种勒索病毒均属于全球爆发的勒索病毒类别。其中,GlobeImposter曾多次攻击国内医疗和公共服务机构,国内外安全机构多次对这一家发出警告。三、重大勒索事件汇总一、近两年勒索事件1)2017年1月,撒旦(Satan)恶意勒索程序首次现身。Satan病毒的开发者允许用户通过网站生成自己的Satan变种,并为Word文档提供CHM和下载器生成脚本,并带有宏脚本进行传播。Satan勒索软件主要用于加密服务器的数据库文件。加密后非常有针对性,会用中英韩文索要0.3比特币作为赎金,并威胁三天内不付款,不解密。2)2017年5月12日,一种名为“想哭”的勒索病毒袭击全球150多个国家和地区,影响政府部门、医疗服务、公共交通、邮政、通信和汽车制造。不法分子利用美国国家安全局(NationalSecurityAgency,美国国家安全局)泄露的危险漏洞“永恒之蓝”(EternalBlue)进行传播。来势汹汹的勒索病毒似乎是一场全球性的互联网灾难,给广大电脑用户造成了巨大的损失。最新统计数据显示,全球150多个国家和地区的超过10万台计算机遭到勒索软件攻击和感染。3)2017年6月27日晚,Petya勒索病毒爆发,欧洲多国遭到大规模攻击,尤其是乌克兰。政府机构、银行、企业均遭到大规模攻击,乌克兰副总理的电脑也遭到攻击。病毒作者要求受害者在回复解密密钥之前支付价值300美元的比特币。4)2017年10月24日,俄罗斯、乌克兰等国在乌克兰敖德萨国际机场、首都基辅地铁支付系统、俄罗斯3家媒体遭到勒索病毒BadRabbit的攻击。德国、土耳其等国也发现了该病毒。5)小霸勒索病毒10月20日,发现了一起国产勒索病毒小霸的案例。病毒加密后文件以.xiaoba[number]结尾。不同的文件类型有不同的结束编号。赎金可以通过微信和支付宝支付。截至目前,尚未发现该勒索病毒大规模传播。如果在倒计时200秒内未支付赎金,所有加密文件将被销毁。6)2018年1月,GandGrab勒索软件家族首次现身。应该算是勒索病毒家族中最年轻但最流行的勒索病毒家族了。短短几个月内,出现了多个勒索病毒家族成员,该勒索病毒所使用的感染方式也在不断变化,所使用的技术也在不断更新。该勒索病毒主要通过邮件传播,采用RSA+ASE加密方式加密,文件无法恢复。7)2018年2月,多家互联网安全公司拦截MindLost勒索软件。该勒索软件是用C#语言开发的。其主要功能是对本地文件进行AES加密,然后引导受害者到指定网页请求付费解密文件。与以往的勒索病毒不同的是,此次勒索病毒不需要受害者支付比特币等数字货币进行有偿解密操作,而是直接要求用户用信用卡或借记卡支付赎金,以提取银行卡信息,然后将这些信息卖给不法分子以获得更大的利润。加密样本账户电脑Users目录下的文件,如果后缀为.txt、.jpg、.png、.pdf、.mp4、.mp3、“.c”、“.py”文件直接加密,解密赎金达到200美元。加密完成后显示的提示图片如下:8)GlobeImposter勒索病毒家族GlobeImposter勒索病毒家族从2017年5月开始出现,2017年11月和2018年3月有两次大规模爆发。2017年11月之前,大部分GlobeImposter勒索软件的第一个版本称为GlobeImposter1.0。此时,病毒样本的加密后缀多以“.CHAK”为主。2018年3月,GlobeImposter2.0出现。此时,病毒样本的加密后缀为“.TRUE”,“.doc”更为常见。GlobeImposter还添加了许多新技术来避免反病毒操作。9)“麒麟2.1”勒索病毒2018年3月1日,检测到“麒麟2.1”勒索病毒。通过QQ等聊天工具以文件传输的方式传播。一经录用,电脑文件将被锁定,登录后支付宝余额全部转移。中招后,会锁定电脑档案。表面上是需要用支付宝扫码支付3元,但实际上扫码是登录支付宝,登录后会把支付宝的余额全部划走。10)2018年3月,将CrySiS勒索病毒爆发服务器文件加密成.java后缀的文件,采用RSA+AES加密算法,主要利用Mimikatz、IP扫描等黑客工具,进行RDP爆破,利用统一密码特征,使用同一个密码对全网业务进行集中攻击,通过RDP爆破植入。同时,该勒索病毒近期也不断出现新变种,其加密后缀也在不断变化。11)2018年12月1日,以微信为支付手段的勒索病毒在中国爆发。几天之内,勒索软件病毒感染了至少100,000台计算机。受害人必须通过扫描微信进行解密支付110元赎金。2018年6月,罗某某自主研发病毒“cheat”,用于盗取他人支付宝账户密码,进而通过转账方式盗取资金。同时,制作了含有“骗子”木马病毒代码的开发软件模块并在网上发布。通过该开发软件编写的任何应用软件都带有木马病毒代码,该代码会在后台自动运行,记录用户的淘宝、支付宝等账户密码。,和键盘操作,上传到服务器。此外,犯罪嫌疑人还执行指令,对中毒电脑除系统文件和可执行文件外的所有文件进行加密,随后弹出勒索界面,其中包含解密后的字样和微信支付二维码,标题为解密程序显示“您的电脑已被加密,请执行以下操作,扫描二维码,需要支付110才能解密。”4、常见的传播方式勒索病毒的传播方式有很多种,比如服务器入侵、利用漏洞、邮件附件、软件供应链、网页挂马等,这里总结了一些最常见的传播方式。附件通过钓鱼邮件伪装成产品订单详情或图纸等重要文件进行传播,附件中包含包含恶意代码的脚本文件,一旦用户打开邮件附件,就会执行里面的脚本释放勒索病毒。这种传播方式具有很强的针对性,主要针对公司、各单位和院校,他们最大的特点是电脑中的文件往往不是个人文件,而是公司文件,最终目的是对公司的运作造成损害业务,迫使公司支付赎金以止损。比如Locky病毒,该病毒是gener盟友通过电子邮件传播。黑客向目标对象发送带有附件的恶意邮件。员工或领导一旦打开附件,电脑和手机上的各种重要文件,包括软件源代码、Word、PPT、PDF、图片等都会被加密,无法正常使用。2、服务器入侵和传播以孤岛危机家族为代表的勒索病毒主要采用此类攻击方式。黑客首先通过弱口令、系统或软件漏洞等方式获取用户名和密码,然后通过RDP(远程桌面协议)远程登录服务器。一旦登录成功,黑客就可以在服务器上为所欲为,比如卸载服务器上的安全软件,手动运行勒索病毒等。因此,在这种攻击方式中,一旦服务器被入侵,安全软件一般是不起作用的。服务器能被成功入侵的主要原因是管理员的账号密码被破解了。服务器账号密码被破解的主要原因有:大量系统管理员使用弱密码,被黑客暴力破解;一些黑客利用病毒或木马潜伏在用户电脑中窃取密码;此外,黑客还直接从其他渠道购买帐号和密码。黑客获取系统管理员的用户名和密码后,远程登录服务器,并对其进行相应的操作。3、软件供应链攻击传播软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,利用软件供应商在合法软件正常传播和升级过程中的各种疏忽或漏洞,对合法软件进行攻击。劫持或篡改,从而绕过传统安全产品检查,达到非法目的。2017年爆发的Fireball、DarkCloudIII、Petya-like、WhiteGhostII、Kuzzle、XShellGhost、CCleaner等,以及2018年12月曝光的国内“作弊”后门事件,都是软件供应链攻击。乌克兰爆发的类Petya勒索软件事件也是其中之一。病毒通过税务软件M.E.Doc的升级包传播到内网。4.漏洞传播漏洞传播有多种类型:1)通过弱服务器密码传播,如Rapid勒索病毒,根据部分论坛部分网友反馈,该病毒通过弱服务器密码传播。2)永恒之蓝系列①Wannacry及其变种是该系列病毒中最臭名昭著的,自爆发以来造成了无数损失。包括Safedog在内的多家厂商都推出了针对这一系列病毒的解决方案。②Petya勒索病毒的变种。使用的传播攻击形式与WannaCry类似,但该病毒除了利用永恒之蓝(MS17-010)漏洞外,还很少使用黑客的横向渗透攻击技术,使用WMIC/PsExec/mimikatz等③Satan勒索软件。利用永恒之蓝漏洞攻击工具在局域网内横向传播,主动入侵未打补丁的服务器。IE或Flash等软件漏洞攻击。此类勒索病毒以撒网捕鱼的方式传播,没有针对性。一般来说,大多数受害者都是没有安装任何杀毒软件的裸奔用户。4)复合传播方式一、与其他家族相比,GandCrab家族勒索病毒的传播途径要丰富得多,包括挂马攻击、水坑攻击、漏洞攻击和钓鱼邮件攻击,其中水坑攻击防不胜防。水坑攻击通过侵入网站后台,将网页内容篡改成乱码,提示用户下载并运行“字体更新程序”,实际下载的是GandCrab2勒索软件。GandCrab3勒索软件还通过Bondat蠕虫下载进行传播。二。Crysis勒索病毒Crysis是一种主要通过垃圾邮件、钓鱼邮件、游戏补丁、注册机、捆绑破解软件等方式传播的勒索病毒;名称和密码,然后通过RDP(远程桌面协议)远程登录目标服务器运行勒索病毒,黑客远程登录服务器后手动操作。三、GlobeImposter勒索病毒GlobeImposter勒索病毒可以利用电子邮件、文件传输等方式进行传播,主要特点是利用系统漏洞发动动态攻击。对企业服务器的攻击最常见的方式是在用弱密码爆破服务器后远程登录。黑客利用自动化攻击脚本暴力破解服务器管理员账号密码。入侵后,黑客可以暗中控制服务器,卸载服务器上的杀毒软件,植入勒索软件。5)小结为了提高勒索病毒的传播效率,黑客们不断更新自己的攻击手段。钓鱼邮件的传播仍然是黑客常用的传播手段。服务器入侵的手法更加娴熟,同时他们也开始利用系统自身的漏洞进行传播。5、针对企业服务器的勒索软件攻击以企业服务器为目标已经成为勒索软件攻击的新趋势。从去年下半年开始,国内的勒索软件攻击重点转移到各种服务器,尤其是Windows服务器。黑客利用弱口令、各种系统漏洞、软件漏洞远程渗透毒害服务器。通常,服务集群中的多个主机被感染。影响范围从服务中断到严重影响整个公司的运营,已成为影响企业安全的重大问题。企业服务器上的数据文件一旦被加密,将严重威胁企业的正常运营,企业更倾向于向不法黑客支付赎金。服务器可能成为非法黑客传播勒索软件的重点攻击目标。2018年初以来,针对Windows服务器的勒索软件攻击接连不断。特别是近期,国内多家机构服务器同时遭到GlobeImposter勒索软件攻击。大面积瘫痪,服务器安全问题开始引起关注。六、勒索软件攻击的发展趋势1、远程访问弱口令攻击成为主流。很多企业在工作中需要进行远程维护,所以很多机器都启用了远程访问。如果密码太简单,很容易被攻击者利用。到2018年,通过弱密码爆破远程登录服务器再植入勒索软件的攻击方式最为常见。几乎所有最有影响力的勒索病毒都是通过这种方式传播的,感染用户数量最多。2、勒索病毒变种更新迭代速度更快。该勒索病毒每隔一段时间就会出现新的变种,有的修改加密算法以提高加密速度,有的使用防杀、防逆向、防沙箱等。此外,还有一些新版本的勒索病毒勒索软件已经开始使用随机后缀,这增加了受害者找到问题勒索软件类型的难度。3、国产勒索软件活跃。近期,针对国内用户的勒索软件大行其道。此类勒索病毒通常采用全中文勒索提示界面,部分会直接通过微信或支付宝二维码索要赎金。鉴于国内移动支付操作简单,与其他语言版本的勒索软件相比,赎金价值不高且支付操作简单,受害者支付赎金的可能性较大。4、勒索病毒的门槛越来越低随着各种编程语言编写的勒索病毒的出现,勒索病毒的开发门槛越来越低。而且,我们发现继使用PHP、Python等语言之后,另一种更简单易用的脚本语言——AutoIt语言也被发现被用来编写勒索软件,再加上一些传播迅速的勒索软件的技术细节在互联网上,导致勒索病毒从生产到传播的技术门槛不断降低。5、对内网安全的重视亟待加强。Wannacry集中在企业和大学的内网。核心原因是内网安全不够重视。MS17-010漏洞长期未修复,多台内网主机共享445个文件。端口未禁用是主要原因。如提前加强内网安全,如及时修复MS17-010SMB服务远程代码执行漏洞,检查修复Windows系统不安全项(如禁用SMB服务),定期备份不同地方的系统数据,也可以避免这次感染。Wannacry勒索病毒可以减少勒索病毒感染造成的损失。无论是内网还是外网,都应该重视并落实定期的反黑客加固,甚至完善的纵深防御体系。7.如何防范勒索软件?对付勒索软件的方法:一是已知病毒。对于已知病毒的防范,有很多技术手段。首先打上相关补丁,然后将杀毒软件、IPS、WAF等安全设备的事件数据库升级到最新版本,可以有效防范已知的勒索病毒。第二,未知病毒。未知病毒的防范一直是个难点。基本上,所有被中招的单位都是未知勒索软件。要想防范这种病毒,只能采取主动防护措施,从系统底层采用白名单技术,严格控制系统中文件的操作权限,禁止不可信的程序对文件进行加密,这样可以有效防止新的勒索软件病毒的攻击。防范勒索软件,应采取主动防护措施,提前部署反勒索软件系统,保护重要文件。勒索软件主要是预防。目前,大多数被勒索软件加密的文件都无法解密。注意日常防范措施:1)数据备份与恢复:可靠的数据备份可以将勒索软件造成的损失降到最低,但同时需要对这些数据备份进行安全保护,避免感染和破坏。2)谨慎使用来路不明的文件,谨慎打开不熟悉的邮件和附件。3)安装安全防护软件并保持防护开启。4)及时安装Windows漏洞补丁!5)同时,请确保一些常用软件保持最新,尤其是Java、Flash、AdobeReader等程序,其旧版本往往存在安全漏洞,可被恶意软件作者或传播者利用。6)为计算机设置强密码——尤其是启用了远程桌面的计算机。并且不要在多个站点重复使用相同的密码。7)安全意识培训:非常有必要对员工和计算机用户进行持续的安全教育和培训。应让用户了解勒索病毒的传播方式,如社交媒体、社会工程学、失信网站、失信下载源、垃圾邮件和钓鱼邮件等。通过案例教育,使用户具备一定的风险识别能力和意识。目前,勒索软件仍然是最普遍的安全威胁。为了攻击大型企业和组织,勒索病毒的新变种不断被研究,企业机密文件和数据的安全风险与日俱增。安全解决方案将基于信任的行为分析与白名单和应用程序控制、行为分析、网络监控、漏洞屏蔽和高保真机器学习等其他反勒索软件功能相结合,采用跨代安全方法,可以更好地保护企业,同时最大限度地减少对其计算机内部资源的影响。
