1、勒索病毒呈现出五个新特征通过对勒索病毒的长期监测跟踪分析,发现其攻击目标、传播方式、技术门槛、新家族/变种、赎金支付方式等呈现出新特点:1、Windows服务器成为重灾区,中小企业受到严重影响。某些计算机上的加密文件可能会中断公司服务或影响正常操作。数据资产的价值远高于个人用户,因此他们更愿意支付赎金。从感染人数来看,这部分可能不高,但造成的危害和影响却远高于个人用户。年初,国内两家医院被比特币勒索,所有数据文件被强行加密,导致系统瘫痪,患者无法正常就医。由于安全投入不足、缺乏专业的安全运维、漏洞修补不及时,中小企业一直是黑客攻击的重灾区。同时,由于文件被加密,严重影响正常服务或运营,只能被迫支付赎金,进一步助长了勒索软件对Windows服务器和中小企业的攻击。2.通过弱RDP密码暴力破解服务器密码。人工投毒已成为主流传播方式。在勒索病毒出现之前,主要的传播方式是钓鱼邮件、网页木马和漏洞利用。遭受了数千万次的勒索和钓鱼邮件攻击。但从2016年下半年开始,随着Crysis/XTBL的出现,通过RDP弱口令暴力破解服务器密码的人工投毒(常伴有共享文件夹感染)逐渐成为主角。到2018年,几乎所有最有影响力的勒索软件病毒都以这种方式传播。其中,GlobeImposter和Crysis的受感染用户数量最多,破坏力最强。3、新家族不断增加,变种更新频繁。从Locky、Cerber、WannaCry、NotPetya、GlobeImposter、Crysis、Satan等到后来的GandCrab、MindLost、Blackrouter、Avcrypt、Scarab、Paradise,甚至小霸、麒麟2.1等本土化勒索病毒,勒索病毒阵营不断壮大,变种也在不断增加。一个典型的例子就是“后起之秀”GandCrab,自2018年1月被发现以来,不到半年的时间里经历了四次大版本更新。4.受害者支付赎金的方式多种多样。除了比特币,门罗币和以太币也逐渐被接受作为支付赎金的手段(上海某公立医院系统被黑,黑客勒索价值2亿的以太币),而GandCrab则瞄准推出了更小众的DASH币(达世币,更匿名)。年初,国外网络安全机构近日截获了一组名为MindLost的新型勒索软件。与以往勒索软件最大的区别在于,MindLost不再需要“中标”用户使用比特币等数字货币支付赎金,而是要求受害者使用信用卡或借记卡支付赎金,以此提取银行卡信息,然后出售这些信息给不法分子谋取更大的利润。通过QQ等聊天工具传播的国产勒索软件“麒麟2.1”甚至支持支付宝扫码转账。五、病毒生产传播门槛不断降低。RDP暴力破解是目前主要的传输方式,该方式呈现流线化操作。爆破方和最终的病毒发布者可能是不同的群体,后者可能是黑产业。市场购买所谓的肉鸡用于勒索攻击。病毒制作不需要发射器自己开发。也可以在黑市上买到专业的病毒制作工具。只需填写几个参数即可生成新的病毒程序,进一步降低了勒索病毒的技术门槛。在漏洞利用方面,大多数攻击都是借助成熟的漏洞利用工具进行的。例如,2017年5月12日Wannacry爆发时,“永恒之蓝”的使用被公开,出现了一系列利用“永恒之蓝”进行传播的勒索、挖矿等恶意程序。还有RIG、GrandSoft等漏洞利用包、Flash0day(CVE-2018-4878)、JBOSS反序列化漏洞(CVE-2017-12149)、JBOSS默认配置漏洞(CVE-2010-0738)、WeblogicWLS组件漏洞(CVE-2017-10271)、PUT任意文件上传漏洞、TomcatWeb管理后台弱口令爆破等也被广泛使用。主要针对Windows服务器的Satan勒索病毒的开发者甚至允许用户通过网站生成自己的Satan变种,并提供CHM和Word文档的下载器生成脚本,带有宏脚本。AutoIt等脚本语言甚至利用一些普通的文件和磁盘加密软件进行勒索,勒索软件从制作到传播的技术门槛不断降低。2、四大勒索病毒家族Globelmposter、Crysis、GandCrab、Satan是2018年上半年最活跃的四大勒索病毒家族,占上半年勒索病毒传播总量的90%以上。其中,GandCrab是2018年出现的新星,目前已经快速迭代到4.1版本;撒旦在半年内更新了三个大版本;在此期间,国内外各种新型勒索病毒不断出现,比如在北美肆虐的Samsam,以及2017年开始攻击韩国的Magniber,也于2018年上半年开始进入我国,对网络安全和网络基础设施造成严重危害,影响人们日常生活的方方面面。1.GlobelmposterGlobelmposter家族于2017年5月首次被发现,之后陆续发现了.freeman、.panda、.reserve、.true+、.walker、.gotham、.techno、.chak等多个变种。其他。今年春节刚过,国内两家医院先后遭到Globelmposter勒索病毒(.true变种)的大规模攻击,要求6小时内支付1个比特币,导致医院系统瘫痪,大量的患者被困,无法正常就医。2.Crysis2016年2月,Crysis恶意软件开始加入勒索软件功能,8月被发现用于攻击澳大利亚和新西兰的企业。10月份出现的XTBL变种明显是通过RDP暴力破解传播的,国内部分个人和企业开始受到攻击。Crysis继续发现.dharma、.arena、.java、.arrow和.bip等变体正在中国传播。GlobeImposter和Crysis的传播方式比较相似。根据我们对受害用户的分析,主要是由以下几种情况造成的:第一类是RDP爆破的方式。黑客远程登录用户电脑手动卸载或使用黑客工具禁用杀毒软件。中毒;其次,由于文件共享,它是加密的。一般这类用户不是本地感染病毒,而是局域网内的其他机器感染病毒,导致本机共享的文件被加密。此外,一旦黑客通过服务器登录到内网,就会利用RDP爆破、Mimikatz渗透等手段在内网横向移动。因此,这种勒索病毒经常会同时感染同一受害用户的多台机器。正是上述原因使得GlobeImposter和Crysis成为感染最多的勒索软件。到目前为止,我们收到的用户反馈几乎都是这种感染,这说明RDP暴力破解方式在2017年成为主流后,2018年上半年依然是主要方式。另外,钓鱼邮件、破解软件、伪装成正常程序诱导用户点击等也是其传播途径,但数量较少。Crysis和GlobeImposter勒索软件的不同变体具有不同的联系电子邮件,这意味着不同的团队可能支持不同的变体。3、GandCrabGandCrab勒索病毒于2018年1月首次被发现,短短半年内经历了4次大版本更新,最新出现的7.1版本将对后缀为.的文件进行加密。攻击者通过TOR支付网站获得赎金金额:比特币/达世币,价值约1200-1600。该病毒主要通过钓鱼邮件、网页挂马、浏览器漏洞、捆绑等方式在破解软件中传播。此外,多次发现通过伪装网页乱码、Flash播放不正常等方式诱导用户下载“字体更新”和“Flash”程序,尚未发现该病毒具有通过以下方式自动传播感染的能力网络。4、Satan勒索病毒首次出现于2017年1月,该Satan病毒的开发者允许用户通过网站(已关闭)生成自己的Satan变种,并提供生成CHM和WORD文档下载器的宏脚本脚本。截止到2018年6月,Satan已经更新到第四个大版本(最近六个月更新了三个大版本),加密后缀从.stn变成.dbger,赎金也从0.1比特币涨到1比特币,并声称如果超过三天不支付赎金,将不再帮助用户解密文件。除了RDP远程爆破和“永恒之蓝”,WeblogicWLS组件漏洞(CVE-2017-10271)、Tomcatweb管理后台弱口令爆破、Put任意上传文件漏洞、JBoss反序列化漏洞(CVE-2017-12149)以及一系列web服务器漏洞,主要是对服务器的数据库文件进行加密,针对性很强。3、拒绝勒索病毒提示提醒所有个人用户和企业内网及服务器管理员养成良好的安全习惯,提高风险防范意识,正确使用安全软件,防止勒索病毒严重影响我们的工作和生活。重大损失:(1)避免使用弱口令。弱密码目前是主机的头号安全风险,应该避免。建议登录密码尽量使用大小写字母、数字、特殊符号的组合,密码位数要足够长,在登录安全上限制登录失败次数策略,登录密码应定期更改。(2)多台机器不使用相同或相似的密码。(3)重要信息定期隔离备份。(4)定期检测和修复系统漏洞,及时更新Flash、Java等一系列Web服务程序,打上安全补丁。(5)对共享文件夹设置访问权限管理,尝试使用云协作或内部wiki系统实现数据共享。(6)如非必要,尽量关闭3389、445、139、135等不用的高危端口,禁用Office宏。(7)不要点击不熟悉的链接或来源不明的电子邮件附件。打开前使用安全扫描确认安全,并尝试从软件管理器或官网等可信渠道下载软件。(8)安装专业的安全防护软件,保持监控开启,经常更新病毒库。(9)不要主观认为安全软件报病毒的程序,尤其是辅助、破解软件是误报,尽量上传到VT等在线扫描引擎查看报告状态。
