随着国家在政府、企业、教育及医疗等行业“互联网+”战略的不断推进,各个行业在逐渐数字化、网络化、智能化、逐步拥抱产业互联网化的大浪潮过程中,也逐渐暴露出一系列网络安全问题。勒索病毒也乘机发难,疯狂敛财,影响日渐扩大。全球范围内的交通、能源、医疗等社会基础服务设施,成为勒索病毒攻击的目标。
勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索软件均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
为帮助更多的朋友在中了勒索病毒后,能够正确处置并及时采取必要的自救措施,阻止损失扩大。同时为了建立更有效的防护措施避免勒索病毒的攻击。本文介绍一些相关的应急处置办法和防护方案,希望能对广大朋友有所帮助。
1.上半年勒索病毒攻击态势
年上半年共监控到受勒索病毒攻击的计算机.6万台,处理反勒索申诉案件超过例。从攻击情况和威胁程度上看,勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。在企业安全层面,勒索病毒威胁也已深入人心,成为企业最为担忧的安全问题。
观察勒索病毒影响的行业,以传统行业与教育行业受害最为严重,互联网,医疗,企事业单位紧随其后。上半年,勒索病毒的感染量一直稳定,累计被攻击的计算机超过万台,时间分布上以年1月份最为活跃,2月到6月整体较为平稳,近期略有上升趋势。
2.勒索病毒产业链
随着勒索产业的迅速发展壮大,通过围绕数据加密,数据泄露,乃至诈骗等核心元素展开的网络勒索类型也是千姿百态。网络勒索具有匿名性、隐蔽性、便捷性等特点,深受黑产青睐。其中典型的勒索病毒作案实施过程如下,一次完整的勒索可能涉及5个角色(一人可能充当多个角色)。
勒索病毒作者:负责勒索病毒编写制作,与安全软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码,接受病毒定制,或出售病毒生成器的方式,与勒索者进行合作拿取分成。勒索者:从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通过自定义病毒勒索信息后得到自己的专属病毒,与勒索病毒作者进行收入分成。传播渠道商:帮助勒索者传播勒索病毒,最为熟悉的则是僵尸网络,例Necurs、Gamut,全球有97%的钓鱼邮件由该两个僵尸网络发送。解密代理:向受害者假称自己能够解密各勒索病毒加密的文件,并且是勒索者提出赎金的50%甚至更低,但实际上与勒索者进行合作,在其间赚取差价。从世界范围内看,勒索病毒产业链养活了大量从事解密代理的组织,这些人直接购买搜索关键字广告,让勒索病毒受害企业通过他们完成解密交易,解密代理充当了中间人的角色,从中获取大量利益。受害者:通过勒索病毒各种传播渠道不幸中招的受害者,如有重要文件被加密,则向代理或勒索者联系缴纳赎金解密文件。
3.病毒勒索五大形式
数据加密勒索:这种方式是当前受害群体最多、社会影响最广,勒索犯罪中最为活跃的表现形式,该方式通过加密用户系统内的重要资料文档,数据,再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者,该黑产团伙在运营短短一年多的时间内,非法敛财20亿美元,该病毒也一度影响了包括我国在内的多个国家基础设施的正常运转,在我国境内制造了大量GandCrab病毒感染事件。系统锁定勒索:该形式勒索与数据加密勒索有着极大的相似性,在部分真实攻击场景中该方式也会结合数据加密勒索方式共同实施。这种方式的攻击重点不是针对磁盘文件,而是通过修改系统引导区,篡改系统开机密码等手段将用户系统锁定,导致用户无法正常登录到系统。通过该模式实施的勒索在电脑和安卓手机系统也较为常见。国内PC多见以易语言为代表编写的一系列锁机病毒,将病毒捆绑在破解工具、激活工具、游戏外挂中,欺骗用户通过论坛,网盘,下载站等渠道传播。数据泄漏勒索:该类型勒索通常情况针对企业实施,黑客通过入侵拿到企业内相关机密数据,随后敲诈企业支付一定金额的赎金,黑客收到赎金后称会销毁数据,否则将进入撕票流程,在指定时间将企业机密数据公开发布,以此要挟企业支付酬金。大规模的数据泄露对大企业而言不仅会造成严重的经济损失,也会为极大的负面影响。诈骗恐吓式勒索:此类型勒索与企业数据泄露造成的勒索有着相似点,针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据,他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。此类勒索者会大量群发诈骗邮件,当命中收件人隐私信息后,利用收件人的恐慌心理实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,容易陷入圈套,从而受骗缴纳赎金。破坏性加密数据掩盖入侵真相在部分涉及各行业重要数据,各国家机密数据的染毒场景中,有时也会发现一些不同于感染传统勒索病毒的案例。区别在于,观察此类染毒环境中可发现,病毒对部分文件会进行多次加密,甚至对文件进行了无法修复的破坏,且病毒不做白名单过滤,极易将系统直接搞崩溃。分析此类染毒场景可知病毒真实意图似乎更偏向于破坏,而不在于图财。部分黑客组织在实施APT攻击、窃取企业数据之后,为消除痕迹,会进一步投递破坏性的勒索病毒,将用户资料加密,部分APT攻击者的终极目的就是为了对目标基础设施打击以造成无法修复的损坏。勒索病毒的加密机制,让这些攻击行动变得较为常见,从而有利于黑客组织掩盖真实攻击意图。
4.常见的勒索病毒
GandCrab
GandCrab勒索病毒首次出现于年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。
年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。
年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。
年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。
GlobeImposter
年5月,勒索病毒Globelmposter首次在国内出现。年2医院受Globelmposter勒索病毒攻击,医院系统被加密,医院的正常业务。Globelmposter攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。
Crysis
Crysis勒索病毒从年开始具有勒索活动,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite
aol.