应急处置-勒索软件
网络安全

应急处置-勒索软件

介绍有关勒索软件

什么是勒索软件

简介

勒索软件,又称勒索病毒,是一种特殊的恶意软件,又被人归类为“阻断访问式攻击”(denial-of-access attack) 。勒索软件通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。

一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。

近几年来,勒索攻击事件频繁发生,且在数量上逐年增多。勒索软件如此盛行的背后是巨大利益的驱动。2020年,全球因勒索软件造成的总损失高达25万亿美元,高额的收益让更多的犯罪者趋之若鹜,而以往诸如 GandCrab勒索病毒,不仅高调宣布仅仅一年就获得超过20亿美元的赎金,并且已成功兑现。诸如此类事件的推波助澜,加剧了勒索事件的爆发。

勒索软件攻击成本

勒索软件攻击的总成本是直接成本间接成本的总和,直接费用包括事件的立即补救花费的费用,包括必须支付的赎金。间接成本是与攻击相关的业务中断的成本,业务中断成本通常比直接成本高 5-10 倍,收入损失和长期品牌损失是因勒索攻击造成的业务无法及时恢复带来的沉重负担。

勒索软件赎金

2021 年,勒索软件祸害直冲前所未有的高度,勒索软件攻击团伙往往索要数百万美元之巨的赎金,并且很多时候都能得逞。2020 年 6 月,全球最大肉类加工企业 JBS 证实,因勒索软件干扰运营,已向攻击者支付相当于 1100 万美元的赎金。

......

常见中病毒的原因

  1. 垃圾邮件:不法分子通过伪造邮箱的方式向目标发送邮件,这些邮
    件中会包含带有病毒的附件或在邮件正文中加入钓鱼网址链接。

  2. 坑式攻击:不法分子将恶意软件植入到企业或个人经常访问的网站
    之中,一旦访问了这些网站,恶意程序会利用漏洞对其进行感染。(网
    页挂马)

  3. 捆绑传播:捆绑正常的软件或恶意软件上进行传播,用户在下载安
    装了这些软件同时激活了恶意软件,致使感染病毒。(尤其是游戏外挂)

  4. 借助移动存储传播:通过感染U盘、移动硬盘、闪存卡等可移动存
    储介质传播使接入设备感染。(伊朗核设施就是这么中招的)

常见的勒索软件形式

修改电脑开机密码、登录密码等对锁定电脑

  • 敲竹杠木马:

    通常伪装为外挂软件的方式潜入用户电脑,对用户登录名及密码进行修改并实施锁定勒索,但一般不会破坏系统文件或用户文件。杀毒软件在正常运作情况下会对这类木马进行拦截,这也就是为什么很多外挂都要求用户关闭或卸载杀毒软件的原因。

伪装为安全机构恐吓用户

Reveton 敲诈者病毒:根据用户所处地域伪装成用户所在地的执法机构,声称用户计算机受到攻击并被用于非法活动,用户需要支付罚款才能解锁系统。已有一位名叫约瑟夫·爱德华兹的 17 岁中学生因电脑感染了 Reveton 勒索病毒而自杀。

加密用户文件和数据

WannaCry:采用对称加密算法和非对称加密算法对电脑文档进行加密,用户一旦中招则无法恢复数据,除非给黑客交赎金购买解密密钥。此次 WannaCry利用 NSA 泄露的危险漏洞“永恒之蓝”进行传播,致使大面积电脑用户遭到勒索病毒攻击。此外还有 CryptoLocker、VirLock、Locky 等敲诈者病毒也都是这个类型

篡改磁盘 MBR,加密电脑整个磁盘

Petya 敲诈者病毒:感染电脑系统,覆盖整个硬盘的 MBR,使 Windows 崩溃并显示蓝屏,而当用户重启计算机时,已修改的 MBR 会阻止 Windows 的正常加载,加密整个磁盘,之后显示一个 ASCII 骷髅图像,提示支付一定数量的比特币,否则将失去文件和计算机的访问权限。

勒索软件发展历程

PC Cyborg(第一款勒索软件)

非对称加密

2006年,做为第一个利用非对称加密(RSA)手法加密的恶意家族 Archiveus 发布。该病毒会对文档目录进行加密,并要求受害者必须在特定的 Web 站点上购买商品才能获得用于解密文件的密码。

加密货币兴起

它可以为勒索软件提供更为隐蔽的赎金获取方式。

基于加密货币的匿名性和隐私性,导致很难被第三方进行监管,相关执法部门也几乎不太可能溯源到发动勒索攻击者的真实身份。在很长一段时间之内,勒索软件和加密货币还会保持紧密联系,并且不会有很大改善。

RaaS模式兴起

2015 年,为了寻求勒索软件收益的最大化,攻击者创建了一种全新的服务模式,勒索软件即服务 (RaaS) ,该模式借鉴软件即服务(SaaS)的模型。

犯罪分子编写完成勒索软件之后,通过类似会员的方式将其出售或出租给意图发动攻击的客户或者想要加盟进行分成的分销商。这种模型犯罪分子通过不同的"客户"可以轻松攻击那些自己无法接触到的新的受害者,扩大收益。

2015年中期,第一个 RaaS 服务在暗网中悄然诞生:Tox 勒索软件套件作为 RaaS 服务开始投入销售。

双重破坏

窃密软件一般具有隐匿性,通过执行窃取受害者密码或者文件信息。而勒索软件具有暴力性,会直接加密用户文件。当这两种不同类型家族发生碰撞,会发生什么样的火花。

  • 当前,勒索软件日益猖狂的同时,人们的防范意识也越来越强。即时备份成为越来越多的企业、公司的标准操作。即使被勒索,只要恢复备份即可。当用户认为备份数据之后就可以高枕无忧时,一种新的勒索形式让人们再次陷入被动泥潭。

  • 2019 年初, Megacortex 勒索病毒借助 Emotet 僵尸网络进行传播。在留下的勒索信中,不仅加密用户文件,同时还窃取了用户信息,如果不缴纳赎金,则公开用户文件。

常见勒索病毒种类及特征

WannaCry勒索

常见后缀:wncry

  • 传播方式:永恒之蓝漏洞
  • 特征: 启动时会连接一个不存在 url、创建系统服务 mssecsvc2.0、释放路径为 Windows 目录。

GlobeImposter勒索

攻击目标主要是开启远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密多个版本更新,并常通过爆破 RDP 后手工投毒传播,暂无法解密。

  • 常见后缀:auchentoshan、动物名+4444
  • 传播方式:RDP 爆破、垃圾邮件、捆绑软件
  • 特征:释放在 %appdata% 或 %localappdata%

Crysis/Dharma勒索

攻击方法同样是通过远程 RDP 爆力破解的方式,植入到用户的服务器进行攻击,其加密后的文件的后缀名为 .java,最新版采用 AES+RSA 进行加密,不能解密。

常见后缀:【id】+ 勒索邮箱 + 特定后缀

  • 传播方式:RDP爆破
  • 特征:在%Startup%、%AppData% 和 %windir% 系统目录存在样本备份勒索信放于 %Startup% 和 %windir% 目录

GandCrab勒索

病毒采用 Salsa20 和 RSA-2048 算法对文件进行加密

常见后缀:随机生成

  • 传播方式:RDP 爆破、钓鱼邮件、捆绑软件、僵尸网络、漏洞传播……

  • 特征:

    1. 样本执行完毕后自删除
    2. 修改操作系统桌面背景
    3. 后缀 -MANUAL.txt
    4. 后缀 -DECRYPT.txt

Satan 勒索

撒旦(Satan)勒索病毒首次出现 2017 年 1 月份。该勒索进行 Windows,Linux 双平台攻击,最新版本攻击成功后,会加密文件并修改文件后缀为“evopro”。除了通过 RDP 爆破外,一般还通过多个漏洞传播。

  • 常见后缀:evopro、sick

  • 传播方式:永恒之蓝漏洞、RDP 爆破、JBOSS 系列漏洞、Tomcat 系列漏洞、Weblogic 组件漏洞......

  • 特征:最新变种 evopro 暂时无法解密,老的变种可解密

Sacrab勒索

通过 Necurs 僵尸网络进行分发,使用 Visual C 语言编写而成,又见于垃圾邮件和 RDP 爆破等方式

  • 常见后缀:.krab、.Sacrab、.bomber、.Crash……
  • 传播方式:Necurs 僵尸网络、RDP 爆破、垃圾邮件……
  • 特征:样本释放 %appdata%\Roaming

Matrix 勒索

主要通过入侵远程桌面进行感染安装,黑客通过暴力枚举直接连入公网的远程桌面服务从而入侵服务器,获取权限后便会上传该勒索病毒进行感染,勒索病毒启动后会显示感染进度等信息,在过滤部分系统可执行文件类型和系统关键目录后,对其余文件进行加密,加密后的文件会被修改后缀名为其邮箱。

  • 常见后缀:

    1. .GRHAN
    2. .PRCP
    3. .SPCT
    4. .PEDANT

  • 传播方式:RDP 爆破

STOP 勒索

同 Matrix 类似

  • 常见后缀:

    1. .TRO
    2. .djvu
    3. .puma
    4. .pumas
    5. .pumax
    6. .djvuq

  • 特征:复制自身并连接网络下载文件到 %appdata%\GUID 目录

应对勒索相应措施

隔离中招主机

  1. 物理隔离

    物理隔离常用的操作方法是断网和关机。
    断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。

  2. 访问控制

    访问控制常用的操作方法是加策略修改登录密码

    • 加策略主要操作步骤为:

      网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为 3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过 VPN 登录后才能访问),并关闭 445、139、135 等不必要的端口。

    • 修改登录密码的主要操作为:

      立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15 位、两种组合以上)

排查业务系统

联系专业人员

加密数据处理——如何恢复系统

  1. 历史备份还原

  2. 解密工具回复

  3. 专业人员代付

  4. 重装系统

日常防范

Comment