學習啦>學習電腦>電腦安全>病毒知識>《勒索病毒究竟是什么?我們要怎么預防?中了勒索病毒還有的救嗎?》正文

勒索病毒究竟是什么?我們要怎么預防?中了勒索病毒還有的救嗎?

時間:2019-07-05 18:05:59本文內容及圖片來源于讀者投稿,如有侵權請聯系[email protected] 伯超 我要投稿

  一、概述
  勒索病毒并不是什么新鮮事物,已經零零散散存在了很多年,一直被當作偶發性破壞性強的破壞性程序記錄在案,直到WannaCry勒索蠕蟲病毒爆發,給所有人上了一課:喪心病狂的破壞者可以把勒索病毒與蠕蟲病毒有機結合起來,制造大面積的災難性后果。之后,安全軟件與勒索病毒的技術對抗即不斷升級,勒索病毒的攻擊也日益呈現出技術手段更成熟,攻擊目標更精準,產業分工更具體的特性。
  回顧2018年勒索病毒的感染數據,會注意到整體上升趨勢較為明顯。
勒索病毒究竟是什么?我們要怎么預防?中了勒索病毒還有的救嗎?

  勒索病毒感染地域分布和行業分布
勒索病毒究竟是什么?我們要怎么預防?中了勒索病毒還有的救嗎?
勒索病毒究竟是什么?我們要怎么預防?中了勒索病毒還有的救嗎?

  觀察2018年勒索病毒攻擊地域分布可知,勒索病毒在全國各地均有分布,其中廣東,浙江,山東,河南等地最為嚴重。勒索病毒攻擊行業中以傳統行業,教育,互聯網行業最為嚴重,醫療,政府機構緊隨其后。分析可知,勒索病毒影響到事關國計民生的各個行業,一旦社會長期依賴的基礎涉及遭受攻擊,將帶來難以估計,且不可逆轉的損失。
  二、勒索類型
  1.使用正規加密工具:
  該勒索方式不同于傳統的勒索病毒攻擊流程,黑客通過入侵服務器成功后,使用正規的磁盤加密保護軟件對受害者機器數據進行攻擊。例如BestCrypt Volume Encryption軟件,BestCrypt Volume Encryption是一款專業加密軟件廠商開發的磁盤保護軟件,能將整個分區加密,加密后除非有加密時候設置的口令,否則難以通過第三方去恢復解密。黑客通過利用專業加密軟件對服務器上的磁盤進行加密,并要求繳納大量贖金方式進一步提供文件解密恢復服務。
勒索病毒究竟是什么?我們要怎么預防?中了勒索病毒還有的救嗎?
  2.病毒加密:
  該類勒索為最常見的病毒類型攻擊手法,主要分為兩類,一是劫持操作系統引導區禁止用戶正常登錄系統,二是使用高強度的加密算法加密用戶磁盤上的所有數據文件,兩種方式可能存在相互引用。病毒由于使用高強度的對稱或非對稱加密算法對數據進行了加密,當無法拿到文件解密密鑰的情況下,解密恢復文件的可能性極低。這也是勒索病毒攻擊者能一次次得手的技術前提。
  3.虛假勒索詐騙郵件:
  此勒索類嚴格意義上來講不屬于病毒,但由于該類型勒索巧妙利用了人性的弱點:通過電子郵件威脅、恐嚇,欺騙受害人向某個加密錢包轉帳,這一作法在2018相當流行。安全局在2018年陸續接收到多起該類型勒索用戶反饋。勒索者通過大量群發詐騙郵件,當命中收件人隱私信息后,利用收件人的恐慌心里,進而成功實施欺詐勒索。勒索過程中,受害者由于擔心自己隱私信息遭受進一步的泄漏,極容易陷入勒索者的圈套,從而受騙繳納贖金。
  三、勒索病毒產業鏈
  勒索病毒在經過爆發式的增長后,產業鏈條化較為明顯,各角色分工明確,完整的一次勒索攻擊流程可能涉及勒索病毒作者,勒索實施者,傳播渠道商,代理,受害者5個角色,各角色具體分工如下:
  勒索病毒作者:負責勒索病毒編寫制作,與安全軟件免殺對抗。通過在“暗網”或其它地下平臺販賣病毒代碼,接受病毒定制,或出售病毒生成器的方式,與勒索者進行合作拿取分成。
  勒索實施者:從病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通過自定義病毒勒索信息后得到自己的專屬病毒,與勒索病毒作者進行收入分成。
  傳播渠道商:幫助勒索者傳播勒索病毒,最為熟悉的則是僵尸網絡,例Necurs、Gamut,全球有97%的釣魚郵件由該兩個僵尸網絡發送。
  代理:向受害者假稱自己能夠解密各勒索病毒加密的文件,并且是勒索者提出贖金的50%甚至更低,但實際上與勒索者進行合作,從中賺取差價。代理常通過搜索關鍵字廣告推廣。
  受害者:通過勒索病毒各種傳播渠道不幸中招的受害者,如有重要文件被加密,則向代理或勒索者聯系繳納贖金解密文件。
勒索病毒究竟是什么?我們要怎么預防?中了勒索病毒還有的救嗎?
  眾所周知,除非勒索病毒存在邏輯漏洞,或者取得解密密鑰,以當前的計算機算力去解密幾乎不可能,而通過搜索引擎可發現大量號稱可解密多種主流勒索病毒的公司,該類部分解密公司,實際上是勒索者在國內的代理,利用國內用戶不方便買數字貨幣以及相對更加便宜的價格,吸引受害者聯系解密,在整個過程中賺取差價。根據某解密公司官網上公開的記錄,一家解密公司靠做勒索中間代理一個月收入可達300W人民幣。
  四、勒索病毒2018典型攻擊事件
勒索病毒究竟是什么?我們要怎么預防?中了勒索病毒還有的救嗎?

  觀察分析2018年典型勒索攻擊事件不難發現,勒索病毒團伙為了提高收益,已將攻擊目標從最初的大面積撒網無差別攻擊,轉向精準攻擊高價值目標。比如直接攻擊醫療行業,企事業單位、政府機關服務器,包括制造業在內的傳統企業面臨著日益嚴峻的安全形勢。
  盡管WannaCry大范圍攻擊已過去一年多,但依然引起多次大型攻擊事件。安全局監測發現,直到現在依然有部分企業、機構存在電腦未修復該高危漏洞。一年前爆發流行的WannaCry勒索病毒仍然在某些企業、機關、事業單位內網出現。以醫療行業安全性相對較高的三甲醫院為例,42%三甲醫院內依然有PC電腦存在永恒之藍漏洞未修復。平均每天有7家三甲醫院被檢出WannaCry勒索病毒(所幸多為加密功能失效的病毒版本)
  制造業正迎來「工業4.0」的重大歷史契機,面對需要將無處不在的傳感器、嵌入式系統、智能控制系統和產品數據、設備數據、研發數據、運營管理數據緊密互聯成一個智能網絡的新模式,一個全新的安全需求正在產生。
  騰訊高級副總裁丁珂曾經指出:數字經濟時代信息安全已不只是一種基礎能力,還是產業發展升級的驅動力之一;安全是所有0前面的1,沒有了1,所有0都失去了意義。
  五、勒索病毒家族活躍TOP榜
勒索病毒究竟是什么?我們要怎么預防?中了勒索病毒還有的救嗎?

  伴隨著數字貨幣過去兩年的高速發展,在巨大的利益誘惑,以GandCrab,GlobeImposter,Crysis等為代表的勒索家族依然高度活躍,以上為2018年最具代表性的10個勒索病毒家族,下面通過簡單介紹讓大家了解當前流行的勒索病毒。
  1. GandCrab:
  GandCrab最早出現于2018年1月,是首個使用達世幣(DASH)作為贖金的勒索病毒,也是2018年也是最為活躍的病毒之一。GandCrab傳播方式多種多樣,主要有弱口令爆破,惡意郵件,網頁掛馬傳播,移動存儲設備傳播,軟件供應鏈感染傳播。該病毒更新速度極快,在1年時間內經歷了5個大版本,數各小版本更新,目前最新版本為5.1.6(截止2018年底),國內最為最活躍版本為5.0.4。
  2. GlobeImposter:
  GlobeImposter出現于2017年12月,該病毒發展到今天已有4個大版本,該病毒加密文件完成后添加擴展后綴較多,主要有以下類型,目前最活躍版本病毒加密文件完成后會添加.*4444的擴展后綴
  (GOTHAM .YAYA .CHAK .GRANNY .SKUNK .SEXY .MAKGR .TRUE .BIG1 .LIN .BIIT .BUNNY .FREEMAN .reserve .DREAM .CHIEF.WALKER .Ox4444 .booty .YOYO .BIG3 .xx .BIG2 .sexy2 .sexy1 .China4444 .Help4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444)
  3. Crysis:
  Crysis勒索病毒加密文件完成后通常會添加“ID+郵箱+指定后綴”格式的擴展后綴,例:“id-編號.[[email protected]].bip,id-編號.[[email protected]].bip”。
  該病毒通常使用弱口令爆破的方式入侵企業服務器,安全意識薄弱的企業由于多臺機器使用同一弱密碼,面對該病毒極容易引起企業內服務器的大面積感染,進而造成業務系統癱瘓。
  4. WannaCry:
  WannaCry于2017年5月12日在全球范圍大爆發,引爆了互聯網行業的“生化危機”。借助“永恒之藍”高危漏洞傳播的WannaCry在短時間內影響近150個國家,致使多個國家政府、教育、醫院、能源、通信、交通、制造等諸多關鍵信息基礎設施遭受前所未有的破壞,勒索病毒也由此事件受到空前的關注,由于當前網絡中仍有部分機器未修復漏洞,所以該病毒仍然有較強活力(大部分加密功能失效)。
  5. Satan:
  撒旦(Satan)勒索病毒在2017年初被外媒曝光,被曝光后,撒旦(Satan)勒索病毒并沒有停止攻擊的腳步,反而不斷進行升級優化,跟安全軟件做持久性的對抗。該病毒利用JBoss、Tomcat、Weblogic,Apache Struts2等多個組件漏洞以及永恒之藍漏洞進行攻擊感染傳播。
  6. Hermes:
  Hermes勒索病毒首次活躍于2017年11月,加密文件完成后會在文件名后添加.HRM擴展后綴。該家族擅長使用釣魚郵件,RDP(遠程桌面管理)爆破攻擊,軟件供應鏈劫持等方式進行傳播,使用RSA+AES的加密方式,在沒有拿到病毒作者手中私鑰情況下,文件無法解密。
  7. Stop:
  該家族病毒不僅加密文件,還會靜默安裝修改后的TeamViwer進而導致中毒電腦被攻擊者遠程控制,同時修改Host文件,阻止受害者訪問安全廠商的網站,禁用Windows Defender開機啟動,實時監測功能,令電腦失去保護。為防止加密文件造成的CPU占用卡頓,還會釋放專門的模塊偽裝Windows補丁更新狀態。
  8. Rapid:
  Rapid勒索病毒在2017開始有過活躍,該病毒主要通過弱口令爆破,惡意郵件、網站掛馬等方式進行傳播,目前國內活躍版本加密完成后會添加no_more_ransom的擴展后綴。病毒加密文件后無法解密。
  9. FilesLocker:
  FilesLocker勒索病毒在2018年10月出現,并在網上大量招募傳播代理。目前已升級到2.0版本,加密文件后會添加[[email protected]]的擴展后綴。該病毒由于加密完成后使用彈窗告知受害者勒索信息,所以病毒進程未退出情況下有極大概率可通過內存查找到文件加密密鑰進而解密。
  10. Py-Locker:
  該勒索病毒家族使用Python語言編寫,令人驚訝的是捕獲到的個別樣本攜帶了正規的數字簽名,簽名人名稱為LA CREM LTD,具有正規數字簽名的文件極易被安全軟件放行。根據勒索信息,受害者若想解密受損文件,必須使用tor瀏覽器訪問境外網站(暗網)購買解密工具。
  六、勒索病毒未來趨勢
  1、勒索病毒與安全軟件的對抗加劇
  隨著安全軟件對勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶電腦,病毒傳播者會不斷升級對抗技術方案。
  2、勒索病毒傳播場景多樣化
  過去勒索病毒傳播主要以釣魚郵件為主,現在勒索病毒更多利用了高危漏洞(如永恒之藍)、魚叉郵件攻擊,或水坑攻擊等方式傳播,大大提高了入侵成功率。
  3、勒索病毒攻擊目標轉向企業用戶
  個人電腦大多能夠使用安全軟件完成漏洞修補,在遭遇勒索病毒攻擊時,個人用戶往往會放棄數據,恢復系統。而企業用戶在沒有及時備份的情況下,會傾向于支付贖金,挽回數據。因此,已發現越來越多攻擊目標是政府機關、企業、醫院、學校。
  4、勒索病毒更新迭代加快
  以GandCrab為例,當第一代的后臺被安全公司入侵之后,隨后在一周內便發布了GandCrab2,該病毒在短短一年時間內,已經升級了5個大版本,無數個小版本。
  5、勒索贖金提高
  隨著用戶安全意識提高、安全軟件防御能力提升,勒索病毒入侵成本越來越高,贖金也有可能隨之提高。上半年某例公司被勒索病毒入侵后,竟被勒索9.5個比特幣。如今勒索病毒的攻擊目標也更加明確,或許接下來在贖金上勒索者會趁火打劫,提高勒索贖金。
  6、勒索病毒加密對象升級
  傳統的勒索病毒加密目標基本以文件文檔為主,現在越來越多的勒索病毒會嘗試加密數據庫文件,加密磁盤備份文件,甚至加密磁盤引導區。一旦加密后用戶將無法訪問系統,相對加密而言危害更大,也有可能迫使用戶支付贖金。
  7、勒索病毒開發門檻降低
  觀察近期勒索病毒開發語言類型可知,越來越多基于腳本語言開發出的勒索病毒開始涌現,甚至開始出現使用中文編程“易語言”開發的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒,易語言供應鏈傳播鬧的沸沸揚揚的“unname1889”勒索病毒,門檻低意味著將有更多的黑產人群進入勒索產業這個領域,也意味著該病毒將持續發展泛濫。
  8、勒索病毒產業化
  隨著勒索病毒的不斷涌現,安全局情報中心甚至觀察到一類特殊的產業誕生:勒索代理業務。當企業遭遇勒索病毒攻擊,關鍵業務數據被加密,而理論上根本無法解密時,而勒索代理機構,承接了受害者和攻擊者之間談判交易恢復數據的業務。
  9、勒索病毒感染趨勢上升
  隨著虛擬貨幣的迅速發展,各類型病毒木馬盈利模式一致,各類型病毒均有可能隨時附加勒索屬性。蠕蟲,感染,僵尸網絡,挖礦木馬,在充分榨干感染目標剩余價值后,都極有可能下發勒索功能進行最后一步敲詐,這一點觀察GandCrab勒索病毒發展趨勢已有明顯的體現,預測未來勒索病毒攻擊將持續上升。
  七、勒索病毒預防措施
  1. 定期進行安全培訓,日常安全管理可參考“三不三要”思路
  1) 不上鉤:標題吸引人的未知郵件不要點開
  2) 不打開:不隨便打開電子郵件附件
  3) 不點擊:不隨意點擊電子郵件中附帶網址
  4) 要備份:重要資料要備份
  5) 要確認:開啟電子郵件前確認發件人可信
  6) 要更新:系統補丁/安全軟件病毒庫保持實時更新
  2. 全網安裝專業的終端安全管理軟件,由管理員批量殺毒和安裝補丁,后續定期更新各類系統高危補丁。
  3. 部署流量監測/阻斷類設備/軟件,便于事前發現,事中阻斷和事后回溯。
  4. 建議由于其他原因不能及時安裝補丁的系統,考慮在網絡邊界、路由器、防火墻上設置嚴格的訪問控制策略,以保證網絡的動態安全。
  5. 建議對于存在弱口令的系統,需在加強使用者安全意識的前提下,督促其修改密碼,或者使用策略來強制限制密碼長度和復雜性。
  6. 建議對于存在弱口令或是空口令的服務,在一些關鍵服務上,應加強口令強度,同時需使用加密傳輸方式,對于一些可關閉的服務來說,建議關閉不要的服務端口以達到安全目的。不使用相同口令管理多臺關鍵服務器。
  7. 建議網絡管理員、系統管理員、安全管理員關注安全信息、安全動態及最新的嚴重漏洞,攻與防的循環,伴隨每個主流操作系統、應用服務的生命周期。
  8. 建議對數據庫賬戶密碼策略建議進行配置,對最大錯誤登錄次數、超過有效次數進行鎖定、密碼有效期、到期后的寬限時間、密碼重用等策略進行加固設置。
  9. 建議對數據庫的管理訪問節點地址進行嚴格限制,只允許特定管理主機IP進行遠程登錄數據庫。
  做好安全災備方案,可按數據備份三二一原則來指導實施
  1. 至少準備三份:重要數據保證至少有兩個備份。
  2. 兩種不同形式:將數據備份在兩種不同的存儲類型,如服務器/移動硬盤/云端/光盤等。
  3. 一份異地備份:至少一份備份存儲在異地,當發生意外時保證有一份備份數據安全。
 病毒知識相關文章:

1.電腦病毒知識

2.計算機病毒知識

3.電腦病毒防范常識

4.有關電腦病毒和進程的七點知識

5.殺死電腦病毒

6.世界上最神秘的病毒有哪些

【病毒知識】圖文推薦
【病毒知識】精華文章
【病毒知識】相關文章
學習啦友鏈、商務、投稿、客服:QQ:3061683909 郵箱[email protected]

Copyright @ 2006 - 2020 學習啦 All Rights Reserved

學習啦 版權所有 粵ICP備15032933號-1

我們采用的作品包括內容和圖片全部來源于網絡用戶和讀者投稿,我們不確定投稿用戶享有完全著作權,根據《信息網絡傳播權保護條例》,如果侵犯了您的權利,請聯系:[email protected],我站將及時刪除。

學習啦 學習啦

回到頂部 江苏麻将app 705735064302335521123264121513439165843278677563587690987949878255296669434577865256268934473906892 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();