《勒索病毒究竟是什么?我们要怎么预防?中了勒索病毒还有的救吗?.docx》由会员分享,可在线阅读,更多相关《勒索病毒究竟是什么?我们要怎么预防?中了勒索病毒还有的救吗?.docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、勒索病毒究竟是什么?我们要怎么预防?中了勒索病毒还有的救吗? 一、概述勒索病毒并不是什么簇新事物,已经零零散散存在了许多年,始终被当作偶发性破坏性强的破坏性程序记录在案,直到WannaCry勒索蠕虫病毒爆发,给全部人上了一课:丧心病狂的破坏者可以把勒索病毒与蠕虫病毒有机结合起来,制造大面积的灾难性后果。之后,平安软件与勒索病毒的技术对抗即不断升级,勒索病毒的攻击也日益呈现出技术手段更成熟,攻击目标更精准,产业分工更详细的特性。回顾2022年勒索病毒的感染数据,会留意到整体上升趋势较为明显。勒索病毒感染地域分布和行业分布视察2022年勒索病毒攻击地域分布可知,勒索病毒在全国各地均有分布,其中广东
2、,浙江,山东,河南等地最为严峻。勒索病毒攻击行业中以传统行业,教化,互联网行业最为严峻,医疗,政府机构紧随其后。分析可知,勒索病毒影响到事关国计民生的各个行业,一旦社会长期依靠的基础涉及遭遇攻击,将带来难以估计,且不行逆转的损失。二、勒索类型1.运用正规加密工具:该勒索方式不同于传统的勒索病毒攻击流程,黑客通过入侵服务器胜利后,运用正规的磁盘加密爱护软件对受害者机器数据进行攻击。例如BestCrypt Volume Encryption软件,BestCrypt Volume Encryption是一款专业加密软件厂商开发的磁盘爱护软件,能将整个分区加密,加密后除非有加密时候设置的口令,否则难以
3、通过第三方去复原解密。黑客通过利用专业加密软件对服务器上的磁盘进行加密,并要求缴纳大量赎金方式进一步供应文件解密复原服务。2.病毒加密:该类勒索为最常见的病毒类型攻击手法,主要分为两类,一是劫持操作系统引导区禁止用户正常登录系统,二是运用高强度的加密算法加密用户磁盘上的全部数据文件,两种方式可能存在相互引用。病毒由于运用高强度的对称或非对称加密算法对数据进行了加密,当无法拿到文件解密密钥的状况下,解密复原文件的可能性极低。这也是勒索病毒攻击者能一次次得手的技术前提。3.虚假勒索诈骗邮件:此勒索类严格意义上来讲不属于病毒,但由于该类型勒索奇妙利用了人性的弱点:通过电子邮件威逼、恐吓,欺瞒受害人向
4、某个加密钱包转帐,这一作法在2022相当流行。平安局在2022年接连接收到多起该类型勒索用户反馈。勒索者通过大量群发诈骗邮件,当命中收件人隐私信息后,利用收件人的恐慌心里,进而胜利实施欺诈勒索。勒索过程中,受害者由于担忧自己隐私信息遭遇进一步的泄漏,极简单陷入勒索者的圈套,从而受骗缴纳赎金。三、勒索病毒产业链勒索病毒在经过爆发式的增长后,产业链条化较为明显,各角色分工明确,完整的一次勒索攻击流程可能涉及勒索病毒作者,勒索实施者,传播渠道商,代理,受害者5个角色,各角色详细分工如下:勒索病毒作者:负责勒索病毒编写制作,与平安软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码,接受病毒定制,或
5、出售病毒生成器的方式,与勒索者进行合作拿取分成。勒索实施者:从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通过自定义病毒勒索信息后得到自己的专属病毒,与勒索病毒作者进行收入分成。传播渠道商:帮助勒索者传播勒索病毒,最为熟识的则是僵尸网络,例Necurs、Gamut,全球有97%的钓鱼邮件由该两个僵尸网络发送。代理:向受害者假称自己能够解密各勒索病毒加密的文件,并且是勒索者提出赎金的50%甚至更低,但事实上与勒索者进行合作,从中赚取差价。代理常通过搜寻关键字广告推广。受害者:通过勒索病毒各种传播渠道不幸中招的受害者,如有重要文件被加密,则向代理或勒索者联系缴纳赎金解密文件。众所周知,除非勒
6、索病毒存在逻辑漏洞,或者取得解密密钥,以当前的计算机算力去解密几乎不行能,而通过搜寻引擎可发觉大量号称可解密多种主流勒索病毒的公司,该类部分解密公司,事实上是勒索者在国内的代理,利用国内用户不便利买数字货币以及相对更加便宜的价格,吸引受害者联系解密,在整个过程中赚取差价。依据某解密公司官网上公开的记录,一家解密公司靠做勒索中间代理一个月收入可达300W人民币。四、勒索病毒2022典型攻击事务视察分析2022年典型勒索攻击事务不难发觉,勒索病毒团伙为了提高收益,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如干脆攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统
7、企业面临着日益严峻的平安形势。尽管WannaCry大范围攻击已过去一年多,但依旧引起多次大型攻击事务。平安局监测发觉,直到现在依旧有部分企业、机构存在电脑未修复该高危漏洞。一年前爆发流行的WannaCry勒索病毒仍旧在某些企业、机关、事业单位内网出现。以医疗行业平安性相对较高的三甲医院为例,42%三甲医院内依旧有PC电脑存在永恒之蓝漏洞未修复。平均每天有7家三甲医院被检出WannaCry勒索病毒(所幸多为加密功能失效的病毒版本)制造业正迎来工业4.0的重大历史契机,面对须要将无处不在的传感器、嵌入式系统、智能限制系统和产品数据、设备数据、研发数据、运营管理数据紧密互联成一个智能网络的新模式,一
8、个全新的平安需求正在产生。腾讯高级副总裁丁珂曾经指出:数字经济时代信息平安已不只是一种基础实力,还是产业发展升级的驱动力之一;平安是全部0前面的1,没有了1,全部0都失去了意义。五、勒索病毒家族活跃TOP榜伴随着数字货币过去两年的高速发展,在巨大的利益诱惑,以GandCrab,GlobeImposter,Crysis等为代表的勒索家族依旧高度活跃,以上为2022年最具代表性的10个勒索病毒家族,下面通过简洁介绍让大家了解当前流行的勒索病毒。1. GandCrab:GandCrab最早出现于2022年1月,是首个运用达世币(DASH)作为赎金的勒索病毒,也是2022年也是最为活跃的病毒之一。Ga
9、ndCrab传播方式多种多样,主要有弱口令爆破,恶意邮件,网页挂马传播,移动存储设备传播,软件供应链感染传播。该病毒更新速度极快,在1年时间内经验了5个大版本,数各小版本更新,目前最新版本为5.1.6(截止2022年底),国内最为最活跃版本为5.0.4。2. GlobeImposter:GlobeImposter出现于2022年12月,该病毒发展到今日已有4个大版本,该病毒加密文件完成后添加扩展后缀较多,主要有以下类型,目前最活跃版本病毒加密文件完成后会添加.*4444的扩展后缀(GOTHAM .YAYA .CHAK .GRANNY .SKUNK .SEXY .MAKGR .TRUE .BIG
10、1 .LIN .BIIT .BUNNY .FREEMAN .reserve .DREAM .CHIEF.WALKER .Ox4444 .booty .YOYO .BIG3 .xx .BIG2 .sexy2 .sexy1 .China4444 .Help4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444)3. Crysis:Crysis勒索病毒加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后
11、缀,例:“id-编号.gracey1c6rwhite.bip,id-编号.stopencrypt.bip”。该病毒通常运用弱口令爆破的方式入侵企业服务器,平安意识薄弱的企业由于多台机器运用同一弱密码,面对该病毒极简单引起企业内服务器的大面积感染,进而造成业务系统瘫痪。4. WannaCry:WannaCry于2022年5月12日在全球范围大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家,致使多个国家政府、教化、医院、能源、通信、交通、制造等诸多关键信息基础设施遭遇前所未有的破坏,勒索病毒也由此事务受到空前的关注,由于当前网络中仍
12、有部分机器未修复漏洞,所以该病毒仍旧有较强活力(大部分加密功能失效)。5. Satan:撒旦(Satan)勒索病毒在2022年初被外媒曝光,被曝光后,撒旦(Satan)勒索病毒并没有停止攻击的脚步,反而不断进行升级优化,跟平安软件做长久性的对抗。该病毒利用JBoss、Tomcat、Weblogic,Apache Struts2等多个组件漏洞以及永恒之蓝漏洞进行攻击感染传播。6. Hermes:Hermes勒索病毒首次活跃于2022年11月,加密文件完成后会在文件名后添加.HRM扩展后缀。该家族擅长运用钓鱼邮件,RDP(远程桌面管理)爆破攻击,软件供应链劫持等方式进行传播,运用RSA+AES的加
13、密方式,在没有拿到病毒作者手中私钥状况下,文件无法解密。7. Stop:该家族病毒不仅加密文件,还会静默安装修改后的TeamViwer进而导致中毒电脑被攻击者远程限制,同时修改Host文件,阻挡受害者访问平安厂商的网站,禁用Windows Defender开机启动,实时监测功能,令电脑失去爱护。为防止加密文件造成的CPU占用卡顿,还会释放特地的模块伪装Windows补丁更新状态。8. Rapid:Rapid勒索病毒在2022起先有过活跃,该病毒主要通过弱口令爆破,恶意邮件、网站挂马等方式进行传播,目前国内活跃版本加密完成后会添加no_more_ransom的扩展后缀。病毒加密文件后无法解密。9
14、. FilesLocker:FilesLocker勒索病毒在2022年10月出现,并在网上大量招募传播代理。目前已升级到2.0版本,加密文件后会添加fileslockerpm.me的扩展后缀。该病毒由于加密完成后运用弹窗告知受害者勒索信息,所以病毒进程未退出状况下有极也许率可通过内存查找到文件加密密钥进而解密。10. Py-Locker:该勒索病毒家族运用Python语言编写,令人惊异的是捕获到的个别样本携带了正规的数字签名,签名人名称为LA CREM LTD,具有正规数字签名的文件极易被平安软件放行。依据勒索信息,受害者若想解密受损文件,必需运用tor阅读器访问境外网站(暗网)购买解密工具。
15、六、勒索病毒将来趋势1、勒索病毒与平安软件的对抗加剧随着平安软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以胜利入侵用户电脑,病毒传播者会不断升级对抗技术方案。2、勒索病毒传播场景多样化过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞(如永恒之蓝)、鱼叉邮件攻击,或水坑攻击等方式传播,大大提高了入侵胜利率。3、勒索病毒攻击目标转向企业用户个人电脑大多能够运用平安软件完成漏洞修补,在遭受勒索病毒攻击时,个人用户往往会放弃数据,复原系统。而企业用户在没有刚好备份的状况下,会倾向于支付赎金,挽回数据。因此,已发觉越来越多攻击目标是政府机关、企业、医院、学校。4、勒索病毒更新迭代加
16、快以GandCrab为例,当第一代的后台被平安公司入侵之后,随后在一周内便发布了GandCrab2,该病毒在短短一年时间内,已经升级了5个大版本,多数个小版本。5、勒索赎金提高随着用户平安意识提高、平安软件防卫实力提升,勒索病毒入侵成本越来越高,赎金也有可能随之提高。上半年某例公司被勒索病毒入侵后,竟被勒索9.5个比特币。如今勒索病毒的攻击目标也更加明确,或许接下来在赎金上勒索者会趁火打劫,提高勒索赎金。6、勒索病毒加密对象升级传统的勒索病毒加密目标基本以文件文档为主,现在越来越多的勒索病毒会尝试加密数据库文件,加密磁盘备份文件,甚至加密磁盘引导区。一旦加密后用户将无法访问系统,相对加密而言危
17、害更大,也有可能迫运用户支付赎金。7、勒索病毒开发门槛降低视察近期勒索病毒开发语言类型可知,越来越多基于脚本语言开发出的勒索病毒起先涌现,甚至起先出现运用中文编程“易语言”开发的勒索病毒。例如运用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1889”勒索病毒,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。8、勒索病毒产业化随着勒索病毒的不断涌现,平安局情报中心甚至视察到一类特别的产业诞生:勒索代理业务。当企业遭受勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,而勒索代理机构,承接了受害者和攻击者之间
18、谈判交易复原数据的业务。9、勒索病毒感染趋势上升随着虚拟货币的快速发展,各类型病毒木马盈利模式一样,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索功能进行最终一步敲诈,这一点视察GandCrab勒索病毒发展趋势已有明显的体现,预料将来勒索病毒攻击将持续上升。七、勒索病毒预防措施1. 定期进行平安培训,日常平安管理可参考“三不三要”思路1) 不上钩:标题吸引人的未知邮件不要点开2) 不打开:不随意打开电子邮件附件3) 不点击:不随意点击电子邮件中附带网址4) 要备份:重要资料要备份5) 要确认:开启电子邮件前确认发件人可信6)
19、 要更新:系统补丁/平安软件病毒库保持实时更新2. 全网安装专业的终端平安管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。3. 部署流量监测/阻断类设备/软件,便于事前发觉,事中阻断和事后回溯。4. 建议由于其他缘由不能刚好安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问限制策略,以保证网络的动态平安。5. 建议对于存在弱口令的系统,需在加强运用者平安意识的前提下,督促其修改密码,或者运用策略来强制限制密码长度和困难性。6. 建议对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需运用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服
20、务端口以达到平安目的。不运用相同口令管理多台关键服务器。7. 建议网络管理员、系统管理员、平安管理员关注平安信息、平安动态及最新的严峻漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。8. 建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。9. 建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。做好平安灾备方案,可按数据备份三二一原则来指导实施1. 至少打算三份:重要数据保证至少有两个备份。2. 两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等。3. 一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据平安。病毒学问本文来源:网络收集与整理,如有侵权,请联系作者删除,谢谢!第12页 共12页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页