摘要
2018年,勒索病毒依旧是全年最受关注的安全威胁之一。本文将对2018年国内勒索病毒的感染情况、360安全卫士的防护情况、勒索病毒整体的发展情况进行梳理,帮助企业和个人用户在复杂的网络安全环境中提升对勒索病毒的认知与防护能力。
· 全年受到攻击的计算机数量超过430万台(排除WannaCry后数据)。2月的攻击量最低,11月和12月则有较为明显的升高,总体上全年攻击量波动较为平稳。
· 2018年活跃的勒索病毒家族以GandCrab、GlobeImposter、Crysis为主。仅针对这三个家族的反勒索申诉案例就占到了所有案例的87%。
· 由于勒索病毒的主要目标转变为对服务器系统的攻击,其传播方式也转变为以弱口令攻击为主,此外还存在U盘蠕虫、软件供应链攻击、漏洞攻击等方式帮助勒索病毒进行传播。
· 勒索病毒所攻击的地区以信息产业发达和人口密集地区为主,全年受到攻击最多的省份前三为:广东、江苏、浙江。
· 据统计,在2018年中,受到勒索病毒攻击最大的行业前三分别为:教育、制造业、餐饮&零售。
· 2018年,360安全卫士通过产品、自媒体为公众提供安全防护的服务与信息。同时,基于勒索病毒攻防情况,全面提升了产品防护能力,为用户保驾护航。
· 360反勒索服务在过去一年时间里,共受理超过2000例反馈,并帮忙超过200位受害者进行了数据恢复和解密。
· 360解密大师已成为目前全球范围内支持解密类型最多的一款解密工具。在2018年中,360解密大师共计更新版本61次,累计支持解密勒索病毒超过130种,全年服务用户超过20000人次,解密文件超过1700万次,累计帮助用户挽回损失数千万元。
· 勒索病毒的技术在2018年也有了明显的变化和发展,其主要体现在更紧密的与漏洞利用相结合、使用了更广泛的传播手段、出现了更多样的勒索形式。
· 传统勒索病毒以Windows系统设备为主要攻击目标,但近年来,针对数据库的勒索病毒攻击逐渐上涨。可以预见,在今后的发展中,勒索病毒会因其广泛的适应性而在更多的平台和设备中传播。
· 针对勒索病毒攻击,为个人用户和企业用户提供安全建议。
· 回顾2018年热门勒索病毒攻击事件
第一章 2018年整体趋势分析1、 勒索病毒攻击概况
2018年度,360安全大脑共监测到受勒索病毒攻击的计算机430余万台(不含WannaCry数据及海外数据)。其中,由于2月份天数较少又加上春节期间计算机设备的活跃度明显下降,所以数据层面看存在明显下跌趋势。而临近年末的11月和12月,Satan家族勒索病毒开始以每周一个版本的速度频繁更新,并进一步增加了对服务器的攻击势头;同时,GandCrab家族勒索病毒也在这个时间段内新增了蠕虫式的攻击手段。以上两个家族的更新及传播动作,导致了11月和12月两个月的攻击量相较之前会有比较明显的上升。总体而言,2018年勒索病毒的攻击趋势相对比较平稳。
此外,我们根据攻击量数据抽样统计出了勒索病毒每日攻击量的波动情况:每天的1时~5时是攻击量的最低点;而8时~11时和14时~17时则会出现两个攻击高峰;两次攻击高峰之间的11时~14时会有暂时性回落;而每天的18时之后,攻击量则会稳定下滑。这一趋势也比较符合计算机设备的使用时间规律,攻击量受设备使用量的影响还是比较直接的。
2、 勒索病毒家族分布
根据360反勒索服务统计,PC端Windows系统下GandCrab、GlobeImposter、Crysis/Dharam这三大勒索病毒家族的受害者占比最多,合计占到了87%。2018年勒索病毒家族TOP10中,除了unanmed1989勒索病毒外,其余几个家族的勒索病毒都有涉及到针对企业用户进行攻击,企业用户是本年度勒索病毒最为热衷的攻击对象。
结合对受害者数据的分析:在11月以及12月,GandCrab勒索病毒的传播量已经远远超过其他勒索病毒家族的传播量。从下图可以发现,GandCrab、GlobeImposter、Crysis三大勒索病毒家族在2018全年都有传播量。
3、 勒索病毒传播技术手段
360安全大脑监测显示:黑客在传播勒索病毒的过程中,也在不断改进自身的传播方式。本年度远程桌面口令爆破攻击,成为黑客最为常用的一种攻击手段。同时,在国内也出现了多种新兴攻击手法,如通过软件供应链攻击传播勒索病毒,下面总结了几类常见的攻击方式。
1. 弱口令攻击
计算机中涉及到弱口令攻击的主要包括远程桌面弱口令、数据库管理系统弱口令(例如MySQL、SQL Server、Oracle等)、Tomcat弱口令、phpMyAdmin弱口令、VNC弱口令、FTP弱口令等。统计分析发现,本年度因系统遭遇弱口令攻击而导致数据被加密的情况占所有攻击手段中的首位。弱口令攻击成为黑客主要的攻击手段的主要原因有二:其一、各种弱口令攻击工具比较完善,被公布在外的利用工具众多;其二、虽然出现过大量因弱口令攻击导致系统文件被加密事件,但目前依然存在大量系统,使用过于简单的口令。
通过对数据进行统计分析发现,远程桌面弱口令攻击已成为传播勒索病毒的主要方式。根据360安全大脑对远程桌面弱口令爆破的监控,本年度对此类攻击单日拦截超过600万次。
通过我们日常处理勒索病毒攻击事件的总结,黑客常用的攻手法一般是:首先攻击某个网络段的公网机器,在获得一台机器的登录口令后,会利用这台机器做跳板,继续寻找内网内其他易受攻击的机器,在内网中进一步扩散。在掌握一定数量的设备之后,就会向这些设备植入挖矿木马和勒索病毒。有时,黑客还会利用这些被感染机器对其他公网机器发起攻击。
2. U盘蠕虫
U盘蠕虫是U盘中流行的一类病毒程序,能不断复制自身到不同电脑磁盘或移动设备(U盘、移动硬盘等)中。通过创建伪装成文档、文件夹等的病毒程序等欺骗用户打开,进而继续传播平,部分U盘蠕虫也利用系统漏洞传播。本年度比较流行的GandCrab勒索病毒,就使用了U盘蠕虫的方式做为其一个传播渠道。
2018年11月,国内首次出现利用U盘蠕虫传播勒索病毒的案例。蠕虫的引导部分就是一个伪装成盘符的快捷方式,再由这个快捷方式指向蠕虫病毒。当蠕虫被激活后就会感染当前宿主机,并继续感染后续接入这台机器的其它移动硬盘和网络磁盘,并在宿主机中安营扎寨。11月份开始这些安插下来的蠕虫开始下载GandCrab勒索病毒,所以很多用户是在"无感知"情况下中了勒索病毒。以下是这款勒索病毒的传播流程:
3. 软件供应链攻击
软件供应链攻击,是指利用提供软件的供应商与使用该软件用户之间的联系,通过攻击软件供应商,继而达到攻击软件使用者的目的。此类攻击手法在2017年6月就曾被Petya勒索病毒家族用来传播勒索病毒,并在俄罗斯和乌克兰造成较大影响。而2018年11月底,国内也出现了利用此类方法传播的勒索病毒疫情。此次爆发的勒索病毒被命名为unnamed1989勒索病毒(即网称的"微信支付勒索病毒"),该勒索病毒主要是因为开发者下载了带有恶意代码的易语言第三方模块,导致调用该模块所开发出来的软件也均被感染了恶意代码。根据统计,在此次事件中被感染的软件超过50余种。
4. 系统/软件漏洞
目前,黑客用来传播勒索病毒的系统漏洞、软件漏洞大部分都已被公开且厂商已经对相关软件进行了安全升级或提供了补丁,但并非所有用户都会及时打补丁或者升级软件,所以被公开的漏洞(Nday漏洞)仍深受黑客们的青睐。一旦有利用价值高的漏洞出现,都会很快被黑客加入到自己的攻击包中。"永恒之蓝"工具所使用的就是一系列利用价值非常高的漏洞,多个勒索病毒的后续传播中都用到过该系列漏洞。
由于大部分服务器会向局域网或互联网开放服务,这意味着一旦系统漏洞、第三方应用漏洞没有及时修补,勒索病毒就能乘虚而入。2018年,多个勒索软件家族通过Windows系统漏洞或Web应用漏洞入侵Windows服务器。其中最具代表性的当属Satan勒索病毒,Satan勒索病毒最早于2018年3月在国内传播,其利用多个Web应用漏洞入侵服务器,如下表所示。
通过360安全中心的研究人员研究分析发现,Satan勒索病毒作者在利用漏洞获取到服务器权限后,会在受害者服务器上下发传播模块、勒索病毒及挖矿木马,在利用"永恒之蓝"相关漏洞攻击武器攻击局域网中的其他机器的同时,继续利用上述表格中的多种漏洞对其他机器进行攻击,达到扩散式传播的目的。
5. "无文件"攻击技术
"无文件攻击"技术指的是攻击者在不释放文件到本地磁盘的情况下实施攻击。这类攻击技术能够有效躲避杀毒软件的静态特征查杀,并且有利于恶意攻击载荷的持续驻留。攻击者一般通过在内存中加载恶意代码实现"无文件攻击"。
GandCrab勒索病毒是"无文件攻击"技术的狂热支持者。其作者提供了一个名为Invoke-GandCrab的PowerShell版本变种。GandCrab勒索病毒传播者可以在受害用户机器中通过PowerShell加载GandCrab恶意载荷。由于没有在受害用户机器中释放任何文件到磁盘中,Invoke-GandCrab能够躲避安全软件的静态特征扫描。
6. RaaS
RaaS是Ransomware-as-a-Service的缩写,即"勒索病毒即服务",其借鉴了SaaS(Software-as-a-Service,软件即服务)模型。利用该模型,勒索病毒制作者为网络犯罪组织开发勒索病毒,而网络犯罪组织则负责传播勒索病毒,双方根据合作协议瓜分赎金。RaaS模式在勒索病毒界已存在多年,其中以 GandCrab和Satan最具代表性。其中Satan勒索病毒制作者已不再提供该服务,而GandCrab目前仍然以RaaS模式运作。
与GandCrab制作者合作的网络犯罪组织大多收入不菲:GandCrab的制作者曾经公布2018年12月第二周的收入情况,仅仅在这一周的时间内,与其合作的网络犯罪组织就收入了近10万美元。
4、 勒索病毒相关地域分布勒索病毒被攻击者分布
360安全大脑监测显示,2018年排名前十的地区中广东地区占比高达18.49%。其次是江苏占比8.14%,浙江7.23%。前三地区均属于东南沿海一带地区。
2018年受害者地区采样分布图如下。其中信息产业发达地区和人口密集地区是被攻击的主要对象。
勒索病毒C&C服务器分布
由于勒索病毒在与安全软件的对抗中不断提升自身的隐蔽性,并尽可能的减少代码行为特征和溯源线索。勒索病毒使用到的C&C服务器也在不断减少,我们对不多的C2域名进行了统计,其中最多的依然是.com通用域名。此外,还存在部分通过PunyCode进行编码的泰语域名。
据统计,2018年所出现的C&C服务器中,有很大一部分是被黑产攻击并拿下的"肉鸡",推测应该是为了尽可能的避免被警方或安全厂商溯源。此外,本次所统计到的C&C域名大多数出现在2018年上半年。也就是说,总体趋势来看,今后勒索病毒所使用的C&C域名数量会进一步减少,甚至完全抛弃C&C服务器的使用。
5、 勒索病毒攻击的行业
根据对攻击数据的抽样统计,显示2018年度受到勒索病毒攻击的行业TOP10为:教育、餐饮&零售、制造业、互联网、服务业、金融&经贸、政府、媒体、医疗、设计。
第二章 2018年360安全卫士防护情况1、 360安全卫士勒索病毒防护能力更新
360互联网安全中心是国内最早从事勒索病毒研究与勒索病毒防护的安全机构,提供有360安全卫士,360反勒索服务,360解密大师,360文档保护,NSA免疫工具等勒索病毒防护、解密、救援功能和服务。360安全卫士通过、微博等媒体对外发布勒索病毒最新情报与威胁预警,为全球用户提供勒索病毒相关问题的咨询。
360安全卫士产品提供了勒索病毒的防护能力,在2018年360安全卫士着重在下面几个方面做了加强。
1. 服务器防护能力
2017年下半年以来,针对服务器攻击的勒索病毒成为勒索病毒攻击的一个重要方向,尤其以弱口令爆破,常用应用漏洞攻击最为常见。针对这一问题,我们完善了"口令爆破"防护能力,增加了对"远程桌面爆破"、SMB爆破、SQL Server爆破、VNC爆破、Tomcat爆破的防护支持,大为改善了客户端因使用弱口令被爆破的问题。服务器面临勒索病毒攻击的另一个重要渠道就是搭建在其上的各种软件系统存在的漏洞,在2018年360增加了对WebLogic、JBoss、Tomcat等多种常见软件漏洞的防护能力,提升了服务器整体的安全防护效果。
2. 面向传播链的防护能力
针对勒索病毒的防护,更高效可靠的防护时间点应该是其攻击传播阶段。针对勒索病毒传播中常使用的漏洞,360安全卫士加强了这类漏洞免疫和事前检测防护能力,如网络防护就提供了对多种漏洞的数据包检测能力,发现攻击直接阻断。针对U盘蠕虫类的传播方式,360 U盘助手在原有检测基础上增加了更多对勒索病毒相关信息的识别,在U盘接入系统时即可报出其中暗藏的病毒木马。
3. 综合防护能力
针对勒索病毒的行为识别,一直是360安全卫士防御勒索病毒的重要手段。2018年我们对勒索病毒的行为识别做了进一步加强,增加了更多数据维度,同时还增加了来自360安全大脑的决策信息,配合我们基于机器学习的数据流识别能力,使我们对勒索病毒行为的识别能力进一步加强,同时也有效减少了防护方面的误报问题。
针对勒索病毒的引擎检出识别,则是我们对勒索病毒防护的另一重要手段。通过对智能识别引擎的不断训练,360对勒索病毒的检出能力获得了进一步提高,对2018年来新增的数千个勒索病毒家族均做到了有效识别。
再一项勒索病毒的重要防护能力,就是360安全卫士所使用的智能诱捕技术。通过对设置的陷阱文档的随机化与位置优化,使得我们的智能诱捕技术未被任何一家流行的勒索病毒免疫,同时也能保证勒索病毒的全命中。
2、 360反勒索服务情况
2018年全年,360反勒索服务平台一共接收到了1745位遭受勒索病毒软件攻击的受害者求助,结合360安全卫士论坛反馈与其它反馈渠道,2018年全年360反勒索服务累计服务用户超过2100人。并帮助超过200名用户完成文件解密。
2018年全年趋势
2018年11月为全年勒索病毒反馈量最高月份。其中GandCrab勒索病毒和UNNAMED1989(网称"微信支付勒索病毒")占了很大比例。
被攻击系统分布
被感染系统中Windows 7系统占比最高,占到总量的51%。其主要原因使用该系统的用户基数较大。
根据360安全大脑对被感染系统类型进行统计发现,个人用户机器被感染勒索病毒的占比达78%,服务被感染机器占比22%。虽然个人用户的占比依然是绝对多数,但服务器系统的占比也足以说明近年来勒索病毒攻击目标向服务器转移的现状。
勒索病毒传播方式
通过对反勒索服务平台接收到的勒索病毒反馈案例统计分析发现,通过远程桌面弱口令攻击方式传播的勒索病毒在所有已知感染方式的案例中占比最高——达到了63%。其次是共享文件夹权限设置问题导致文件被加密,占比达到11%.2018年首次出现的利用U盘蠕虫进播勒索病毒的案例,其占则达到了10%,排在第三位。
受害者年龄层分布
通过对360反勒索服务平台反馈数据进行统计分析发现,受害者中80后站比高达51%,超过一半的受害者来自80后,其次是90后。据推测,这主要是由于这两个年龄层用户是目前办公室白领和系统运维人员的主要群体,其接触计算机的时间明显高于其他年龄层的用户,导致其受到勒索病毒攻击的概率也远高于其他年龄层用户。
受害者性别分布
通过对360反勒索服务平台反馈数据中受害者性别进行统计发现,受害者中男性占比高达93%,女性占比则仅有7%左右。据推测,造成这一悬殊占比的原因主要有二:其一、与计算机接触最为频繁的IT行业或IT运维类岗位的男性员工占比明显多于女性。其二、很多女性用户遇到病毒问题,往往会优先选择寻求身边男性朋友的帮助。
系统安全日志分析结论
除了以上用户在申请反勒索服务时提交的数据外,360安全工程师对受害用户进行远程协助时还会提取计算机系统内的安全日志。基于对这些日志的汇总分析,我们提取到了以下信息:
a) 受害计算机被入侵时间分布
对被黑客攻击机器(多为服务器)的被攻陷后成功登录时间进行统计分析发现:在23点到次日3点这个时间段的登录占比最高。主要原因是这个时间段内,服务器多处于无人值守的状态,黑客的攻击可能受到的干扰最小。
b) 受害计算机被入侵日期分布
对被攻陷机器的受攻击日期进行统计发现,在年初和年末被登录次数都是较低,在本年度5月,6月,9月分别出现三次登录高峰。
c) 攻击来源分布
对登录过被攻陷机器的可疑IP统计分析发现。来自美国地区的IP占比最高,达到25%;其次是来自俄罗斯的IP,为23%;来自德国的IP则占到了8%,位居第三。
3、 360解密大师情况
360解密大师是360安全卫士提供的勒索病毒解密工具,是目前全球范围内支持解密类型最多的一款解密工具。
2018年360解密大师共计更新版本61次,累计支持解密勒索病毒超过130种,全年服务用户超过20000人次,解密文件超过1700万次,累计帮助用户挽回损失数千万元。
全年解密勒索病毒TOP10
第三章 2019年勒索病毒发展趋势预测
2018年是勒索病毒继2017年之后又一个火爆之年,各种变种了攻击事情层出不穷,依然是企业和个人年度最严重安全风险之一。勒索病毒以其方便可靠,而又行之有效的变现手段受到各类黑客攻击团伙的青睐。以目前勒索病毒的发展趋势分析,2019年勒索病毒威胁仍将继续领跑本年度安全话题,成为企业和个人最严重的安全风险之一。我们将选取攻击的方式、对象、技术手段等几个方面进行分析。
1、 勒索病毒技术发展:紧跟漏洞发展趋势
2018年勒索病毒在传播技术手段上可谓紧跟行业发展,多个新公开的漏洞马上被攻击者用来传播勒索病毒。比如GandCrab在2018年9月份的更新中,就加入了对CVE-2018-0896(Windows 10提权漏洞)的使用。Satan在V4.2版的更新中加入了CVE-2018-2894(WebLogic任意文件上传漏洞)的利用。使用Nday漏洞为勒索病毒攻击和传播提供帮助已经成为勒索病毒传播的一个重要手段。
预计在2019年勒索病毒将与漏洞传播有更紧密的结合,甚至有可能再次发生像2017年WannaCry "想哭"勒索病毒那样的全球性爆发事件。针对重要目标,也可能会发生使用0day攻击的勒索病毒。这也提醒广大用户,做好计算机漏洞防护的重要性。
更广泛的播手段
2018年,得益于勒索病毒的代理分成模式的兴起,勒索病毒的传播渠道也大为扩展。以往由固定团伙制作传播的勒索病毒,开始更多的发展下线。如GandCrab勒索病毒就在全球范围内招募传播者。传播手段也已经不再局限于漏洞攻击、远程爆破攻击等,常规的恶意软件、木马病毒传播渠道中也均出现了勒索病毒的身影,如挂马、蠕虫、软件捆绑、下载器等,甚至于出现了针对受害者的"传销式"传播。
2019年勒索病毒的传播方式必定将会更为广泛,任何计算机用户都有可能称为勒索病毒的受害者,以往的一些其它恶意软件的传播渠道很有可能也被用来传播勒索病毒。
下图是2018年10月,FilesLocker勒索病毒制作者在暗网发布的合作帖,寻求网络犯罪组织与其合作以扩大FilesLocker勒索病毒的传播。
更多样化的敲诈勒索形式
常规意义上的勒索病毒以加密、隐藏、破坏信息系统等方式来勒索受害者财物。但在2018年一些其它的勒索类型也开始大肆传播。常见的,如向企业邮箱发送威胁邮件,号称已经破解并监控企业网络一段时间,以泄露隐私为要挟要求支付赎金的。也有针对个人邮箱发送的此类邮件,其内容大多是声称掌握了你浏览色情网站的图像证据等,要求支付赎金,否则就将你的信息公布等。这类勒索攻击,利用了大众的恐惧心理迫使受害者支付赎金。
在2019年,如同此类利用掌握的隐私数据,各种信息点等实施的敲诈勒索也将更为普遍,各种新形式的勒索手段也会更多的出现。
2、 攻击面、攻击目标与"产业"发展:
以往勒索的主要攻击目标集中在Windows系统,但在2018年针对数据库的加密勒索事件开始大量出现,如RushQL数据库勒索病毒就是针对Oracle数据库进行破坏和勒索。还有针对MySQL,SQL Server等数据库的加密勒索攻击也明显上升。除数据库外,各类Web应用也是勒索病毒攻击的目标,如国内多次爆发的利用Tomcat、JBoss、WebLogic等Web应用的漏洞传播勒索病毒的攻击事件。在2019年,勒索病毒的攻击目标将进一步扩大化,各种版本的操作系统,服务和应用都将成为勒索病毒攻击的目标。
攻击的设备来看,目前攻击目标主要集中在PC和服务器,还有部分移动设备。但一些嵌入式设备如ATM机、POS机也被曝出感染勒索病毒的情况,而去年IOT设备感染DDoS、挖矿病毒的事件也明显增多。未来包括工控设备、各类嵌入式设备、IOT设备在内的各种智能设备面临勒索病毒攻击的风险也都将大大增加,这类设备出现问题所带来的隐私泄露风险和经济损失很也会比PC更为严重。
攻击团伙的层面发展来看,国内活跃的勒索病毒攻击团伙就有至少40个之多,攻击来源更是来自世界各地。随着勒索病毒分成推广模式的发展,后续会有更多黑产团伙加入到勒索病毒的制作和传播中来,勒索病毒的传播也将更具全球化。而勒索病毒的攻击方式也开始从之前的"广撒网"、针对防护薄弱设备的无差别攻击,到目前开始针对特定行业或人群的针对性攻击,甚至可能出现针对某一家公司或某一个人的定向攻击。如年初多次报道的针对医疗行业的攻击,和针对公司的定向钓鱼攻击等。未来,勒索病毒的攻击目标也将更具多样化,针对特定个人、企业、行业的勒索病毒将更加广泛。
勒索病毒"产业"中还有重要一环——数据恢复公司。很多中招用户有支付赎金解密数据的诉求,但对勒索病毒整个支付解密流程无法自行来完成。此时用户一般会求助数据恢复公司来协助完成,勒索病毒解密业务现在已经成为数据恢复公司最常见的业务之一,目前整个行业也在逐步规范化,未来也会随勒索病毒的兴起获得更多发展。
第四章 给用户的安全建议一、 个人用户安全建议
对于普通用户,我们给出以下建议,以帮助用户免遭勒索病毒攻击:
养成良好的安全习惯
1) 电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
2) 可使用安全软件的漏洞修复功能,第一时间为操作系统和IE、Flash等常用软件打好补丁,以免病毒利用漏洞入侵电脑。
3) 尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
4) 重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
5) 电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
减少危险的上网操作
6) 不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
7) 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
8) 电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
9) 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
采取及时的补救措施
10) 安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务申请赎金赔付,以尽可能的减小自身经济损失。
二、 企业用户安全建议
1) 及时给办公终端和服务器打补丁修复漏洞,包括操作系统以及第三方应用的补丁,尤其是对外提供服务的各种第三方应用,这些应用的安全更新容易被管理员忽视。
2) 如果没有使用的必要,应尽量关闭不必要的网络端口,比如:135、139、445、3389等,不对外提供服务的设备不要暴露于公网之上。
3) 企业用户应采用具有足够复杂的登录口令,来登录办公系统或服务器,并定期更换口令。
4) 对重要数据和文件及时进行备份。
5) 提高安全运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,远程办公使用到的其它计算机也应定期查杀木马。
附录 2018年热门勒索病毒攻击事件GandCrab被两度破解
GandCrab是360安全大脑在2018年2月2日捕获到一款新型勒索病毒。该勒索病毒一出现便利用RaaS(Ransom-as-a-Service)的分发模式迅速在全网范围内广泛传播。但在3月初,罗马尼亚安全公司BitDefender就放出了该勒索病毒的解密工具,为中招用户提供解密服务。
此后病毒进行了相应的升级来躲避解密。直到10月16日,一位叙利亚的父亲在twitter上求助说自己孩子的照片和视频均被该勒索病毒(v5.0.3)加密了,但付不起赎金。看到该求助后,GandCrab作者良心发现,放出了针对叙利亚地区受害者的解密工具。而很快,BitDefender则放出了v5.0.3(含)之前所有版本的解密工具——这一点是如何做到的病毒作者也很费解。
张扬的Xiaoba
2018年2月6日,360安全卫士发布预警。一款名为Xiaoba的勒索病毒以"吃鸡"外挂的名义,在贴吧、QQ群等社交平台中疯狂扩散。诱骗玩家关闭安全软件,并对全盘文件进行加密。此外,该勒索病毒作者还参与其他类型恶意软件或外挂程序的开发,并高调发布到各种论坛中,很是张扬。
SATURN的传销式传播模式
2018年3月5日,360安全大脑发现了一款名为SATURN的勒索病毒。该勒索病毒会要求受害者在7天内支付300美元等价的比特币,逾期则会赎金翻倍。但与以往勒索病毒不同,该病毒还采用了一种新的传播模式——病毒作者会为二次传播者按照三七的比例进行分成,鼓励和诱导他人帮助其进行病毒的扩散和分发。这也是我们第一次发现勒索病毒使用这种发展下线的类传销传播模式。
连可执行程序都不放过的Zenis
2018年3月底,360安全大脑检测到一款名为"Zenis"的勒索病毒,其命名源自病毒作者的名字。与其他加密常见文件的勒索病毒不同,该病毒运行后,会对设备中超过200种格式的文件进行加密,另外非系统盘符下的所有格式文件也都将被锁,就连exe可执行程序都不会放过。同时,病毒还会删除系统中的备份文件,以避免中招用户恢复重要数据,可谓杀伤力惊人。
勒索病毒也有奢侈品——"爱马仕"的大规模攻击
2018年4月16日,360安全大脑发现一款名为"爱马仕"的勒索病毒又开始在国内传播,该勒索病毒此次的主要攻击目标是Windows服务器。目前流行的服务器勒索病毒中,有超过九成是通过远程桌面进行传播的。该勒索病毒更让人头痛的一点是,它除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。
Greystars现身,WebLogic遇袭
2018年4月21日,匿名黑客利用WebLogic反序列化漏洞向国内部分企业服务器投递Greystars勒索病毒,加密服务器中的重要文件并索要0.08个比特币,赎金当前约合人民币4761元。根据360安全大脑的监控数据,有近百台服务器收到此次攻击的影响。
勒索还是挖矿全看机器配置
2018年7月10日,360安全大脑发现Rakhni勒索病毒家族的最新变种发起了新一波的攻击。此次事件中,勒索病毒使用"鱼叉式钓鱼邮件"进行传播,诱导受害者打开邮件附件中的Word文档,一旦用户根据诱导点击了文档中的图标,则会启动附带的恶意程序。与以往不同的是,该程序会根据受害用户的计算机环境以及配置,自动判断对受害机器投放勒索病毒和挖矿木马哪个能为作者赚取更多的利润。
天使与魔鬼的斗争,对Satan勒索病毒的持续对抗
Satan勒索病毒是在2018年初出现在大众视野中的勒索病毒家族。同GandCrab一样,Satan也是利用了RaaS的分发方式,进一步加强了其传播的范围。后期随着该病毒与"永恒之蓝"等漏洞利用工具的结合,再一次增加了其传播能力和危害性。
2018年,该家族病毒开始在国内广泛传播。7月,360安全大脑更是监控到一波来自该病毒的大规模爆发。而根据其勒索金额,并结合截止到2018年7月份360安全卫士对该病毒的拦截量估算:360已经成功为受此病毒攻击的服务器挽回了约4亿元人民币的直接经济损失。而直到2018年12月Satan不再更新,360始终可以对该勒索病毒所加密的文件进行解密。
某省级儿童医院系统瘫痪,GlobeImposter阴魂不散
2018年2月24日清晨,国内某省级儿童医院出现系统瘫痪状况,正值儿童流感高发季,医院大厅人满为患。此次事件中,该院多台服务器感染GlobeImposter勒索病毒,其中包括数据库文件在内的多种重要文件被病毒加密。黑客要求院方在6小时内为每台中招机器支付1个比特币赎金(当时约合人民币66000余元)。
该事件中的GlobeImposter是一款自2017年开始出现的勒索病毒家族,而在2018年,该勒索病毒一跃成为在野流传广度最高的勒索病毒家族之一。具不完全统计,仅2018年一年期间,该病毒家族就出现了近100个新型变种在网络中传播。
UNNAMED1989,从微信支付到自投罗网
2018年12月1日晚,360安全大脑截获了一款国产勒索病毒——UNNAMED1989。该勒索病毒利用易语言开发者和使用者普遍不相信安全软件报毒的心态得以广泛传播。但其采用简单的异或算法对文件进行加密使得安全软件可以相对简单的对文件进行恢复。同时,使用微信二维码作为收款方式,也让警方可以轻松定位到作者身份。最终,该作者于12月5日被东莞警方抓获,这款UNNAMED1989勒索病毒也如昙花一现般落下了帷幕。
冒牌Petya袭击半导体行业
2018年12月8日,360安全大脑捕获了一款Petya勒索病毒的仿冒者,通过修改用户计算机的MBR(主引导记录)来破坏系统,其攻击手段与早期Petya勒索病毒有相似之处,但又有较大不同,其攻击方式包括控制域控服务器、钓鱼邮件、永恒之蓝相关漏洞攻击以及暴力破解,攻击力极大,可在短时间内造成内网大量主机瘫痪,中招主机被要求支付0.1个比特币赎金。