黑客业务

       

人生中最猛烈的黑客攻击是什么？

腾讯平安正式发布了《2018年勒索病毒流动回顾故事》（以下简称《故事》）。《故事》分析了过去一年国内主要勒索病毒组织的漫衍和攻击技能，并对未来技术的增长趋势进行了全面的展望。此外，该故事还提出了321安全灾害准备计划的原则。            

   
   

   

       

   

   自2017年WannaCry勒索病毒席卷全球后，正式进入普通人的视野，影响了许多行业和机构，成为最受关注的网络安全问题之一。回顾整个过程2018年，以GlobeImposter、Crysis、GandCrab以勒索病毒为代表的人越来越疯狂。疯狂的攻击者将勒索病毒与蠕虫病毒联系起来，瞄准企业、事业单位和政府有关部门。他们制造了许多大规模的勒索事项，其影响力和破坏性显著增强，一度引起社会各界的广泛关注。    

   

   可以预见，未来勒索病毒攻击将具有技术手段日益成熟、攻击目的更准确、产业分工更详细的特点。因此，如何防御这种勒索攻击尤为重要。克日，腾讯平安正式宣布《2018回顾年度勒索病毒流动情况（以下简称故事）。本文分析了过去一年国内主要勒索病毒组织的漫衍和攻击技术，并对未来技术的增长趋势进行了全面的展望。此外，本文还提出了321安全灾害准备计划的原则，对企业网络安全建设具有一定的参考价值。    

   

   谁最喜欢勒索病毒偏心？    

   

   整个20182000年，勒索病毒整体攻击呈上升趋势，引发了许多大型网络攻击。从攻击地区的角度来看，勒索病毒现在遍布全国，其中广东、浙江、河南等地区最为严重。与此同时，勒索病毒也有其对感染行业的偏好    

   

       

   

   (图:漫衍地区勒索病毒感染)    

   

   以医疗行业为例，网络安全相对完善的三甲医院，42%医院内仍有电脑端永恒蓝缺陷未修复；平均每天都有7家三甲医院的电脑端检测到了WannaCry勒索病毒。2018多年来，国内两家省级医院遭到勒索病毒攻击，一度导致医院在一段时间内无法接受治疗，甚至导致系统长期瘫痪。    

   

   制造业也是勒索最频繁的工具之一，20182000年，台积电和波音飞机工厂遭遇勒索病毒。制造业正在迎来「工业4.0」面对无处不在的传感器、嵌入式系统、智能控制系统和产品数据、设备数据、研发数据、运营管理数据的新模式，一个新的安全需求正在发生。    

   

   只是勒索病毒偏心上述行业，但事实解释说，勒索病毒对所有涉及国民经济和民生的行业都有一定的威胁。一旦社会长期依赖的基础设施受到攻击，它将给社会带来无法计算和不可逆转的损失。    

   

   
   

   

   强盗也有家庭，解密公司或其代理    

Black Hat Asia 腾讯安全第一次披露Chakra JIT发动机漏洞攻击面

   

   勒索病毒攻击系统后，一样平常会向受害者勒索数字钱币或其他钱币，是病毒界名副其实的强盗。20182000年，在简历爆炸式增长后，勒索病毒不再单独作战，而是以家庭的形式占据了山脉，每个角色都有明确的分工。一个完整的勒索攻击过程可能涉及勒索病毒作者、勒索实施者、传播渠道、代理和受害者5个角色。    

   

   具体来说，病毒作者主要努力编写和生产，与安全软件相匹配；勒索实施者从病毒作者那里获得定制的源程序，通过自定义病毒信息获得独家病毒，并与病毒作者分享收入；传播渠道协助勒索实施者完成病毒传播；作为主要环节，代理人假装能够解密勒索病毒加密软件，并要求赎金赚取差价。    

   

       

   

   (图:勒索病毒黑产业链)    

   

   随着过去两年数字硬币的快速增长，在伟大利益的诱惑下， GandCrab，GlobeImposter，Crysis以勒索家族为代表的勒索家族仍然非常活跃。其中，攻击技术已成为整个勒索家族延续的焦点驱动力，如使用常规加密工具、病毒加密、虚假勒索欺诈加密已成为攻击者的常用技术之一。    

   

   以2018年度最活跃的勒索家族之一GandCrab例如，作为第一个使用达世币的例子（DASH）勒索病毒作为赎金，传播方式多种多样，主要包括弱密码爆破、恶意邮件、网页挂马传播、移动存储设备传播、软件供应链熏染传播等。该病毒更新迅速1年内简历5大版本，几个小版本的小修补，现在最新版本是5.1.6(停止2018年底)，国内最活跃的版本是5.0.4。    

   

       

   

   (图:勒索病毒GandCrab勒索页面）    

   

   众所周知，除非勒索病毒有逻辑缺陷或获得解密钥，否则几乎不可能用当前的计算机计算能力解密。现在，市场上也有解密公司，这些解密公司实际上主要是国内勒索者的代理。它使国内用户不方便购买数字硬币的弱点，以相对便宜的价格吸引受害者联系解密，并在整个过程中赚取差价。根据解密公司官方网站上公开的销售记录，解密公司可以通过作为勒索中心代理一个月的收入300W人民币。    

   

   三二一数据备份法是匹配勒索病毒最直接的方法    

   

   目前，勒索病毒家族逐渐以平台、全球化和工艺为支点，对世界各地的网络用户构成了巨大的网络安全威胁。与此同时，随着病毒技术与云计算、大数据、人工智能等新技术相连的趋势越来越明显，攻击技术不断更新和升级，导致互联网安全形势越来越严重。叙述指出，勒索病毒与安全软件的竞争加剧、传播场景多样化、攻击目的锁定企业用户、工艺迭代加速、赎金、加密工具升级、病毒开发门槛降低、吸烟趋势将成为勒索病毒未来增长的主要趋势之一。    

   

   面对日益疯狂的勒索病毒，企事业单位和政府机构制度的主要义务是备份数据。为此，《叙述》提出了三二一原则”灾备指导意见，即保留三份主要文件，行使至少两个不同的存储载体，其中至少一份保留在不同的地方。    

   

   同时，需要定期对网络安全进行安全培训，提高企业事业单位和政府机构的网络安全意识，关闭不必要的端口和共享文件；利用腾讯皇家终端安全管理系统的缺陷修复效果，实时修复系统的高风险缺陷；建议部署腾讯皇家高级威胁检测系统检测可能的黑客攻击，通过分析企业内外网络边界的网络流量，有效检测未知威胁，感知缺陷的行使和攻击。    

   

   此外，该故事提醒大多数个人用户不要放松和小心，并建议实时打开腾讯计算机管家和其他主流安全软件，以加强保护。目前，腾讯计算机管家推出的文档保护器功能可以行使磁盘冗余空间备份数据文件，并帮助大用户在文件被勒索病毒损坏时快速恢复文档。

警惕Office隐藏在盗版激活工具中的远程控制木马AZORult