Nitol僵尸网络拓展新业务:疯狂点击广告刷量
勒索病毒已零零散散存在了很多年,一直被看成偶发性损坏性强的损坏性程序纪录在案,直到WannaCry勒索蠕虫病毒的攻击给了每个人一个教训。平安软件与勒索病毒的技术竞争不断升级,勒索病毒的攻击也呈现出技术手段更加成熟、攻击目的更加准确、产业分工更加详细的特点。一、概述
勒索病毒并不是什么新鲜事。它已经分散多年了。它一直被记录为偶然损坏性强的损坏程序,直到WannaCry勒索蠕虫病毒的发作给了大家一个教训:疯狂的损害者可以将勒索病毒与蠕虫病毒有机地结合起来,产生大面积的灾难性结果。此后,平安软件与勒索病毒的技术竞争不断升级,勒索病毒的攻击也呈现出技术手段更成熟、攻击目的更准确、产业分工更详细的特点。
回首2018年度勒索病毒熏染数据会注意到整体上升趋势明显。
勒索病毒感染地区漫衍和行业漫衍
考察2018勒索病毒攻击地区可以看出,勒索病毒在全国各地都是最严重的,包括广东、浙江、山东、河南等地。在勒索病毒攻击行业中,传统行业、教育和互联网行业是最严重的,其次是医疗和政府机构。分析表明,勒索病毒影响了涉及国民经济和民生的各个行业。一旦社会长期依赖的基础涉及到攻击,它将带来无法计算和不可逆转的损失。
二、勒索类型
1.使用正规加密工具:
这种勒索方法不同于传统的勒索病毒攻击过程,黑客使用正式的磁盘加密珍惜软件攻击受害者的机械数据。BestCrypt Volume Encryption软件,BestCrypt Volume Encryption是专业加密软件制造商开发的磁盘珍惜软件,可以加密整个分区,除非加密时间密码,否则很难通过第三方恢复解密。黑客通过使用专业的加密软件来加密服务器上的磁盘,并要求支付大量的赎金来进一步提供文件解密和恢复服务。
2.病毒加密:
这种勒索是最常见的病毒类型攻击技术,主要分为两类,一种是约束用户的正常登录系统,另一种是使用高强度加密算法来加密用户磁盘上的所有数据文件,这两种方法可能相互引用。由于病毒使用高强度对称或非对称加密算法来加密数据,当无法获得文件解密钥时,解密和恢复文件的可能性非常低。这也是勒索病毒攻击者一次又一次成功的工艺条件。
3.虚假勒索诈骗邮件:
这种勒索在严酷意义上不是病毒,但由于这种勒索巧妙地行使了人性的弱点:通过电子邮件威胁和恐吓,诱使受害者转移到加密钱包,这种做法是2018相当盛行。腾讯平安团队在。20182000年,我收到了许多这类勒索用户的反馈。勒索者通过大量的大规模欺诈邮件,在投掷收件人的隐私信息时,行使收件人的恐慌,然后乐成实施欺诈勒索。在勒索过程中,受害者很容易陷入勒索者的陷阱,因为他们对自己的隐私信息感到沮丧,从而被欺骗支付赎金。
3、勒索病毒产业链
勒索病毒经过后,产业链更加明显,角色分工明确,完整的勒索攻击过程可能涉及勒索病毒作者、勒索实施者、传播渠道、代理、受害者5每个角色的详细分工如下:
勒索病毒作者:努力编写和制作勒索病毒,与安全软件无敌。通过在黑暗网络或其他地下平台上销售病毒代码,接受病毒定制,或销售病毒生成器,与勒索者进行互助分享。
勒索实施者:从病毒作者那里获得定制版本的勒索病毒或勒索病毒原始程序,通过定制病毒勒索信息获得自己的独家病毒,并与勒索病毒作者分享收入。
传播渠道:辅助勒索者传播勒索病毒,最熟悉的是僵尸网络,例如Necurs、Gamut,全球有97%两个僵尸网络发送钓鱼邮件。
代理:向受害者解密勒索病毒加密文件,并向勒索者提出赎金50%甚至更低,但事实上,他们与勒索者互相帮助,赚取差价。代理通常通过搜索关键词广告进行推广。
受害者:通过各种勒索病毒传播渠道招募的受害者,如果主要文件加密,请联系代理或勒索者支付赎金解密文件。
众所周知,除非勒索病毒有逻辑缺陷或获得解密钥,否则几乎不可能用当前的计算机计算能力解密。通过搜索引擎,我们可以发现大量声称解密多种主流勒索病毒的公司。这些部门的解密公司实际上是勒索者在中国的代理,这使得国内用户购买数字硬币和相对便宜的价格不方便,吸引受害者联系解密,并在整个过程中赚取差价。根据解密公司官方网站上的公开记录,解密公司可以通过作为勒索中心代理一个月的收入来实现300W人民币。
四、勒索病毒2018典型的攻击
考察剖析2018不难发现,为了提高收入,勒索病毒团伙已经将攻击目的从最初的大面积撒网攻击转变为准确攻击高价值目的。例如,直接攻击医疗行业、企业、事业单位、政府机关、服务器等传统企业,包括制造业,面临着日益严重的安全形势。
只管WannaCry大局限攻击已经一年多了,但仍然引发了许多大规模攻击。腾讯平安团队监控发现,部门、企事业单位仍存在电脑未修复的高风险缺陷。一年前的攻击很流行WannaCry勒索病毒仍在一些企事业单位内网泛起。以医疗行业相对安全的三甲医院为例,42%三甲医院还有PC计算机永恒的蓝色缺陷,没有修复。平均每天都有。7三甲医院被检出WannaCry勒索病毒(幸运的是,它们大多是加密效果失效的病毒版本)
制造业正迎来「工业4.0」重大历史机遇面临着无处不在的需要传感器、嵌入式系统、智能控制系统和产品数据、设备数据、研发数据、操作管理数据仔细连接成智能网络的新模式,正在发生新的安全需求。
腾讯高级副总裁丁克曾指出,数字经济时代的信息安全不仅是产业增长升级的基本能力之一;安全是一切0前面的1,没有了1,所有0都失去了意义。
5.勒索病毒家族活跃TOP榜
随着过去两年数字硬币的快速增长,在伟大的利益诱惑下GandCrab,GlobeImposter,Crysis以上勒索家族为代表的勒索家族仍然非常活跃2018最具代表性的一年10勒索病毒家族,以下简单先容让大家了解当前流行的勒索病毒。
1. GandCrab:
GandCrab最早泛起于2018年1月,是首个使用达世币(DASH)勒索病毒作为赎金,也是2018年也是最活跃的病毒之一。GandCrab传播方式多种多样,主要包括弱密码爆破、恶意邮件、网页挂马流传、移动存储设备流传、软件供应链熏染流传。病毒更新非常快1年内简历5大版本,小版本更新,现在最新版本是5.1.6(住手2018年底),国内最活跃的版本是最活跃的5.0.4。
2. GlobeImposter:
GlobeImposter泛起于2017年12月,病毒已经生长到今天4在大版本中,病毒加密文件完成后有许多扩展后缀,主要包括以下类型。现在病毒加密文件完成后将添加最活跃的版本.*4444的扩展后缀
(GOTHAM .YAYA .CHAK .GRANNY .SKUNK .SEXY .MAKGR .TRUE .BIG1 .LIN .BIIT .BUNNY .FREEMAN .reserve .DREAM .CHIEF.WALKER .Ox4444 .booty .YOYO .BIG3 .xx .BIG2 .sexy2 .sexy1 .China4444 .Help4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444)
3. Crysis:
Crysis勒索病毒加密文件完成后通常会添加“ID 邮箱 指定后缀图案的扩展后缀,例如:id-编号.[gracey1c6rwhite@aol.com].bip,id-编号.[stopencrypt@qq.com].bip”。
病毒通常以弱密码爆破的方式侵入企业服务器。由于多台机械使用统一的弱密码,安全意识薄弱的企业很容易在企业内大面积吸入服务器,导致业务系统瘫痪。
4. WannaCry:
WannaCry于2017年5月12日本在全球范围内的巨大攻击引发了互联网行业的生化危机。借助永恒蓝的高风险缺陷WannaCry短时间内影响近150在许多国家,政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受了前所未有的损害,勒索病毒也引起了前所未有的关注,因为网络仍有部门机械未修复缺陷,因此病毒仍具有强大的活力(大多数加密效果无效)。
2019年3月Windows高危零日漏补丁公告
5. Satan:
撒旦(Satan)勒索病毒在2017年头被外媒曝光,被曝光后,撒旦(Satan)勒索病毒并没有停止攻击,而是不断升级优化,与平安软件持久匹敌。病毒行使JBoss、Tomcat、Weblogic,Apache Struts2等多个组件破绽和永恒的蓝色破绽进行攻击和熏染。
6. Hermes:
Hermes勒索病毒首次活跃2017年11加密文件完成后,将在文件名后添加.HRM扩展后缀。该家族善于使用钓鱼邮件,RDP(远程桌面治理)爆破攻击、软件供应链胁迫等方式流传,使用RSA AES文件无法解密,无法获得病毒作者手中的私钥。
7. Stop:
家族病毒不仅加密文件,还默默安装修改后TeamViwer然后中毒计算机被攻击者远程控制,同时修改Host文件禁止受害者访问平安制造商的网站Windows Defender启动启动,实时监控效果,使计算机失去珍惜。防止加密文件造成的CPU占用卡顿,释放特殊模块伪装Windows补丁更新状态。
8. Rapid:
Rapid勒索病毒在2017首先,它是活跃的。病毒主要通过弱密码爆破、恶意邮件、网站挂马等方式传播。现在,加密后将添加国内活跃版本no_more_ransom扩展后缀。病毒加密文件后无法解密。
9. FilesLocker:
FilesLocker勒索病毒在2018年10月泛起,并在网上大量招募流传署理。现在已升级到2.0加密文件后会添加版本[fileslocker@pm.me]扩展后缀。由于该病毒在加密后使用弹出窗口告知受害者勒索信息,因此在病毒过程未退出的情况下,很有可能通过内存找到文件加密钥并解密。
10. Py-Locker:
Python语言编写,令人惊讶的是,捕获的个人样本携带正式的数字签名,签名名称为LA CREM LTD,具有正式数字签名的文件很容易被平安软件释放。根据勒索信息,如果受害者想解密受损文件,必须使用tor访问海外网站(暗网)购买解密工具的浏览器。
6.勒索病毒的未来趋势
1.勒索病毒与平安软件的匹配加剧
随着平安软件对勒索病毒解决方案的成熟和完善,勒索病毒加倍难以入侵用户计算机,病毒传播者将不断升级匹配的工艺解决方案。
2.勒索病毒的传播场景多样化
过去,勒索病毒主要通过钓鱼邮件传播。现在勒索病毒通过高风险缺陷(如永恒蓝色)、鱼叉邮件攻击或水坑攻击传播,大大提高了入侵率。
3.勒索病毒攻击的目的转向企业用户
大多数个人电脑可以使用安全软件来修复缺陷。当被勒索病毒攻击时,个人用户往往会放弃数据并恢复系统。企业用户倾向于支付赎金,而无需实时备份来恢复数据。因此,发现越来越多的攻击目的是政府机关、企业、医院和学校。
4.勒索病毒更新迭代加速
以GandCrab比如第一代后台被平安公司入侵后,一周内就公布了GandCrab2,病毒在短短一年内升级了5大版本,无数小版本。
5.勒索赎金增加
随着用户安全意识的提高和安全软件防御能力的提高,勒索病毒的入侵成本越来越高,赎金也可能增加。今年上半年,一家公司被勒索病毒入侵9.5比特币。现在勒索病毒的攻击目的加倍明确,也许勒索者会攻击赎金,提高勒索赎金。
6、勒索病毒加密工具升级
传统勒索病毒加密的目的基本上是基于文件。现在越来越多的勒索病毒将测试加密数据库文件、加密磁盘备份文件,甚至加密磁盘指导区。一旦用户在加密后无法访问系统,这将比加密更有害,并可能迫使用户支付赎金。
7.降低勒索病毒开发门槛
根据对近期勒索病毒开发语言类型的调查,越来越多的基于脚本语言开发的勒索病毒首先出现,甚至是第一个使用中文编程易语言开发的勒索病毒。例如,使用Python系列的“Py-Locker勒索病毒,易语言供应链流传的沸沸扬扬unname1889低门槛的勒索病毒意味着将有更多的黑人进入勒索行业,这也意味着病毒将继续生长和泛滥。
8.勒索病毒产业化
随着勒索病毒的不断出现,腾讯威胁情报中心甚至发现了一种特殊的行业:勒索代理业务。当企业遭受勒索病毒攻击,关键业务数据加密,理论上基本无法解密时,勒索代理机构承担了受害者和攻击者之间的谈判业务,以恢复数据。
9.勒索病毒感染趋势上升
随着虚拟硬币的快速增长,各种病毒木马的利润模式是一致的,各种病毒可能会随时添加勒索属性。蠕虫、熏染、僵尸网络、挖掘木马,在丰富干熏染目的的剩余价值后,很可能发布勒索效果进行最后一步欺诈,这一调查GandCrab展望未来,勒索病毒攻击将继续上升,
7、勒索病毒预防措施
1. 定期举训定期举行,平安治理可参考三不三要思路
1) 不计算:不要点击标题吸引人的未知邮件
2) 不打开:不要随意打开电子邮件附件
3) 不点击:不要随意点击电子邮件中附带的网站
4) 备份:备份主要数据
5) 确认:打开电子邮件前确认发件人的可信度
6) 更新:系统补丁/平安软件病毒库实时更新
2. 全网安装专业终端安全管理软件,由管理员批量杀毒安装补丁,各系统高风险补丁定期更新。
3. 部署流量监测/阻断类装备/提前发现软件很方便,事中阻断和事后回溯。
4. 建议由于其他原因不能实时安装补丁系统,并考虑在网络边界、路由器和防火墙上设置严格的接触控制计划,以确保网络的动态和安全。
5. 建议在增强用户安全意识的情况下,督促弱密码系统修改密码,或使用计划强制限制密码的长度和复杂性。
6. 建议对于存在弱口令或是空口令的服务,在一些要害服务上,应增强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以到达平安目的。不使用相同口令治理多台要害服务器。
7. 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态和最新的严重缺陷、攻防周期,以及各主流操作系统和应用服务的生命周期。
8. 建议设置数据库账户密码策略建议,锁定最大错误登录次数、跨越有用次数、密码有用期、到期后脱期时间、密码重用等策略。
9. 建议严格限制数据库的治理接收节点地址,只允许特定的治理主机IP远程登录数据库。
可以按照数据备份三二一的原则指导和实施平安灾备方案
1. 至少准备三份:主要数据保证至少有两份备份。
2. 有两种不同的形式:在服务器等两种不同的存储类型中备份数据/移动硬盘/云端/光盘等。
3. 异地备份:至少一份备份存储在异地,确保事故发生时备份数据安全。
腾讯安全发布勒索病毒报告:目标是锁定政企用户,显著增强破坏力