2018上半年勒索病毒情况分析

一、勒索病毒表现出五大新特点

通过对勒索病毒的长期监测与跟踪分析,发现2018年上半年勒索病毒的攻击目标、传播方式、技术门槛、新家族/变种、赎金支付方式等方面均呈现出新的特点:

1、Windows服务器成重灾区,中小企业受灾严重

从2017年下半年开始,勒索病毒的攻击目标逐渐从个人用户转向服务器及企业用户,由于这部分电脑的文件被加密后可能会导致企业服务中断或正常经营受影响,数据资产价值要远高于个人用户,因此主动支付赎金的意愿较高。从感染量来说这部分可能并不高,但造成的损失和影响范围却远高于个人用户。年初国内2家医院连遭比特币勒索,所有数据文件被强行加密,导致系统瘫痪,患者一度无法正常就医。

中小企业由于在安全方面投入不足,缺乏专业的安全运维,漏洞修补不及时,一直以来都是黑客攻击的重灾区。同时由于文件被加密后严重影响到正常的服务或经营,只能被迫支付赎金,这也进一步助长了勒索病毒对Windows服务器和中小企业的攻击,同时也开始出现一些针对特定目标的精准勒索。

2、通过RDP弱口令暴力破解服务器密码人工投毒成为主流传播方式

勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。然而,从2017年下半年开始,随着Crysis/XTBL的出现,通过RDP弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。到了2018年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以GlobeImposter、Crysis为代表,感染用户数量最多,破坏性最强。

3、新家族不断增多,变种更新频繁

从Locky、Cerber、WannaCry、NotPetya、GlobeImposter、Crysis、Satan等到后来的GandCrab、MindLost、Blackrouter、Avcrypt、Scarab、Paradise乃至XiaoBa、麒麟2.1等国产化勒索病毒,勒索病毒阵营不断壮大的同时变种也不断增多。典型的如“后起之秀“GandCrab,从2018年1月份被发现至今,半年不到的时间已经经历了4个大版本的更新。

4、受害者支付赎金的方式多样化

除比特币外,门罗币、以太币逐渐被接受用于支付赎金(上海某公立医院系统被黑,黑客勒索价值2亿元以太币),GandCrab则盯上了更加小众的DASH币(达世币,匿名性更高)。年初国外网络安全机构近日截获一组名为MindLost的新型勒索病毒,和以往的勒索病毒最大不同在于,MindLost不再要求“中招”用户使用比特币等数字货币支付赎金,而是要求受害者使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子牟取更大利益。通过QQ等聊天工具传播的国产勒索病毒"麒麟2.1"则更是支持支付宝扫码转账。

5、病毒制作和传播门槛不断降低

RDP 暴力破解是目前的主要传播方式,而且这种方式呈现流水化作业方式,爆破方和最终的病毒投放者可能是不同的团伙,后者可在黑产地下市场购买所谓的肉鸡进行勒索攻击。病毒制作也无需投放者亲自开发,黑产地下市场同样可购买专业的病毒制作工具,简单填写有几个参数就可生成新款的病毒程序,这更加降低了勒索病毒的技术门槛。

漏洞利用方面,大多借助成熟的利用工具进行攻击。比如2017年5.12日Wannacry爆发,“永恒之蓝”利用公开化,便出现了一系列利用“永恒之蓝”传播的勒索病毒、挖矿等恶意程序。还有RIG、GrandSoft等漏洞利用工具包、Flash 0day (CVE-2018-4878)、JBOSS反序列化漏洞(CVE-2017-12149)、JBOSS默认配置漏洞(CVE-2010-0738)、Weblogic WLS 组件漏洞(CVE-2017-10271)、PUT任意上传文件漏洞、Tomcat Web管理后台弱口令爆破等也被广泛利用。主攻Windows服务器的Satan勒索病毒的开发者甚至允许用户通过网站生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本。AutoIt等脚本语言甚至采用一些正常的文件、磁盘加密软件用于勒索,勒索病毒从制作到传播的技术门槛不断降低。

二、最为活跃的四大勒索病毒家族

Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族,传播量占到上半年勒索病毒传播总量的90%以上。

其中,GandCrab是2018年出现的新星,截至目前已经迅速迭代至4.1版本;Satan在半年时间内则更新了3大版本;期间更有国内外各种新型勒索病毒不断出现,比如肆虐北美的Samsam,以及2017年开始攻击韩国的Magniber 2018年上半年也开始进入我国,给网络安全及网络基础设施造成了严重的危害,波及人们日常生活的方方面面。

1、Globelmposter

Globelmposter家族在2017年5月份被首次发现,后陆续发现。freeman、.panda、.reserve、.true+、.walker、.gotham、.techno、.chak等多个变种。

今年春节刚过,国内2家医院先后被Globelmposter勒索病毒(.true变种)大规模攻击,要求6个小时内支付1个比特币,造成医院系统瘫痪,大批患者滞留、无法正常就医。

2、Crysis

2016年2月,恶意软件Crysis开始加入勒索功能,并于8月份被发现用于攻击澳大利亚和新西兰的企业。10月出现的XTBL变种则明确通过RDP暴力破解进行传播,中国境内有部分个人和企业开始受到攻击。Crysis后续不断发现有.dharma、.arena、.java、.arrow、.bip等变种在国内传播。

GlobeImposter和Crysis传播方式比较相似,根据我们对受害用户的分析发现主要是下面几种情况导致:第一大类为RDP爆破的方式,黑客远程登录用户计算机手动卸载或利用黑客工具关闭杀毒软件后人工投毒;其次则是由于文件共享的原因被加密,这类用户一般本机并没有感染病毒,而是局域网内其它机器染毒,造成这台机器共享出去的文件被加密。还有就是黑客一旦通过服务器登录进入内网后,会采用包括RDP爆破、Mimikatz渗透等方式进行内网横向移动,因此往往这种勒索病毒在同一个受害用户内部有多台机器被同时感染。正是上述原因使得GlobeImposter和Crysis成为感染量最多的勒索病毒。截至目前我们接到的用户反馈几乎全都是这种感染,这说明,继RDP暴力破解的传播方式在2017年成为主流后,2018年上半年仍是以此种方式为主。此外,钓鱼邮件、破解软件及伪装成正常程序诱导用户点击等也是其传播的渠道,不过量相对较少。Crysis和GlobeImposter勒索病毒的不同变种会有不同的联系邮箱,这意味着不同变种背后可能有不同的团队在传播。

3、GandCrab

GandCrab勒索病毒最早发现于2018年1月份,短短半年时间历经4大版本更新,7.1号出现的最新版本会将文件加密为.KRAB后缀(国内已有传播),跟之前版本一样要求受害者通过TOR付款网站获取赎金金额:价值约1200-1600美金的比特币/达世币。

该病毒主要通过钓鱼邮件、网页挂马、浏览器漏洞及捆绑在破解软件中传播,此外还多次被发现通过伪装成网页乱码及Flash播放异常,诱导用户下载“字体更新”和“Flash“程序,该病毒截至目前尚未发现具有自动网络传播感染能力。

4、Satan

撒旦(Satan)勒索病毒首次出现2017年1月份,Satan病毒的开发者通过网站(已关闭)允许用户生成自己的Satan变种,并且提供CHM和带有宏脚本的WORD文档下载器的生成脚本。截至2018年6月,Satan已更新至第四个大版本(其中有3个大版本是最近半年更新的),加密后缀从.stn变为.dbger,赎金也从0.1个比特币一路上涨至1个比特币,并声称超过三天不付赎金就不会再帮助用户解密文件。

传播上除RDP远程爆破、“永恒之蓝“外,还利用了Weblogic WLS 组件漏洞(CVE-2017-10271)、Tomcat web管理后台弱口令爆破、Put任意上传文件漏洞、JBoss反序列化漏洞(CVE-2017-12149)等一系列Web服务器漏洞,主要针对服务器的数据库文件进行加密,非常具有针对性。

三、拒绝勒索病毒的技巧

提醒各位个人用户及企业内网、服务器管理员养成良好的安全习惯,提高风险防范意识,并正确使用安全软件,避免勒索病毒给我们的工作和生活造成严重影响或重大损失:

(1)避免弱口令,弱口令是目前主机安全第一大安全隐患,应力避。建议登录口令尽量采用大小写、字母、数字、特殊符号混合的组合结构,且口令位数应足够长,并在登陆安全策略里限制登录失败次数,定期更换登录口令。

(2)多台机器不使用相同或相似的口令。

(3)重要资料定期隔离备份。

(4)定期检测系统漏洞并修复,及时更新Flash、Java、以及一系列Web服务程序,打齐安全补丁。

(5)共享文件夹设置访问权限管理,尽量采用云协作或内部搭建的wiki系统实现资料共享。

(6)如非需要,尽量关闭3389、445、139、135等不用的高危端口,禁用Office宏。

(7)不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描,确认安全性,尽量从软件管家或官网等可信渠道下载软件。

(8)安装专业的安全防护软件,保持监控开启,并经常更新病毒库。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Petrichor的专栏

主机:各线介绍 & 问题速查表

  在独立组装过八九台主机,遇坑无数后,我写下了《如何自己组装电脑(从配件到整机)来省下一大笔钱》以及《组装台式机遇坑总结》这两篇技术博客。

9810
来自专栏域名资讯

Sedo榜单中,域名“加密世界”CryptoWorld.com七位数夺冠

在最新一期的Sedo榜中,英文组合域名“加密世界”CryptoWorld.com以194888美金的价格夺得Sedo榜冠军,该域名由域名大佬Mi...

211100
来自专栏企鹅号快讯

潜伏17年0day漏洞被发现威胁Office全版本 1123台利盟打印机在线暴露

2017.12.22 周五 安全资讯 资讯要点 网络安全公司 FireEye 和 Dragos 于上周报道称,新型恶意软件 Triton 和 Trisis通过破...

225100
来自专栏北京马哥教育

勒索病毒wannacry最新信息汇总

? 由于在短短几天时间内一举攻击了全球70多个国家并且在中国给各大高校狠狠的上了一课,最新的勒索病毒近期在中文互联网上刷屏了。此次勒索病毒大面积爆发事件的影响...

31460
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(36)-SD-销售报价

在售前活动处理中,SD模块最常用的就是销售报价,用以记录对客户的报价,如果成单,报价单可以进一步转化为销售订单。 用途: 此业务情景描述标准销售报价的处理。收到...

37560
来自专栏FreeBuf

解码针对工业工程领域的网络攻击 Operation Ghoul「食尸鬼行动」

? 1 介绍 卡巴斯基于2016年6月监测到了Operation Ghoul(食尸鬼行动)网络攻击,Operation Ghoul针对30多个国家的工业、制造...

22590
来自专栏域名资讯

多起交易低调进行:“民兵”域名买家揭晓

在域名圈中时常传出域名交易的消息,也有很多低调进行的域名交易,即使是交易完成了。也很难得知买卖双方的信息。近日,外媒又曝出一批品相不错的域名的相关动...

22980
来自专栏域名资讯

好米有好价! “牛刀”双拼域名易主终端

中国是一个拼音的世界,拼音域名是指用汉字的拼音做域名的前缀,这样的好处是用户一看就明白这个域名的意思从而知道网站的内容,中文搜索引擎也对拼音域名很友...

22360
来自专栏安恒信息

关于最新Petya勒索病毒变种,热点问题都在这里

北京时间2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇Petya勒索病毒最新变种袭击,政府、银行、电力系统、通讯系统、企业以及...

34660
来自专栏安恒信息

预警 | 医疗行业遭遇勒索病毒攻击

2月24日消息,据国内网友爆料,国内某医院今晨出现系统瘫痪状况,患者无法顺利就医,正值儿童流感高发季,医院大厅人满为患。据悉该院多台服务器感染勒索病毒,数据库文...

41470

扫码关注云+社区

领取腾讯云代金券