首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【原创】什么是勒索软件?常见的勒索病毒家族有哪些?信息安全为啥那么重要?

【原创】什么是勒索软件?常见的勒索病毒家族有哪些?信息安全为啥那么重要?

原创
作者头像
网络技术联盟站
修改2021-08-18 18:00:13
1.3K0
修改2021-08-18 18:00:13
举报

什么是勒索软件?

勒索软件是互联网上最大的安全问题之一,也是当今组织面临的最大网络犯罪形式之一。勒索软件是一种恶意软件,它可以加密从单台 PC 一直到整个网络(包括服务器)上的任何文件和文档。受害者往往别无选择,他们要么通过向勒索软件背后的犯罪分子支付赎金来重新访问其加密内容,或者从备份中恢复,或者有一个免费的解密密钥可用(这个往往不可能)。

一些勒索软件的感染,始于组织内部的某人点击了看似无害的附件,打开后会下载恶意代码,然后就中毒了。

其他更大规模的勒索软件活动利用软件漏洞和缺陷、破解密码和其他漏洞,利用面向互联网的服务器或远程桌面登录等弱点来访问组织以获取访问权限。攻击者将通过网络通道搜寻相关主机,这样就相当于整个局域网中的所有机器,请对所有的机器发起攻击。

如果重要的文件和文档、网络或服务器突然被加密且无法访问,不管对于哪个公司来说都是头疼的问题。更加可恶的是,你受到文件加密勒索软件的攻击后,犯罪分子会肆无忌惮地宣布他们将以你的公司数据作为条件,威胁你支付相关的赎金,这个直接关系到公司的收益。

勒索软件的历史是什么?

近年来勒索软件呈爆炸式增长,这并不是一个新的攻击模式,我们现在所知的第一个勒索软件例子出现在 1989 年。

该病毒被称为 AIDSPC Cyborg 木马,它通过软盘发送给受害者——主要是医疗保健行业的受害者。勒索软件计算 PC 启动的次数,一旦达到 90 次,它就会对机器以及上面的文件进行加密,并要求用户支付 189 美元或 378 美元的“PC Cyborg Corporation更新许可证”。付款方式是通过邮局邮寄。。。。也能理解,毕竟当年是1989年,新型的支付方式还未出现。

勒索软件是如何演变的?

这种早期的勒索软件是一个相对简单的结构,使用基本的密码学,主要就是更改文件的名称,因此相对容易破解。

但是它慢慢了催生出新的犯罪模式,并且随着互联网技术的发展,其危害性越来越大。在他们开始使用高级密码术来攻击企业网络之前,黑客们使用基本的勒索软件来攻击普通互联网用户。

最成功的变种之一是“警察勒索软件”,它试图通过声称 PC 已被执法部门加密来勒索受害者。它用赎金通知锁定屏幕,警告用户他们进行了非法在线活动,还恐吓用户他们的行为可能会进监狱。

但是,如果受害者支付了罚款,“警察”虽然也会给出解密的密钥,但是可恶的勒索者不会就此罢休,还会循环进行攻击。

威胁英国用户的“警察勒索软件”示例
威胁英国用户的“警察勒索软件”示例

虽然这种小儿科的加密手段让勒索者尝到了一丝的甜头,但是细心的人总会发现其破绽的,这些勒索软件通常只是将其“警告”信息叠加在用户的显示器上,一般重启大法就能解决这种问题。(奈何电脑小白遇到这种情况,还不慌死,不知道谁发明了这个“重启大法”的词,还真别说,有时候挺管用!)

犯罪分子从中吸取了教训,现在大多数勒索软件都使用了高级加密技术来真正锁定受感染的 PC 及其上的文件。

勒索软件的主要类型有哪些?

勒索软件一直在不断发展,新变种不断出现,并对企业构成新的威胁某些类型的勒索软件比其他类型的勒索软件更加疯狂。

2021勒索软件家族中有个病毒叫Sodinokibi,它也被成为勒索软件的“冠冕之王”,一直困扰着世界各地的组织。

这种勒索软件也被称为 REvil,负责加密大量知名组织的网络,包括 Travelex和一家拥有明星客户的纽约律师事务所。

Sodinokibi 背后的团伙花了很长时间为攻击奠定基础,在受感染的网络中非常小心的潜伏着,以确保在发起勒索软件攻击之前可以加密所有可能的东西。

Sodinokibi 背后的人要求支付数百万美元来换取解密数据,那些Sodinokibi 受害者发现如果不支付赎金,该团伙还威胁要发布被盗信息,可谓是狂妄之极!

Sodinokibi 并不是唯一一个威胁要公布被盗信息的团伙,Conti、Doppelpaymer和Egregor等勒索软件团伙威胁也威胁到如果受害者不付款,就会发布被盗信息。

新的勒索软件家族不断出现,也有很多勒索软件家族在不断的消失或者过时,原因就是地下组织生产类似勒索软件的太多了,现在任何顶级形式的勒索软件都可能在短短几个月内成为过去时。

例如,Locky 曾经是最臭名昭著的勒索软件之一,2016 年全年在世界各地的组织内造成严重破坏,并通过网络钓鱼电子邮件进行传播。Locky 一直成功的原因就是背后的人定期更新代码以避免检测。

他们甚至用新功能对其进行了更新,包括能够以 30 种语言提出赎金要求,因此犯罪分子可以更轻松地瞄准世界各地的受害者。在某一时刻,Locky 是如此成功,渐渐就成为最流行的恶意软件之一。然而,不到一年后,它就突然间消失了,此后一直没有消息。

次年,Cerber 成为勒索软件的最主要形式,占 2017 年 4 月 Windows 勒索软件攻击的 90%。Cerber 如此疯狂的原因之一是它以“勒索软件即服务”的形式分发,专门对没有技术基础的用户进行攻击。

虽然 Cerber 在 2017 年底消失了,但它开创了“勒索软件即服务”模式,所以后来的勒索软件都在模仿。

2017 年和 2018 年另一种臭名昭著的勒索软件 SamSam问世,不仅要收取数万美元的解密密钥赎金,而且还利用一些手段,感染和跨网络横向传播。

2018 年 11 月,美国司法部指控两名在伊朗工作的黑客制造 SamSam 勒索软件,据报道,该软件在一年内收到超过 600 万美元的赎金,不久之后,SamSam 慢慢也退热了。

在整个 2018 年和 2019 年,另一个被证明对企业和家庭用户都存在威胁勒索软件家族是GandCrab,欧洲刑警组织将其归为当时“最具侵略性的勒索软件之一”。

GandCrab 会定期更新,这意味着即使安全研究人员破解它,不久之后也会出现具有新加密方法的新版本勒索软件。

特别是在 2019 年上半年非常疯狂,GandCrab 的创建者突然宣布该业务将关闭,声称通过将其出租给其他网络犯罪用户每周赚了 250 万美元,几周后,GandCrab 消失了。

与此同时,2020 年最疯狂的勒索软件家族之一Maze 勒索软件问世了,它结合了恶意软件代码的定期更新和威胁,如果不支付六位数的赎金,就会泄露被盗信息。该组织于 2020 年末“退休”,但有专家怀疑 Maze 的制作者开始与其他犯罪勒索软件合作。

勒索软件攻击会让你付出多少代价?

代价,首先就一个字,

勒索软件攻击的规模可能有所不同,但黑客团伙要求数百万美元以恢复对网络的访问变得越来越普遍。

如果网络被勒索软件锁定意味着组织无法开展业务,他们可能会在网络不可用的情况下每天甚至每小时损失大量money。据估计,NotPetya 勒索软件攻击给航运公司马士基造成了高达 3 亿美元的损失。

如果一个组织选择不支付赎金,那些被威胁的企业只能区找第三方安全公司去解密,虽然这样花费的钱远比支付赎金贵,但是最起码钱给了合法的企业。

无论组织以何种方式处理勒索软件攻击,都会对未来的财务产生影响。

为什么公司应该担心勒索软件?

简而言之,勒索软件可能会毁了公司的业务,被恶意软件锁定后,公司的正常运作就会收到影响,即使只有一天也会影响收益。但是往往勒索软件从攻击到解密所经历的时间不止一天,有的持续一周,有的可能持续几个月,这种情况对于一家企业是致命性的。

网络犯罪分子的手抓已经不限于普通老百姓和企业,他们开始将魔抓伸向对社会有巨大影响力的组织,比如医院、学校、银行等。

一旦医院的网络被攻破,那么等待政府的不光是财政收入问题,更多的是病人的生命安全受到威胁,很多等待手术的病人只能眼巴巴的停止手术,取药系统崩溃,将无法取药,很多等着急救的人会因此丧失生命。

为什么小型企业会成为勒索软件的目标?

中小型企业是一个受黑客组织欢迎的目标,因为它们的网络安全性往往比大型企业差。尽管如此,许多中小企业错误地认为他们太小而不能成为目标,因此被攻击的时候,有些企业很懵逼,以为自己的机房或者办公室被盗窃了。

为什么勒索软件如此疯狂?

四个字:数据重要

如果所有的公司都不给黑客赎金,犯罪分子就会停止使用勒索软件。但是,企业确实需要访问数据才能正常运作,因此许多人愿意支付赎金并解决问题。

同时,对于犯罪分子来说,这是一种非常简单的赚钱方式。如果勒索软件可以立即从大量受感染的受害者那里立即收到数百甚至数千美元,为什么还要花时间和精力开发复杂的代码呢?

比特币和其他加密货币与勒索软件的兴起有什么关系?

像比特币这样的加密货币的兴起使网络犯罪分子可以轻松地秘密接收使用此类恶意软件勒索的款项,这样可以轻松的绕过管控。

更可笑的是,国外有一些傻白甜公司,为了防止黑客对他们的业务造成影响,囤积了好多不同类型的虚拟币,一旦被攻击,第一时间支付赎金给黑客,这。。。。。

Globe3 对 3 个比特币的赎金需求 - 包括为不知道如何购买的人提供的“操作方法”指南。
Globe3 对 3 个比特币的赎金需求 - 包括为不知道如何购买的人提供的“操作方法”指南。

如何防止勒索软件攻击?

勒索软件攻击一般都是因为不安全的面向互联网的端口和远程桌面协议暴露在公网,公司可以采取一系列安全防护,不需要的端口,尽量不暴露在公网。

当需要远程端口时,组织应确保登录凭据具有复杂的密码,以防止犯罪分子使用暴力攻击破解简单密码。 对这些帐户应用双身份验证也可以作为攻击的屏障,因为如果有任何未经授权的访问尝试,就会发出警报。

公司还应确保使用最新的安全更新修补网络,因为许多形式的勒索软件和其他恶意软件是通过使用常见的漏洞进行传播的。

EternalBlue 是为 WannaCry 和 NotPetya 提供支持的漏洞,它仍然是最常见的用于传播攻击的漏洞之一,尽管用于防御它的安全补丁已经可用三年多了。

接收邮件的时候也要注意一些细节,例如格式不正确,或者 声称来自“Microsoft Security”的电子邮件是从一个甚至不包含 Microsoft 字样的隐蔽地址发送的。

不管未来怎样,勒索软件的攻击肯定还会发生,目前国家对于网络安全抓的是越来越紧,越来越多的人才投入到网络安全建设当中,中国现在的经济发展与国内稳定的环境密不可分,在信息化社会,网络安全必定重于一切。也希望越来越多的公司能够主动重视网络安全,少一些投机取巧,多一些脚踏实地,这样利国利己!

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 什么是勒索软件?
  • 勒索软件的历史是什么?
  • 勒索软件是如何演变的?
  • 勒索软件的主要类型有哪些?
  • 勒索软件攻击会让你付出多少代价?
  • 为什么公司应该担心勒索软件?
  • 为什么小型企业会成为勒索软件的目标?
  • 为什么勒索软件如此疯狂?
  • 比特币和其他加密货币与勒索软件的兴起有什么关系?
  • 如何防止勒索软件攻击?
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档