自勒索病毒被大家官方熟知以来,为了能在这个“有着光明前途的事业”中分一杯羹,越来越多的黑客也是八仙过海各显神通,尽自己所能的制作自己的勒索病毒。
继之前我们发现的使用PHP、Python等语言编写勒索病毒之后,近期,另一种简单易用的脚本语言——AutoIt语言也被发现用于编写一种名为CryptoWire的勒索病毒。
加上前段时间出现的使用AxCrypt加密工具来加密文件进而达到勒索目的的病毒,可以说勒索病毒的“技术准入门槛”越来越低已是大势所趋。
如果说以上这些还算是有“门槛”可言的话,另外一种被称作RaaS的方式则可以说是完全没有“门槛”了。所谓RaaS即Ransomware-as-a-Service,如360互联网安全中心前不久检测到的Saturn RaaS和Data Keeper RaaS就允许任何人注册该勒索服务并生成自己的勒索病毒。
会脚本语言就能写勒索病毒
AutoIt勒索病毒CryptoWire
AutoIt是一种简单易学的脚本语言,功能强大并且不需要运行系统中安装特定的运行环境,这都导致了即便是编程0基础的新手也能快速上手,并且让自己所编写的程序顺利在他人的机器上正常运行。前文所述的这款CryptoWire勒索病毒就是用AutoIt脚本语言编写。
该病毒会尝试加密机器中可访问的所有位置中的文件,包括网络驱动器、网络共享目录、移动磁盘、外部磁盘、内部磁盘,甚至是云存储应用程序中的文件都不会漏过。 CryptoWire使用AES-256算法对文件进行加密操作,会对282种格式的文件进行加密。此外,如果检测到机器接入到了域中(多为企业内部机器),赎金将会乘4。
282种待加密文件格式
检测到机器接入域中则赎金乘4
加密完成后的勒索信息
不会脚本语言也能写勒索病毒
RaaS了解下?
所谓RaaS即Ransomware-as-a-Service,可能很多人还不了解这套机制。简单的说,就是病毒作者开发了一款勒索病毒,但并不自己传播,而是邀请其他人来传播,并从每次成功赎金付款的抽成。
为了吸引更多的客户,勒索病毒作者通常还会创建在线管理平台,以便尽可能轻松地部署和跟踪勒索软件。
许多RaaS平台还提供定制选项,类似于勒索金额、加密文件格式、勒索信息语言等均可定制,某些平台甚至还很贴心的提供了在线的技术支持。
以Data Keeper RaaS为例,在客户提供了收取勒索赎金用的比特币钱包地址勒索赎金金额后,会生成勒索病毒本体和对应的解密程序(但不含解密密钥)。
Data Keeper RaaS在线配置页面
此外,Data Keeper RaaS允许每个会员选择要加密的文件类型,这意味着不同版本的Data Keeper所加密的文件类型会有所不同。
Data Keeper RaaS默认提供的待加密文件类型(可自定义)
Saturn RaaS与Data Keeper RaaS情形类似,但提供的自定义项目略少一些:
Saturn RaaS的自定义赎金页面
Saturn RaaS的自定义病毒行为页面
传播也有简便方法——Exploit Kit的使用
与上述两款勒索病毒不同,GandCrab勒索病毒虽然也通过RaaS提供服务,但却并不像公众开放,而是仅局限于一个相对较小的圈子中使用。
GandCrab RaaS管理后台登录界面
网传的GandCrab RaaS管理后台数据统计页面
虽然GandCrab RaaS并没有对降低勒索病毒的制作技术门槛,但其传播方式却提供了一种降低传播技术门槛的方法——利用现成的漏洞利用套件(Exploit Kit,简称EK)来方便自身的传播。
GandCrab本身便是利用Rig EK通过Flash Player的CVE-2018-4878漏洞进行大规模传播的。
RIG EK传播GandCrab流程图
而新版的GandGrab勒索病毒,又换用了Magnitude EK以图更好的传播:
Magnitude EK传播新版GandGrab流程图
从传播的速度来看,较之去年同期开始爆发的Spora勒索病毒而言,合理利用了EK进行自身“推广”的GandGrab也必然有着明显的优势。
鉴于勒索病毒无论是制作还是传播,其技术门槛都越来越低,这势必会造成勒索病毒数量的进一步增长甚至是爆发。所以建议企业用户:
(1)提升新兴威胁对抗能力。传统基于合规的防御体系对于勒索软件等新兴威胁的发现、检测和处理已经呈现出力不从心的状态。而通过对抗式演习,从安全的技术、管理和运营等多个维度出发,对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验,可以持续提升企业对抗新兴威胁的能力。
(2)及时给办公终端和服务器打补丁修复漏洞,包括操作系统以及第三方应用的补丁。
如果没有使用的必要,应尽量关闭不必要的常见网络端口,比如445、3389等。
(3)采用足够复杂的登录密码登陆办公系统或服务器,并定期更换密码。
(4)对重要数据和文件及时进行备份。
(5)提高安全运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,如有远程家中办公电脑也需要定期进行病毒木马查杀。
为了帮助政企客户免受勒索软件困扰,360企业安全早在2016年就推出了“360天擎敲诈先赔服务”,并做出郑重承诺:只要政企用户开启了360天擎敲诈先赔功能,如果依然感染了敲诈者病毒,360企业安全将负责赔付赎金,为政企用户做出百万先赔保障。
领取专属 10元无门槛券
私享最新 技术干货