2019年是勒索病毒针对企业进行攻击“爆发”的一年。这一年,仿佛全球各地都在被“勒索”,每天都有不同的政府、企业、组织机构被勒索病毒攻击的新闻出现。勒索病毒已经成为网络安全最大的威胁。利用勒索病毒犯罪也是全球危害最大的网络犯罪组织活动。下面我们来盘点一下2019年全球十大流行勒索病毒家族。
STOP勒索病毒最早出现在2018年2月份左右。
从2018年8月份开始在全球活跃,它主要通过捆绑其它破解软件、广告类软件包等渠道进行感染传播。而最近一两年,STOP勒索病毒通过捆绑KMS激活工具进行传播,甚至还捆绑过其他防毒软件。
截至目前,此勒索病毒一共有160多个变种。虽然此前Emsisoft公司已经发布过它的解密工具,能解密140多个变种,但最新的一批STOP勒索病毒仍无法解密。如下所示:
勒索提示信息,如下所示:
2018年1月,首次观察到GandCrab勒索病毒感染韩国公司。
此后,该勒索病毒迅速在全球扩张,包括2018年初的美国受害者,至少8个关键基础设施部门受此影响。因此,GandCrab迅速成为最流行的勒索病毒。估计2018年中期,该勒索病毒已经占据勒索软件市场份额的50%。
专家估计,GandCrab在全球范围感染超过500000名受害者,造成超过3亿美元的损失。它使用勒索软件即服务(RaaS)的商业模式运营,通过将恶意软件卖给购买勒索病毒服务的合作伙伴,来换取40%的赎金。
从2018年1月到2019年6月,此勒索病毒多现多个不同的变种。2019年1月,此勒索病毒GandCrab5.1变种版本开始在全球流行,直到2019年6月1日,GandCrab勒索病毒运营团队宣布关闭他们的网站,并声称他们已经赚了20亿美元赎金。
两周后,Bitdefender与欧州刑警组织、联邦调查局、众多执法部门以及NoMoreRansom机构合作,发布GandCrab勒索病毒的解密工具,可以适用于GandCrab1.0、4.0、5、5.2等版本,此勒索病毒的故事就此结束,加密后的文件,如下所示:
勒索提示信息,如下所示:
最近半年确实没有发现这款勒索病毒的最新变种,取而代之的是另一款新型勒索病毒REvil/Sodinokibi,而且这款勒索病毒全版本的解密工具也已经公布。
Sodinokibi勒索病毒(也称REvil),2019年5月24日首次在意大利被发现。
在意大利,它被发现使用RDP攻击方式进行传播感染。这款病毒也被称为GandCrab勒索病毒接班人。短短几个月,它就在全球大范围传播。这款勒索病毒与GandCrab存在很多关联。国外安全研究人员此前已经发布多篇关于这两款勒索病毒相关联的文章。
Sodinokibi勒索病毒也是采用RaaS模式进行分发和营销,并采用一些免杀技术避免安全软件检测到。它主要利用Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口、漏洞利用工具包等方式发起攻击。
此勒索病毒加密后的文件,如下所示:
勒索提示信息,如下所示:
Globelmposter勒索病毒首次出现于2017年5月份,它主要通过钓鱼邮件进行传播。
2018年2月,国内各大医院爆发Globelmposter变种样本2.0版本,通过溯源分析发现此勒索病毒可能是通过RDP爆破、社会工程等方式进行传播。
此勒索病毒采用RSA2048加密算法,导致加密后的文件无法解密。随后一年多的时间里,这款勒索病毒不断变种,2018年8月出现此勒索病毒的“十二生肖”版,2019年7月出现此勒索病毒的“十二主神”版。两大版本相差正好一年时间,“十二主神”版后面又出现一些小版本变化,主要是加密后的文件后缀出现微小变化。
此勒索病毒加密后的文件,如下所示:
勒索提示信息,如下所示:
CrySiS勒索病毒,又称Dharma,首次出现于2016年。
2017年5月,此勒索病毒的万能密钥被公布后,之前样本可以解密,导致此勒索病毒曾消失一段时间,不过随后又马上出现其最新的变种样本,加密后缀为java。
通过RDP暴力破解的方式进入受害者服务器加密勒索,此勒索病毒加密算法采用AES+RSA方式,导致加密后文件无法解密,在最近一年时间里,这款勒索病毒异常活跃,变种已经达到一百多个。
此勒索病毒加密后的文件,如下所示:
勒索提示信息,如下所示:
Phobos勒索病毒在2019年非常活跃。
它首次出现于2018年12月,国外安全研究人员当时发现一种新型勒索病毒,加密后的文件后缀名为Phobos,这款新型勒索病毒与CrySiS(Dharma)勒索病毒有很多相似之处,同样使用RDP暴力破解的方式进行传播,两者使用非常相似的勒索提示信息,所以很容易搞混淆。
想要确认是哪个家族的勒索病毒,最好方式就是捕获到相应的样本,然后通过人工分析进行确认。单纯的通过勒索提示信息,很难辨别,两款勒索病毒背后是否是相同的黑客团伙在运营,需要捕获到更多证据。此勒索病毒加密后的文件,如下所示:
勒索提示信息,如下所示:
Ryuk勒索病毒最早于2018年8月被发现,它由俄罗斯黑客团伙GrimSpider幕后操作运营。
GrimSpider是一个网络犯罪集团,使用Ryuk勒索软件对大型企业及组织进行针对性攻击。C.R.A.M. TG Soft(反恶意软件研究中心)发现Ryuk勒索软件主要是通过利用其他恶意软件如Emotet或TrickBot等银行木马进行传播。
Emotet和TrickBot银行木马主要用于盗取受害者银行网站登录凭据,同时充当下载器功能,提供下载其它勒索病毒服务。Emotet和TrickBot银行木马传播Ryuk勒索病毒,是因为TrickBot银行木马传播渠道的运营者是俄罗斯黑客团伙WIZARD SPIDER。而GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部门之一。此勒索病毒加密后的文件,如下所示:
勒索提示信息,如下所示:
Maze(迷宫)勒索病毒,又称Chacha勒索病毒,最早于2019年5月由Malwarebytes安全研究员发现。
此勒索病毒主要通过各种漏洞利用工具包Fallout、Spelevo,伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播。最近一段时间里,Proofpoint安全研究人员发现一个新型的黑客组织TA2101,通过垃圾邮件的方式对德国、意大利、美国发起网络攻击,传播Maze(迷宫)勒索病毒。
此勒索病毒加密后的文件,如下所示:
勒索提示信息,如下所示:
Buran勒索病毒首次出现于2019年5月,它是一款基于RaaS模式传播的新型勒索病毒。
Buran在一个著名的俄罗斯论坛中销售。与其他基于RaaS勒索病毒获得30%-40%的收入不同,Buran勒索病毒的作者仅占感染产生的25%收入,安全研究人员认为Buran是Jumper勒索病毒的变种样本,同时VegaLocker勒索病毒是该家族最初的起源,由于其丰厚的利润,使其迅速开始在全球传播感染。
Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包进行传播,其利用了IE的一个比较严重的漏洞CVE-2018-8174。近期发现,此勒索病毒利用IQY(Microsoft Excel Web查询文件)进行传播。此勒索病毒加密后的文件,如下所示:
勒索病毒信息,如下所示:
MegeCortex勒索病毒最早于2019年1月份被人在VT上发现。当时,有人在VT上传了一个恶意样本,英国网络安全公司Sophos在5月份发布一个关于MegaCortex勒索病毒的相关分析报告。
笔者此前在分析时发现,此勒索病毒早期版本与去年流行的SamSam勒索病毒有些类似,都使用了BAT脚本,同时都使用密码参数,两款勒索病毒的负载加载手法类似,不过暂时还没有更多证据证明两款勒索病毒存在关联。
MegaCortex勒索病毒从1月份被人上传到VT后,网络安全公司Sophos监控到此勒索病毒的数量一直在增加,并对此勒索病毒进行详细分析报道,该勒索病毒曾经对欧州和北美多个行业发起过勒索攻击,并要求支付高额赎金,美国、加拿大、荷兰、爱尔兰、意大利和法国等国家的一些企业网络都曾受到此勒索病毒的攻击。
2019年8月,MegaCortex勒索病毒V2.0版本被发现,重新设计负载的运行过程,它会自动执行不需要安装密码的要求,作者将密码硬编码在了二进制文件中,同时还加入一些反分析,以及阻止和杀死各种安全产品和服务的功能,此过程在之前的版本中是通过在在每个受害者主机上手动执行相关的批处理脚本来完成的,最新的版本不需要手动执行,都封装在了二进制程序中。此勒索病毒加密后的文件,如下所示:
勒索提示信息,如下所示:
全球这些主流的勒索病毒,笔者都曾详细跟踪并研究过,相关报告可以查看之前文章,2019年下半年又出现了一些新型的勒索病毒,比方NEMTY勒索病毒、EvaRichter(GermanWiper)勒索病毒等。这几款新型的勒索病毒主要在国外比较流行,目前发现的大部分流行勒索病毒暂时无法解密,重点在防御,针对勒索病毒的一般防范措施,笔者总结了以下几条建议,仅供参考:
1、及时给电脑打补丁,修复漏洞;
2、谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击;
3、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
4、需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件;
5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击;
6、开启Windows Update自动更新设置,定期对系统进行升级;
7、养成良好的备份习惯,对重要数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件;
8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机;
9、如果业务上无需使用RDP的,建议关闭RDP,以防被黑客RDP爆破攻击
通过笔者一直跟踪与分析,预测勒索病毒攻击在明年可能会越来越多,而且使用的攻击手法会越来越复杂,攻击也会越来越具有针对性和目的性,不排除未来会有更多的新型黑客组织加入进来,通过勒索病毒迅速获利,各企业要做好相应的防范措施,提高自身员工的安全意识,以防中招。(作者:熊猫正正,本文转自freebuf)
领取专属 10元无门槛券
私享最新 技术干货