内容导读:导航目录:1、勒索病毒的攻击过程是怎样的?2、勒索软件袭击多国计算机是怎么回事?3、中国是勒索软件威胁的重灾区吗?4、遇到勒索病毒该如何处理?5、勒索软件入侵什么系统勒索病毒的攻击过程是怎样的?勒索病毒工作原...……
导航目录:
勒索病毒的攻击过程是怎样的?
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过 *** 钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过 *** 植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在 *** 中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的 *** 无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给 *** 安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得 *** 上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描 *** 中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个 *** 遭受攻击。钓鱼邮件攻击逻辑图:
文章转载至:2018勒索病毒全面分析报告
勒索软件袭击多国计算机是怎么回事?
5月14日报道 外媒称,总部位于俄罗斯的 *** 安全公司卡巴斯基实验室12日说,多达74个国家日前受到一款勒索软件的大规模快速攻击,这款软件会锁住计算机并勒索相当于300美元的数字赎金。
索要数字赎金
据美国《洛杉矶时报》网站5月12日报道,这波攻击已经令英国的十余家医院、西班牙更大的电信公司、意大利的若干所大学以及美国联邦快递公司的一些计算机陷入瘫痪。每台受感染计算机都被要求用比特币——一种难以追查的数字货币——支付赎金。
受感染计算机的屏幕上会显示要求使用者在3天内支付赎金的字样。3天后,赎金会加倍。这款软件还威胁说,如果不支付赎金,计算机内的文件7天后将被删除。
这款名为WanaCrypt的勒索软件至少从今年2月起就开始被犯罪分子使用。一直在跟踪这波快速攻击的捷克安全公司阿瓦斯特软件公司说,这款软件的界面至少包括28种语言,其中包括保加利亚语和越南语。
攻击范围广泛
据路透社5月12日报道,一场全球 *** 攻击12日袭击了国际承运商联邦快递公司,中断了英国医疗系统的服务并感染了近100个国家的计算机系统。
研究人员普遍认为,此次 *** 攻击所利用的是美国国家安全局开发的黑客工具。
*** 敲诈者诱骗受害者打开附在看似包含发票、工作录用、安全提示及其他合法文件等垃圾邮件后的恶意软件。
这种勒索软件对受到感染的计算机数据进行加密,要求用户支付300至600美元才能恢复登录。
*** 安全研究人员说,他们发现部分受害者用数字货币比特币进行了支付,还不清楚有多少人屈服于勒索者。
捷克 *** 安全软件制造商阿瓦斯特软件公司的研究人员说,他们已发现全球有99个国家和地区的5.7万台计算机受到了袭击,其中受害范围更大的是俄罗斯和乌克兰。
更具破坏性的攻击发生在英国:由于医院和诊所无法登录电脑,因此不得不将患者拒之门外。国际承运商联邦快递公司说,公司部分使用“视窗”系统的计算机受到了攻击。
*** 安全软件制造商赛门铁克公司调研经理维克拉姆·塔库尔说,尽管如此,由于黑客是从欧洲开始进行 *** 攻击的,所以设在美国的机构只有少数受到了影响。
塔库尔说,等黑客开始把注意力转向美国时,垃圾邮件过滤器已发现了这个新的威胁,并将负载恶意软件的邮件标记为恶意邮件。
窃取间谍“工具”
私人安全公司确认这种勒索软件是WannaCry病毒的新变体,它可以利用微软“视窗”操作系统中一个已知病毒,自动在大型 *** 中进行传播。
*** 安全公司“众击” *** 安全服务公司的研究人员亚当·迈耶斯说:“一旦进入,它就开始在系统中移动且无法阻止。”
若干私人 *** 安全公司的研究人员说,尚未宣称此事为其所干或是已被确认身份的黑客,很可能利用了美国国家安全局一种叫做“永恒之蓝”的密码,把它变成一种“蠕虫”病毒,或是自行传播的恶意软件。上月,“影子经纪人”组织公布了“永恒之蓝”密码。
Splunk公司威胁研究处主任里奇·巴杰说:“这是 *** 界遇到的一次更大规模的全球勒索软件袭击。”
“影子经纪人”组织公布“永恒之蓝”属于黑客工具宝库,他们说这是美国国家安全局开发的。
微软公司今天说,它即将推出“视窗”操作系统自动更新,防止用户受到病毒的侵害。微软公司3月14日曾发行了系统补丁,防止操作系统受到“永恒之蓝”的入侵。
俄罗斯又“躺枪”
据美国《 *** 》网站5月13日报道,计算机安全专家正努力遏制波及全球的新一轮 *** 攻击的影响。 *** 病毒这次要求用户支付赎金,否则消除计算机里的数据。
俄罗斯、中国、印度等发展中国家遭受了严重打击,突出反映了非法软件的问题。因为盗版软件往往更容易沦为恶意软件的侵害对象。不过,这次就连正版软件的用户都未能幸免。如果没有安装近日发布的一个安全更新,正版用户同样容易遭到攻击。这说明全球 *** 太容易受到黑客与投机分子的影响。
另据英国《每日电讯报》网站5月12日报道,一个可能与俄罗斯有关的 *** 团伙被指与全世界范围内的电脑安全漏洞有关,他们或许是为了报复美国在叙利亚的空袭行动。
这个被称为“影子经纪人”的神秘组织4月曾声称,它从美国一个间谍机构窃取了一种“ *** 武器”,利用这一武器可以前所未有地进入使用微软“视窗”系统的所有电脑。
就在特朗普总统下令轰炸叙利亚一周后,这个组织于4月14日在一个不知名的网站上“丢弃了”这个电脑病毒。
一些专家认为,这个时机非常重要,并暗示“影子经纪人”与俄罗斯 *** 有瓜葛。
中国是勒索软件威胁的重灾区吗?
中国是勒索软件威胁的重灾区。2017年,中国成为亚太区受到勒索软件影响最严重的国家。较上年全球排名16位相比,2017年中国在全球排名第2。
攻击者也在寻找新的牟利手段,加密货币价值的激增引发了一场加密货币劫持攻击的“淘金热”。罗少辉介绍,2017年,在全球终端计算机上所检测到的恶意挖矿程序暴增8500%。
“比特币不再是主要目标,攻击者更加‘钟爱’隐秘性更强的门罗币等。”罗少辉表示。另外,物联网设备依然是 *** 攻击的主要目标。《报告》称,2017年物联网攻击事件的总数增长600%,这意味着, *** 攻击者能够利用这些互联设备进行大规模挖币。
“ *** 安全意识是最后一道关口。”王景普认为,企业级用户应当实施多层防护,并部署安全解决方案。对于消费者级别的用户,建立像企业一样的防护并不容易,因此 *** 安全意识就更加重要。
遇到勒索病毒该如何处理?
勒索病毒是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。勒索病毒自互联网诞生以来就一直存在,而且随着计算机技术的发展勒索病毒也一直在进化,如果企业不幸中招且自己有安全技术团队,可以自行解决。如果没有团队的,建议直接找专业的安全服务厂商,比如,青藤云安全,他们自研的青藤零域·微隔离安全平台是一款轻量、安全且经验证的零信任微隔离解决方案,可帮助企业快速实现自适应微隔离策略管理,从而阻止勒索软件和 *** 攻击升级为为 *** 灾难。
勒索软件入侵什么系统
自2005年以来,勒索软件已经成为最普遍的 *** 威胁。根据资料显示,在过去11年间,勒索软件感染已经涉及超过7694到6013起数据泄露事故。多年来,主要有两种勒索软件:基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备,通常是基于Android的勒索软件。新时代勒索软件结合了高级分发技术(例如预先建立基础设施用于快速广泛地分发勒索软件)以及高级开发技术(例如使用crypter以确保逆向工程极其困难)。此外,离线加密 *** 正越来越流行,其中勒索软件利用合法系统功能(例如微软的CryptoAPI)以消除命令控制通信的需要。Solutionary公司安全工程及研究小组(SERT)的Terrance DeJesus探讨了这些年以来勒索软件的发展史以及亮点。AIDS Trojan之一个勒索软件病毒AIDS Trojan由哈佛大学毕业的Joseph L.Popp在1989年创建。2万张受感染的软盘被分发给国际卫生组织国际艾滋病大会的与会者。该木马的主要武器是对称加密,解密工具很快可恢复文件名称,但这开启了近30年的勒索软件攻击。Archievus在之一款勒索恶意软件出现的近二十年(17年)后,另一种勒索软件出现。不同的是,这个勒索软件更加难以移除,并在勒索软件历史上首次使用RSA加密。这个Archiveus Trojan会对系统中“我的文档”目录中所有内容进行加密,并要求用户从特定网站来购买以获取密码解密文件。Archiveus也是之一个使用非对称加密的勒索软件辩题。2011年无名木马在五年后,主流匿名支付服务让攻击者更容易使用勒索软件来从受害者收钱,而不会暴露自己身份。在同一年,与勒索软件木马有关的产品开始流行。一款木 *** 索软件模拟用户的Windows产品激活通知,告知用户其系统的安装因为欺诈需要重新激活,并定向用户到假的在线激活选项,要求用户拨打国际长途。该恶意软件声称这个呼叫为免费,但实际呼叫被路由到假冒的接线员,并被搁置通话,导致用户需要承担高额国际长途 *** 费。Reveton名为Reveton的主要勒索木马软件开始在整个欧洲蔓延。这个软件是基于Citadel Trojan,该勒索软件会声称计算机受到攻击,并被用于非法活动,用户需要使用预付现金支付服务来支付罚款以解锁系统。在某些情况下,计算机屏幕会显示计算机摄像头记录的画面,让用户感觉非法行为已被记录。此事件发生后不久,涌现很多基于警察的勒索软件,例如Urausy和Tohfy。研究人员在美国发现Reveton的新变种,声称需要使用MoneyPak卡向FBI支付200元罚款。Cryptolocker2013年9月是勒索软件历史的关键时刻,因为CryptoLocker诞生了。CryptoLocker是之一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式的加密恶意软件。CryptoLocker感染快速蔓延,因为威胁着利用了现有的GameOver Zeus僵尸 *** 基础设施。在2014年的Operation Tovar终止了GameOver Zeus Trojan和CryptoLocker活动。CryptoLocker利用AES-256lai加密特定扩展名的文件,然后使用命令控制服务器生成的2048位RSA密钥来加密AES-256位密钥。C2服务器位于Tor *** ,这让解密很困难,因为攻击者将RSA公钥放在其C2服务器。攻击者威胁称如果在三天内没有收到钱他们将删除私钥。Cryptodefense在2014年,CryptoDefense开始出现,这个勒索软件利用Tor和Bitcoin来保持匿名,并使用2048位RSA加密。CryptoDefense使用Windows内置加密CryptoAPI,私钥以纯文本格式保存在受感染计算机—这个漏洞当时没有立即发现。CryptoDefense的创造者很快推出改名版CrytoWall。与CryptoDefense不同,CryptoWall不会存储加密密钥在用户可获取的地方。CryptoWall很快广泛传播,因为它利用了Cutwail电子邮件活动,该活动主要针对美国地区。CryptoWall也通过漏洞利用工具包来传播,并被发现是Upatre活动中下载的最后有效载荷。CryptoWall有过多次有效的活动,都是由相同的攻击者执行。CryptoWall展现出恶意软件开发的进步,它可通过添加额外的注册表项以及复制自身到启动文件夹来保持持续能力。在2015年, *** 威胁联盟公布覆盖全球的CryptoWall活动,金额达到3.25亿美元。Sypeng和KolerSypeng可被认为是之一款锁定用户屏幕并显示FBI处罚警告消息的基于Android的勒索软件。Sypeng通过短消息中假的Adobe Flash更新来传播,需要支付MonkeyPak 200美元。Koler勒索软件与Sypeng非常类似,它也是用假冒警察处罚,并要求MoneyPak支付赎金。Koler被认为是之一个Lockerworm,因为它包含自我繁殖技术,它可发送自定义消息到每个人的联系人列表,指引他们到特定网址再次下载勒索软件,然后锁定其系统。CTB-Locker和SimplLocker与过去其他变体不同,CTB-Locker直接与Tor中C2服务器通信,而不是具有多层基础设施。它也是之一个开始删除windows中Shadow Volume副本的勒索软件变体。在2016年,CTB-Locker更新为针对目标网站。SimplLocker也在2014年被发现,它被认为是之一款针对Android移动设备的基于Crypto的勒索软件,它会简单地加密文件和文件夹,而不是锁定用户手机。LockerPin在去年9月,一款侵略性Android勒索软件开始在美国各地蔓延。ESET安全研究人员发现之一个可重置手机PIN以永久锁定设备的真实恶意软件,被称为LockerPin,该恶意软件会修改受感染设备的锁屏Pin码,让受害者无法进入屏幕。LockerPin随后需要500美元来解锁设备。勒索软件即服务(RaaS)在2015年开始出现,这些服务通常包含用户友好型勒索软件工具包,这可在黑市购买,售价通常为1000到3000美元,购买者还需要与卖方分享10%到20%的利润。Tox通常被认为是之一款以及最广泛分布的RaaS工具包/勒索软件。TeslaCryptTeslaCrypt也出现在2015年,这可能将是持续威胁,因为开发人员 *** 出四个版本。它首先通过Angler漏洞利用工具包来分发,随后通过其他来分发。TeslaCrypt利用AES-256来加密文件,然后使用RSA-4096来加密AES私钥。Tor内的C2域被用于支付和分发。在其基础设施内包含多层,包括 *** 服务器。TeslaCrypt本身非常先进,其包含的功能可允许在受害者机器保持灵活性和持久性。在2016年,TeslaCrypt编写者将其主解密没有交给ESET。LowLevel04和ChimeraLowLevel04勒索软件在2015年被发现,主要瞄准远程桌面和终端服务。与其他勒索软件活动不同,攻击者通过远程手动进行,他们远程进入服务器、绘制内部系统。在这种情况下,攻击者被发现会删除应用、安全和系统日志。Chimera勒索软件在2015年年底被发现,它被认为是之一款doxing勒索软件,它会威胁称在网上公开发布敏感或私人文件。Chimera使用BitMessage的P2P协议用于进行C2通信,这些C2只是Bitmessage节点。Ransom32和7ev3nRansom32被认为是之一个使用JavaScript编写的勒索软件。该恶意软件本身比其他软件要大,达到22MB,它使用NW.js,这允许它处理和执行与其他C++或Delphi编写的勒索软件相类似的操作。Ransom32被认为具有革命性,因为它理论上可在多个平台运行,例如Linux、Mac OSX以及windows。7ev3n勒索软件在过去几个月中开始引起大家关注。在13 bitcoin,它可能是索要赎金更高的勒索软件。7ev3n勒索软件不仅执行典型的加密再勒索,它还会破坏windows系统。该恶意软件开发人员似乎很大程度侧重于确保7ev3n可破坏任何恢复加密文件的 *** 。7ev3n-HONE$T随后被发布,降低了赎金要求并增加了一些有效的功能。Locky在2016年,EDA2和Hidden Tear的恶意软件编写者在GitHub公开发布了源代码,并声称这样做是出于研究目的,而那些很快复制改代码并做出自定义更改的攻击者导致大量随机变体出现。臭名昭著的Locky勒索软件也在2016年被发现,Locky快速通过 *** 钓鱼活动以及利用Dridex基础设施传播。Locky也因为感染美国多个地区的医院而登上新闻头条。攻击者很快发现受感染医疗机构快速支付赎金,从而导致包含勒索软件下载的 *** 钓鱼电子邮件在医疗行业广泛传播。SamSamSamSam或者SAMAS勒索软件被发现专门分发给易受攻击的JBoss服务器。起初,攻击者会通过JexBoss工具对JBoss服务器执行侦查,随后利用漏洞并安装SamSam。与其他勒索软件不同,SamSam包含一个通道,让攻击者可实时通过.onion网站与受害者通信。KeRanger之一个正式基于Mac OSX的勒索软件KeRanger在2016年被发现,它通过针对OSX的Tran *** ission BitTorrent客户端来交付。该勒索软件使用MAC开发证书签名,让其可绕过苹果公司的GateKeeper安全软件。PetyaPetya在2016年开始流行,它通过Drop-Box来交付,并改写受感染机器的主启动记录(MBR),然后加密物理驱动器本身。它在加密驱动器时还是用假冒的CHKDISK提示。如果在7天内没有支付431美元赎金,支付费用将会翻一倍。Petya更新包含第二个有效载荷,这是Mischa勒索软件变体,而它没有加密硬盘驱动器。MaktubMaktub也是在2016年被发现,它表明勒索软件开发人员在试图创建非常先进的变体。Maktub是之一个使用Crypter的勒索软件,这是用来隐藏或加密恶意软件源代码的软件。Maktub利用windows CryptoAPI执行离线加密,而不是使用C2来检索和存储加密密钥。JigsawJigsaw勒索软件在勒索信息中包含SAW电影系列中流行的Jigsaw人物,它还威胁称如果没有支付150美元的赎金将会每隔60分钟删除一个文件。此外,如果受害者试图阻止进程或重启电脑,将删除1000个文件。CryptXXX在2016年5月底,CryptXXX是被广泛分发的最新勒索软件辩题。研究人员认为它与Reveton勒索软件变体有关,因为在感染阶段有着类似的足迹。CryptXXX通过多种漏洞利用工具包传播,主要是Angler,并通常在bedep感染后被观察到。它的功能包含但不限于:反沙箱检测、鼠标活动监控能力、定制C2通信协议以及通过TOR付款。ZCryptor微软发表文章详细介绍了一种新型勒索软件变体ZCryptoer。除了调整的功能(例如加密文件、添加注册表项等),Zcryptoer还被认为是之一个Crypto蠕虫病毒。它通过垃圾邮件分发,它有自我繁殖技术来感染外部设备以及其他系统,同时加密每台机器和共享驱动器。勒索软件的未来?专家预测我们在2016年还将继续观测到多个新变种,在这些变种中,可能只有少数会带来很大影响—这取决于恶意软件编写者以及涉及的 *** 团伙。现在勒索软件编写者还在继续其开发工作,更新预先存在的勒索软件或者制造新的勒索软件,我们预测,增强灵活性和持久性将会成为勒索软件标准。如果勒索软件具有这种能力,这将会是全球性的噩梦。根据最近使用crypter的勒索软件表明,勒索软件编写者知道很多研究人员试图逆向工程其软件,这种逆向工程和分析可能导致勒索软件开发人员改进其勒索软件变体。