2018年勒索病毒威脅態(tài)勢全報告
本報告由北京江民新科技術(shù)有限公司赤豹安全實(shí)驗(yàn)室,綜合了江民大數(shù)據(jù)威脅情報平臺、江民終端反病毒監(jiān)測網(wǎng)、國內(nèi)外研究數(shù)據(jù)、以及權(quán)威媒體公開報道,通過對勒索病毒的長期監(jiān)測與跟蹤分析,針對全球2018年全年勒索病毒感染現(xiàn)狀與趨勢進(jìn)行分析、研究,涵蓋了勒索軟件的起源、特征、現(xiàn)狀、技術(shù)趨勢和防御方案等多個方面。
1 勒索軟件簡介
1.1什么是勒索病毒?
勒索病毒,是一種流行的木馬,通過騷擾、恐嚇甚至采用綁架用戶文件等方式,使用戶數(shù)據(jù)資產(chǎn)或計算資源無法正常使用,并以此為條件向用戶勒索錢財。主要以漏洞利用、RDP弱口令暴力破解、釣魚郵件、網(wǎng)頁掛馬等形式進(jìn)行傳播。這種病毒利用各種加密算法對文件進(jìn)行加密后,向文件所有者索要贖金。如果感染者拒付贖金,就無法獲得加密的私鑰,無法恢復(fù)文件。
這種病毒其實(shí)只是傳統(tǒng)安全技術(shù)的一個小小的應(yīng)用創(chuàng)新,以前加密技術(shù)一直用于防,現(xiàn)在卻用于攻,從防到攻,突然發(fā)現(xiàn)原來加密技術(shù)可以這么玩。在數(shù)字世界里,勒索這門生意,這幾年卻正蓬勃興起。勒索軟件的概念可以追溯到1989 年,那時人們通過人工投遞的軟盤,將 PC 鎖定惡意代碼發(fā)送給受害者,但自2014年以來,隨著比特幣等加密數(shù)字貨幣在全球的廣泛使用,這類業(yè)務(wù)有了令人側(cè)目的增長。
1.2勒索病毒為什么愈演愈烈?
一方面,利用勒索病毒的成本非常低。在黑市上只要幾千元就可以購買一個未知病毒,勒索成功一次就可以獲利幾萬元甚至幾十萬元,十幾倍到上百倍的利潤,著實(shí)讓人瘋狂。
另一方面,勒索病毒防護(hù)非常麻煩。因?yàn)樗唵未直苯訉ξ募用,管殺不管埋,只要加密成功,就等著收贖金,傳統(tǒng)的安全防護(hù)措施對這種不講道理的攻擊手段束手無策。
第三方面,虛擬貨幣缺乏監(jiān)管,F(xiàn)實(shí)中一個勒索案最難解決的問題是如何收贖金,而由于虛擬貨幣監(jiān)管缺位,恰恰解決了這個贖金問題。
所以,門檻低、啟動成本低、高收益、風(fēng)險低,這些因素組合在一起,勒索病毒愈演愈烈!
1.3勒索病毒發(fā)展簡史
1、原始階段:
最早的勒索軟件出現(xiàn)于1989年,名為“艾滋病信息木馬”。該木馬通過替換系統(tǒng)文件,在開機(jī)時計數(shù),一旦系統(tǒng)啟動達(dá)到90次時,該木馬將隱藏磁盤的多個目錄,C盤的全部文件名也會被加密,從而導(dǎo)致系統(tǒng)無法啟動。此時,屏幕顯示信息聲稱用戶的軟件許可已過期,要求郵寄189美元以解鎖系統(tǒng)。
2006年出現(xiàn)的Redplus勒索木馬是國內(nèi)首款勒索軟件。該木馬會隱藏用戶文檔,然后彈出窗口勒索贖金,金額從70元至200元不等。據(jù)我國計算機(jī)病毒應(yīng)急處理中心統(tǒng)計,全國各地的該病毒及其變種的感染報告有580多例。而實(shí)際上用戶的文件并未丟失,只是被移動到一個具有隱藏屬性的文件夾中。
2、新發(fā)展期,比特幣贖金階段:
從2013年的CryptoLocker開始,勒索軟件進(jìn)入了新的發(fā)展期,比特幣進(jìn)入了黑客的視野。CryptoLocker可以感染大部分Windows操作系統(tǒng),通常通過郵件附件傳播,附件執(zhí)行后會對特定類型的文件進(jìn)行加密,之后彈出付款窗口,也就是從這款軟件開始,黑客開始要求機(jī)構(gòu)使用比特幣的支付贖金,而就是這款軟件為黑客組織帶來了近41000枚比特幣的收入,按照比特幣最新的市價這些比特幣的價值有近10億美元之巨。
3、勒索軟件平臺化及開源化趨勢:
同為2015年一款名為Tox的勒索軟件開發(fā)包在年中發(fā)布,通過注冊服務(wù),任何人都可創(chuàng)建勒索軟件,管理面板會顯示感染數(shù)量、支付贖金人數(shù)以及總體收益,Tox的創(chuàng)始人收取贖金的20%。
2015年下半年,土耳其安全專家發(fā)布了一款名為Hidden Tear的開源勒索軟件。它僅有12KB,雖然體量較小,但是麻雀雖小五臟俱全,這款軟件在傳播模塊,破壞模塊等方面的設(shè)計都非常出色。盡管來自土耳其的黑客一再強(qiáng)調(diào)此軟件是為了讓人們更多地了解勒索軟件的工作原理,可它作為勒索軟件的開源化,還是引發(fā)了諸多爭議,在閱讀了這款勒索軟件的源代碼后,筆者也是突然醒悟原來編程的思路與方法真的是別有洞天,破壞性思維和建設(shè)性思維的確是完全不同的風(fēng)格。
4、與竊取大眾隱私信息結(jié)合的趨勢
近年來,針對某些快捷酒店住宿系統(tǒng)及私營醫(yī)院HIS系統(tǒng)的入侵、脫庫(脫庫指黑客入侵到系統(tǒng)后進(jìn)行信息竊取行為)事件頻發(fā),而16年之前黑客一般只會將信息悄然盜出后在黑市上待價而沽,但目前黑客更是要在出售掉隱私信息之前還要對醫(yī)院及酒店進(jìn)行勒索。去年底美國好萊塢某醫(yī)療中心就被黑客攻陷,并勒索340萬美元的贖金,雖然經(jīng)過一番討價還價醫(yī)院最終支付了1.7萬美元后運(yùn)營恢復(fù),但是該院的就診記錄不久就出現(xiàn)在了的數(shù)據(jù)黑市上。
而且最近的勒索病毒明顯加強(qiáng)了“用戶體驗(yàn)”的建設(shè),會給用戶很強(qiáng)的心理暗示,比如某些最新的勒索軟件將UI設(shè)計成無法退出的界面,而且贖金隨時間漲價,還會以倒計時強(qiáng)化緊迫感。
2 2018年勒索病毒感染情況
2.12018年勒索病毒感染情況
根據(jù)江民病毒監(jiān)測中心對勒索病毒監(jiān)測到的數(shù)據(jù)統(tǒng)計發(fā)現(xiàn),2017年1月到8月,和2018年7到10月是勒索病毒感染高發(fā)期,2017年勒索病毒感染事件共計為263.2萬次,2018年為119.5萬次,較去年下降了54.6%。
2.2服務(wù)器攻擊趨勢及攻擊者家族
近一個多月以來,每周都有企業(yè)Windows服務(wù)器遭受勒索病毒攻擊,針對服務(wù)器的勒索病毒攻擊呈現(xiàn)走高趨勢。今年以來,兩大針對服務(wù)器攻擊的勒索病毒家族(GlobeImposter和Crysis家族)均出現(xiàn)爆發(fā)傳播的跡象。
GlobeImposter,Crysis,BTCWare三款勒索病毒,是近來針對服務(wù)器攻擊的主流,占比超過90%。這三款勒索病毒,都屬于全球爆發(fā)類的勒索病毒,其中GlobeImposter更是多次攻擊國內(nèi)醫(yī)療和公共服務(wù)機(jī)構(gòu),國內(nèi)外安全機(jī)構(gòu)多次發(fā)布過該家族的預(yù)警。
3 主要勒索事件匯總
3.1近兩年勒索事件
1、2017年1月份,撒旦(Satan)惡意勒索程序首次出現(xiàn)。
Satan病毒的開發(fā)者通過網(wǎng)站允許用戶生成自己的Satan變種,并且提供CHM和帶宏腳本W(wǎng)ord文檔的下載器生成腳本進(jìn)行傳播。Satan勒索病毒主要用于針對服務(wù)器的數(shù)據(jù)庫文件進(jìn)行加密,非常具有針對性加密完成后,會用中英韓三國語言索取0.3個比特幣作為贖金,并威脅三天內(nèi)不支付不予解密。
2、2017年5月12日,一種名為“想哭”的勒索病毒襲擊全球
超過150多個國家和地區(qū),影響領(lǐng)域包括政府部門、醫(yī)療服務(wù)、公共交通、郵政、通信和汽車制造業(yè)。不法分子利用NSA(National Security Agency,美國國家安全局)泄露的危險漏洞“EternalBlue”(永恒之藍(lán))進(jìn)行傳播。勒索病毒肆虐,儼然是一場全球性互聯(lián)網(wǎng)災(zāi)難,給廣大電腦用戶造成了巨大損失。最新統(tǒng)計數(shù)據(jù)顯示,150多個國家和地區(qū)超過10萬臺電腦遭到了勒索病毒攻擊、感染。
3、2017年6月27日晚,Petya勒索病毒爆發(fā)
歐洲多個國家被大規(guī)模攻擊,尤其是烏克蘭,政府機(jī)構(gòu)、銀行、企業(yè)等均遭大規(guī)模攻擊,其中烏克蘭副總理的電腦也遭受攻擊。病毒作者要求受害者支付價值300美元的比特幣之后,才會回復(fù)解密密鑰。
4、2017年10月24日,俄羅斯、烏克蘭等國遭到勒索病毒BadRabbit攻擊
烏克蘭敖德薩國際機(jī)場、首都基輔的地鐵支付系統(tǒng)及俄羅斯三家媒體中招,德國、土耳其等國隨后也發(fā)現(xiàn)此病毒。
5、xiaoba勒索病毒
10月20日,發(fā)現(xiàn)一例國產(chǎn)勒索病毒Xiaoba。該病毒加密后文件以.xiaoba[數(shù)字]結(jié)尾,不同文件類型其結(jié)尾數(shù)字也不相同,其贖金可以通過微信、支付寶支付,目前暫未發(fā)現(xiàn)該勒索病毒有大范圍傳播。倒計時200秒還不繳贖金,被加密的文件就會被全部銷毀。
6、2018年1月,GandGrab勒索家族首次出現(xiàn)
應(yīng)該算是勒索病毒家族中的最年輕,但是最流行的一個勒索病毒家族,短短幾個月的時候內(nèi),就出現(xiàn)了多個此勒索病毒家族的變種,而且此勒索病毒使用的感染方式也不斷發(fā)生變化,使用的技術(shù)也不斷在更新,此勒索病毒主要通過郵件進(jìn)行傳播,采用RSA+ASE加密的方式進(jìn)行加密,文件無法還原。
7、2018年2月,多家互聯(lián)網(wǎng)安全企業(yè)截獲了Mind Lost勒索病毒
該勒索軟件采用C#語言開發(fā),其主要功能是采用AES加密方式加密本地文件,之后引導(dǎo)受害者至指定的網(wǎng)頁要求付費(fèi)解密文件,與以往勒索軟件不同的是,此次勒索軟件并沒有要求受害者支付比特幣等數(shù)字貨幣進(jìn)行付費(fèi)解密操作,而是直接要求用戶使用信用卡或借記卡支付贖金,以此來套取銀行卡信息,進(jìn)而將此信息出售給不法分子從而牟取更大利益。加密樣本賬戶的電腦的Users目錄下的文件,如果后綴為”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密,且解密贖金達(dá)到200美元。其加密完成后顯示的提示圖片如下:
8、GlobeImposter勒索病毒家族
GlobeImposter勒索病毒家族是從2017年5月開始出現(xiàn),并在2017年11月和2018年3月有兩次較大范圍的疫情爆發(fā),在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0,此時的病毒樣本加密后綴名以“.CHAK”較為常見,在2018年3月時出現(xiàn)了GlobeImposter2.0,此時的病毒樣本加密后綴名以“.TRUE”,“.doc”較為常見,GlobeImposter也增加了很多新型的技術(shù)進(jìn)行免殺等操作。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市