勒索病毒是惡意代碼的一種,利用釣魚郵件、網(wǎng)頁(yè)掛馬、漏洞攻擊等方式感染用戶設(shè)備,劫持系統(tǒng)的使用權(quán)、破壞數(shù)據(jù)的可用性,通過彈窗、電話、郵件等方式告知勒索信息,要求用戶限期通過比特幣等方式支付贖金,以恢復(fù)設(shè)備使用權(quán)或解密文件數(shù)據(jù)。
2016年,新增計(jì)算機(jī)端勒索病毒樣本16.7 萬(wàn)個(gè),近500萬(wàn)用戶計(jì)算機(jī)遭到了勒索病毒攻擊,其中11.9%的受害者會(huì)支付勒索贖金。目前主流的勒索病毒家族包括Cerber、Locky和XTBL等。勒索病毒除攻擊普通用戶以獲得更大數(shù)額的贖金外,還將目標(biāo)轉(zhuǎn)向企業(yè)和政府部門,如LeChiffre攻陷印度三家銀行、中國(guó)國(guó)內(nèi)某央企受到Locky攻擊。在2017年2月召開的 RSA 2017信息安全大會(huì)上,勒索病毒作為重要議題被列入了一整天的議程。2017 年5月,“植物病原線蟲式”勒索病毒 WannaCry利用NSA泄露出來(lái)的微軟MS17-010漏洞大范圍傳播,波及150多個(gè)國(guó)家,受害者多達(dá)20萬(wàn)。
傳播途徑
勒索病毒文件一旦進(jìn)入本地,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。接下來(lái),勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰,利用私鑰和公鑰對(duì)文件進(jìn)行加密。除了病毒開發(fā)者本人,其他人是幾乎不可能解密。加密完成后,還會(huì)修改壁紙,在桌面等明顯位置生成勒索提示文件,指導(dǎo)用戶去繳納贖金。且變種類型非常快,對(duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。
據(jù)火絨監(jiān)測(cè),勒索病毒主要通過三種途徑傳播:漏洞、郵件和廣告推廣。
通過漏洞發(fā)起的攻擊占攻擊總數(shù)的87.7%。由于Windows 7、xp等老舊系統(tǒng)存在大量無(wú)法及時(shí)修復(fù)的漏洞,而政府、企業(yè)、學(xué)校、醫(yī)院等局域網(wǎng)機(jī)構(gòu)用戶使用較多的恰恰是win7、xp等老舊系統(tǒng),因此也成為病毒攻擊的重災(zāi)區(qū),病毒可以通過漏洞在局域網(wǎng)中無(wú)限傳播。相反,win10系統(tǒng)因?yàn)閺?qiáng)制更新,幾乎不受漏洞攻擊的影響。
通過郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式占比較少,但對(duì)于有收發(fā)郵件、網(wǎng)頁(yè)瀏覽需求的企業(yè)而言,依舊會(huì)受到威脅。
此外,對(duì)于某些特別依賴U盤、記錄儀辦公的局域網(wǎng)機(jī)構(gòu)用戶來(lái)說(shuō),外設(shè)則成為勒索病毒攻擊的特殊途徑。
攻擊對(duì)象
勒索病毒一般分兩種攻擊對(duì)象,一部分針對(duì)企業(yè)用戶(如xtbl,wallet),一部分針對(duì)所有用戶。
病毒規(guī)律
該類型病毒的目標(biāo)性強(qiáng),主要以郵件為傳播方式。
勒索病毒文件一旦被用戶點(diǎn)擊打開,會(huì)利用連接至黑客的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密公鑰和私鑰。然后,將加密公鑰私鑰寫入到注冊(cè)表中,遍歷本地所有磁盤中的Office文檔、圖片等文件,對(duì)這些文件進(jìn)行格式篡改和加密;加密完成后,還會(huì)在桌面等明顯位置生成勒索提示文件,指導(dǎo)用戶去繳納贖金。
該類型病毒可以導(dǎo)致重要文件無(wú)法讀取,關(guān)鍵數(shù)據(jù)被損壞,給用戶的正常工作帶來(lái)了極為嚴(yán)重的影響。
病毒分析
一般勒索病毒,運(yùn)行流程復(fù)雜,且針對(duì)關(guān)鍵數(shù)據(jù)以加密函數(shù)的方式進(jìn)行隱藏。以下為APT沙箱分析到樣本載體的關(guān)鍵行為:
1、調(diào)用加密算法庫(kù);
2、通過腳本文件進(jìn)行Http請(qǐng)求;
3、通過腳本文件下載文件;
4、讀取遠(yuǎn)程服務(wù)器文件;
5、通過wscript執(zhí)行文件;
6、收集計(jì)算機(jī)信息;
7、遍歷文件。
樣本運(yùn)行流程
該樣本主要特點(diǎn)是通過自身的解密函數(shù)解密回連服務(wù)器地址,通過HTTPGET請(qǐng)求訪問加密數(shù)據(jù),保存加密數(shù)據(jù)到TEMP目錄,然后通過解密函數(shù)解密出數(shù)據(jù)保存為DLL,然后再運(yùn)行DLL(即勒索者主體)。該DLL樣本才是導(dǎo)致對(duì)數(shù)據(jù)加密的關(guān)鍵主體,且該主體通過調(diào)用系統(tǒng)文件生成密鑰,進(jìn)而實(shí)現(xiàn)對(duì)指定類型的文件進(jìn)行加密,即無(wú)需聯(lián)網(wǎng)下載密鑰即可實(shí)現(xiàn)對(duì)文件加密。
同時(shí),在沙箱分析過程中發(fā)現(xiàn)了該樣本大量的反調(diào)試行為,用于對(duì)抗調(diào)試器的分析,增加了調(diào)試和分析的難度。
應(yīng)對(duì)方案
根據(jù)勒索病毒的特點(diǎn)可以判斷,其變種通常可以隱藏特征,但卻無(wú)法隱藏其關(guān)鍵行為,經(jīng)過總結(jié)勒索病毒在運(yùn)行的過程中的行為主要包含以下幾個(gè)方面:
1、通過腳本文件進(jìn)行Http請(qǐng)求;
2、通過腳本文件下載文件;
3、讀取遠(yuǎn)程服務(wù)器文件;
4、收集計(jì)算機(jī)信息;
5、遍歷文件;
6、調(diào)用加密算法庫(kù)。
為防止用戶感染該類病毒,我們可以從安全技術(shù)和安全管理兩方面入手:
1、不要打開陌生人或來(lái)歷不明的郵件,防止通過郵件附件的攻擊;
2、盡量不要點(diǎn)擊Microsoft Office宏運(yùn)行提示,避免來(lái)自office組件的病毒感染;
3、需要的軟件從正規(guī)(官網(wǎng))途徑下載,不要雙擊打開.js、.VBScript等后綴名文件;
4、升級(jí)到最新的防病毒等安全特征庫(kù);
5、升級(jí)防病毒軟件到最新的防病毒庫(kù),阻止已存在的病毒樣本攻擊;
6、定期異地備份計(jì)算機(jī)中重要的數(shù)據(jù)和文件,萬(wàn)一中病毒可以進(jìn)行恢復(fù)。
相關(guān)事件
2017年5月12日,一種名為“想哭”的勒索病毒襲擊全球150多個(gè)國(guó)家和地區(qū),影響領(lǐng)域包括政府部門、醫(yī)療服務(wù)、公共交通、郵政、通信和汽車制造業(yè)。
2017年6月27日,歐洲、北美地區(qū)多個(gè)國(guó)家遭到“NotPetya”病毒攻擊。烏克蘭受害嚴(yán)重,其政府部門、國(guó)有企業(yè)相繼“中招”。
2017年10月24日,俄羅斯、烏克蘭等國(guó)遭到勒索病毒“壞兔子”攻擊。烏克蘭敖德薩國(guó)際機(jī)場(chǎng)、首都基輔的地鐵支付系統(tǒng)及俄羅斯三家媒體中招,德國(guó)、土耳其等國(guó)隨后也發(fā)現(xiàn)此病毒。
2018年2月,多家互聯(lián)網(wǎng)安全企業(yè)截獲了MindLost勒索病毒。
2018年2月,中國(guó)內(nèi)便再次發(fā)生多起勒索病毒攻擊事件。經(jīng)騰訊控股企業(yè)安全分析發(fā)現(xiàn),此次出現(xiàn)的勒索病毒正是GlobeImposter家族的變種,該勒索病毒將加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴(kuò)展名,并通過郵件來(lái)告知受害者付款方式,使其獲利更加容易方便。
2018年3月1日,有殺毒軟件廠商表示,他們監(jiān)測(cè)到了“麒麟2.1”的勒索病毒。
2018年3月,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心通過自主監(jiān)測(cè)和樣本交換形式共發(fā)現(xiàn)23個(gè)鎖屏勒索類惡意程序變種。該類病毒通過對(duì)用戶手機(jī)鎖屏,勒索用戶付費(fèi)解鎖,對(duì)用戶財(cái)產(chǎn)和手機(jī)安全均造成嚴(yán)重威脅。
2018年12月1日,火絨安全團(tuán)隊(duì)曝光了一個(gè)以微信為支付手段的勒索病毒在國(guó)內(nèi)爆發(fā)。幾日內(nèi),該勒索病毒至少感染了10萬(wàn)臺(tái)電腦,通過加密受害者文件的手段,已達(dá)到勒索贖金的目的,而受害者必需通過微信掃一掃支付110元贖金才能解密。
2018年12月7日,平安東莞賬號(hào)證實(shí)“12.05”特大新型勒索病毒案已被偵破,根據(jù)上級(jí)公安機(jī)關(guān)“凈網(wǎng)安網(wǎng)2018”專項(xiàng)行動(dòng)有關(guān)部署,近日,東莞網(wǎng)絡(luò)警察在省公安廳網(wǎng)警總隊(duì)的統(tǒng)籌指揮,24小時(shí)內(nèi)火速偵破“12.05”特大新型勒索病毒破壞計(jì)算機(jī)信息系統(tǒng)案,抓獲病毒研發(fā)制作者羅某某(男,22歲,茂名市人),繳獲木馬程序和作案工具一批。
2020年4月,網(wǎng)絡(luò)上出現(xiàn)了一種名為“WannaRen”的新型勒索病毒,與此前的“WannaCry”的行為類似,加密Windows系統(tǒng)中幾乎所有文件,后綴為.WannaRen,大部分殺毒軟件無(wú)法攔截。10月,南通市當(dāng)?shù)鼐皆?a href="/hebeideji/7265631205465440271.html">“凈網(wǎng)”專項(xiàng)行動(dòng)中,成功偵破一起由公安部督辦的特大制作、使用勒索病毒實(shí)施網(wǎng)絡(luò)敲詐的案件,巨某等3名犯罪嫌疑人落網(wǎng)。巨某作為多個(gè)比特幣勒索病毒的制作者,已成功作案百余起,非法獲取的比特幣折合人民幣500余萬(wàn)元。
參考資料 >
勒索病毒善偽裝造成的破壞不可逆.新浪網(wǎng).2016-11-04
國(guó)內(nèi)勒索病毒持續(xù)高發(fā) 今年來(lái)超200萬(wàn)臺(tái)終端被攻擊.人民網(wǎng).2018-09-22
警惕勒索病毒,互聯(lián)網(wǎng)時(shí)代的新型敲詐行為.中關(guān)村在線.2017-05-14
勒索病毒“壞兔子”來(lái)襲 俄烏等國(guó)不幸中招.新華網(wǎng).2017-10-26
警惕!新型勒索病毒MindLost能盜走你的銀行卡信息!.新華網(wǎng).2018-02-05
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心曝光23個(gè)鎖屏勒索類惡意程序變種.新華網(wǎng).2018-03-09
“微信支付”勒索病毒嫌疑犯正式被捕.人民網(wǎng).2018-12-15
新型 PC 勒索病毒“WannaRen”開始傳播:大部分殺毒軟件無(wú)法攔截.www.ithome.com.2020-04-07
江蘇南通破獲比特幣網(wǎng)絡(luò)敲詐案,勒索病毒制作者落網(wǎng).澎湃新聞.2020-10-08