什么是勒索病毒? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒Wana Decrypt0r 2.0(计算机病毒)什么是勒索病毒?勒索病毒的症状是什么显示全部 关注者6被浏览5,855关注问题写回答邀请回答好问题添加评论分享7 个回答默认排序全云在线cloudallonline已认证账号 关注文章来源:全云在线 一、什么是勒索病毒?勒索病毒(Ransomware)是一种非法的软件,它能够将用户的数据加密,要求支付赎金来解密。它通常会在用户打开恶意邮件或文件时被下载到计算机上。一旦开始运行,它会立即开始加密用户的文件,并要求用户付费才能解密文件。预防勒索病毒勒索病毒可以使用多种方式来进行传播,包括通过电子邮件,文件共享,社交网络和聊天客户端等。勒索病毒也可以通过网络钓鱼来传播,这种攻击方式会欺骗用户点击一个恶意链接或下载一个恶意文件,从而感染计算机。勒索病毒也可以通过暴力攻击技术来传播,这种攻击技术通常使用暴力破解工具来猜测用户的密码,一旦猜测成功,就可以访问用户的系统并且安装勒索病毒。勒索病毒的目的是要求用户支付赎金以解密文件,但是用户支付赎金也不一定能够解密文件。因此,用户应该采取措施预防勒索病毒的传播,例如安装杀毒软件,定期备份数据,不要点击未知来源的链接,不要打开未知的文件等。二、数据库中了勒索病毒怎么办?勒索病毒是一种新型的计算机病毒,它会给电脑系统带来极大的损害。一旦感染了这种病毒,电脑系统中的重要数据就会被加密,并且被病毒的发送者要求缴纳赎金,以解密数据。当发现数据库中被勒索病毒感染时,首先要采取的措施是把数据库服务器完全断开网络连接,以防止病毒感染其他服务器。其次,要立即备份数据库中的所有数据,以防止因数据丢失而无法恢复。再次,应尽快找到病毒的根源并确定特征,以便采取有效的措施来清除它。清除勒索病毒的最佳方法是使用专业的反病毒软件,如McAfee或Norton等。这些软件可以扫描数据库,并对发现的病毒进行杀毒。此外,可以使用一些安全工具,例如系统安全扫描器,查找系统中的潜在漏洞,并及时修复。另外,要加强安全防护措施,并建立定期的备份机制,以防止发生勒索病毒感染的情况。建议定期备份数据,并将备份数据存放在安全的服务器上,或者在外部设备上。同时,还要定期更新系统的安全补丁,以及安装安全软件以防止恶意程序的入侵。总之,当数据库中发现被勒索病毒感染时,要立即采取相应的措施,以避免更大的损失。应采取措施把病毒清除,并加强安全措施,以预防类似的情况发生。三、勒索病毒防护解决方案:针对以上事前、事中、事后三个难题,其实勒索病毒防护+保险解决方案就能从这三方面为客户提供勒索防治及保险服务。勒索病毒防护+保险解决方案,产品保障、服务贯穿、保险兜底,最大化避免勒索风险,让勒索病毒来了都要说:溜了溜了!发布于 2023-01-11 17:25赞同 1添加评论分享收藏喜欢收起数据恢复中心团队 预控 技术 风险 关注什么是.halo勒索病毒?在2023年初,一种新的勒索病毒开始在网络上传播,它的名字叫做.halo勒索病毒。这种病毒属于BeijngCrypt勒索病毒家族,它会通过远程桌面爆破、数据库端口攻击、垃圾邮件等方式入侵目标设备,然后加密设备上的文件,并在文件名后添加.halo扩展名。如果您不幸感染了这种病毒,您应该如何应对呢?数据还有没有可能恢复呢?本文将为您介绍一些相关的知识和建议。技术咨询(JF_010101) .halo勒索病毒是一种恶意软件,它会加密用户的文件并要求用户支付赎金才能解密文件。勒索病毒通常通过 电子邮件、恶意软件下载、漏洞利用和恶意广告等方式传播。当用户打开了一个包含勒索病毒的文件时,勒索病毒 会开始加密用户的文件,并在加密完成后显示一个勒索信息,要求用户支付一定数量的加密货币才能恢复文件。 如何感染的? .halo勒索病毒是通过多种方式传播感染的,其中最常见的有以下几种:-远程桌面口令爆破:黑客利用弱口令或者暴力破解的方式,尝试登录目标设备的远程桌面服务,一旦成功登录,就可以释放并执行勒索病毒。因此,建议您关闭不必要的远程桌面服务,或者使用强口令和多重认证来保护远程桌面服务。-数据库弱口令攻击:黑客利用弱口令或者暴力破解的方式,尝试登录目标设备的数据库服务,一旦成功登录,就可以释放并执行勒索病毒。因此,建议您使用复杂且无规律的密码来保护数据库服务,并定期更换密码。-垃圾邮件附件或链接:黑客通过发送伪装成正常邮件的垃圾邮件,诱骗用户打开附件或点击链接,从而感染勒索病毒。因此,建议您不要轻信来自陌生人或可疑来源的邮件,不要随意打开附件或点击链接,尤其是那些要求输入个人信息或下载软件的邮件。-恶意软件下载或更新:黑客通过在一些不安全的网站或下载平台上植入恶意软件,诱骗用户下载或更新软件,从而感染勒索病毒。因此,建议您只从官方或可信赖的网站或平台上下载或更新软件,并使用杀毒软件扫描下载或更新前后的文件。-网络漏洞利用:黑客利用目标设备上存在的网络漏洞,如Web应用漏洞、操作系统漏洞等,进行远程攻击,从而感染勒索病毒。因此,建议您及时更新您的Web应用、操作系统和其他软件,并修复已知的漏洞。感染后如何处理?断网连接:将感染病毒的设备断开互联网连接,以防止病毒继续传播或与攻击者通信。恢复数据:如果您有最新的数据备份,您可以使用备份数据恢复您的文件。寻求专业帮助:可寻求专业数据恢复公司的帮助,千万不要擅自进行文件后缀修改或者使用各种数据恢复软件进行操作,这将会二次破坏文件内容,可能导致后期数据无法恢复。如果受感染的数据确实有恢复的价值与必要性,可联系我们进行免费排查获取数据恢复的相关帮助。安全防御建议预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。⑦ 尽量关闭不必要的文件共享。⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。技术咨询(JF_010101)发布于 2023-06-26 14:37赞同添加评论分享收藏喜欢
勒索病毒 - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解…查看全部内容关注话题管理分享百科讨论精华视频等待回答简介勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 2017年12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。 2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。更多信息中文名勒索病毒外文名Ransomware原理利用各种加密算法对文件进行加密性质不可逆解密病毒开发者本人警惕程度★★★★☆数据由搜狗百科提供查看百科全文 百科摘录32018企业网络安全年度报告 | 勒索病毒、挖矿木马是企业安全两大核心下的内容摘录埃文科技已认证账号勒索病毒,是2018年破坏性最强影响面最广的一类恶意程序,通常是通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索钱财。早期的勒索病毒通常是通过钓鱼邮件、社工等方式传播,通常传播规模量比较小,随着2017年NSA方程式工具泄露,“永恒之蓝”工具被大量利用,加之近年数字加密币的流行,勒索病毒感染正处于愈演愈烈的态势。知乎小知 摘录于 2020-04-24安恒信息:勒索病毒专防专杀组合拳下的内容摘录安恒信息勒索病毒,是一种新型 电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒的变种很多,其恶意行为性质恶劣、危害极大,一旦感染之后未能及时处置的话,将给用户带来无法估量的损失。目前勒索病毒及其变种已经在各行各业泛滥,涉及国计民生的重要行业,比如医疗、交通、政府机构、重要企业等均能幸免。知乎小知 摘录于 2020-04-24如何看待 AI 换脸软件「ZAO」的爆火?下的回答内容摘录浩哥有料极客范儿的斜杠青年勒索病毒是目前为数不多的借助技术手段劫持用户、获取暴利的黑产手段,防治勒索病毒也是目前全球安全团队都在努力攻克的难题。对于普通民众来说,具备基本的网络安全意识是必不可少的,这是预防这类技术攻击最有效的手段。知乎小知 摘录于 2020-04-24浏览量4989 万讨论量5.6 万 帮助中心知乎隐私保护指引申请开通机构号联系我们 举报中心涉未成年举报网络谣言举报涉企虚假举报更多 关于知乎下载知乎知乎招聘知乎指南知乎协议更多京 ICP 证 110745 号 · 京 ICP 备 13052560 号 - 1 · 京公网安备 11010802020088 号 · 京网文[2022]2674-081 号 · 药品医疗器械网络信息服务备案(京)网药械信息备字(2022)第00334号 · 广播电视节目制作经营许可证:(京)字第06591号 · 服务热线:400-919-0001 · Investor Relations · © 2024 知乎 北京智者天下科技有限公司版权所有 · 违法和不良信息举报:010-82716601 · 举报邮箱:jubao@zhihu.
什么是勒索病毒?有哪些危害?如何预防?
首页
网络服务
计费
邮件
VPN
虚拟机
域名管理
高性能计算
六维空间
在线电视
信息化建设
一网通办
管理体制
建设成果
网络安全
专题活动
政策法规
安全服务
安全通报
漏洞预警
安全知识
安全常识
安全文档
普法解读
安全案例
党建工作
支部概况
支部计划
制度规范
支部新闻
规章制度
国家级
教育部级
校级
信网办
关于我们
简介
组织架构
报修与支持
现行相关政策
办公地点
IT服务门户
什么是勒索病毒?有哪些危害?如何预防?
发布时间:2022-01-14浏览次数:19095
勒索病毒是泛指一切通过锁定被感染者计算机系统或文件并施以敲诈勒索的新型计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播,一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业、学校和个人用户大量重要文件无法使用甚至外泄,严重影响日常工作和生活。一般被勒索病毒感染后,将导致重要文件无法读取、关键数据被损坏、计算机被锁死无法正常使用等情况;为了指引被感染者缴纳赎金,勒索病毒还会在桌面等明显位置生成勒索提示文件,被感染者需要通过缴纳高额赎金才能获取解密密钥恢复计算机系统和数据文件的正常使用,多数情况即使缴纳了高额的赎金也未必能正常恢复数据。因此,勒索病毒具有数据恢复代价大和数据恢复可能性极低的特点。常见勒索病毒传播途径:1.网站挂马。用户浏览挂有木马病毒的网站,上网终端计算机系统极可能被植入木马并感染上勒索病毒。2.邮件传播。邮件传播是目前互联网上常见的病毒传播方式。攻击者通过利用当前热门字样,在互联网上撒网式发送垃圾邮件、钓鱼邮件,一旦收件人点开带有勒索病毒的链接或附件,勒索病毒就会在计算机后台静默运行,实施勒索。3.漏洞传播。通过计算机操作系统和应用软件的漏洞攻击并植入病毒是近年来流行的病毒传播方式。最典型的案例是2017年在国内泛滥的WannaCry大规模勒索事件,攻击者正是利用微软445端口协议漏洞,进行感染传播网内计算机。4.捆绑传播。攻击者将勒索病毒与其他软件尤其是盗版软件、非法破解软件、激活工具进行捆绑,从而诱导用户点击下载安装,并随着宿主文件的捆绑安装进而感染用户的计算机系统。5.介质传播。攻击者通过提前植入或通过交叉使用感染等方式将携有勒索病毒的U盘、光盘等介质进行勒索病毒的移动式传播。此种传播途径往往发生在文印店、公共办公区域等高频交叉使用可移动存储介质的场所,也可能通过广告活动派发、街区丢弃等方式实现诱导用户使用携带勒索病毒的U盘、光盘。携带勒索病毒的光盘、U盘一旦接入计算机,勒索病毒即可能随着其自动运行或用户点击运行导致计算机被感染。预防,是对付勒索病毒最为有效的手段!防护建议:1.定期做好重要数据、文件的备份工作;2.及时更新升级操作系统和应用软件,修复存在的中高危漏洞;3.安装正版杀毒软件并及时升级病毒库,定期进行全面病毒扫描查杀;4.在系统中禁用U盘、移动硬盘、光盘的自动运行功能,不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件;5.避免使用弱口令,为每台服务器和终端设置不同口令,且采用大小写字母、数字、特殊字符混合的高复杂度组合结构,口令位数应8位以上;6.不要在网上下载安装盗版软件、非法破解软件以及激活工具。信息来源:北京理工大学、网安学社
Copyright© 东北大学信息化建设与网络安全办公室
地址:辽宁省沈阳市文化路3巷11号东北大学计算中心
“智慧东大”APP客户端
东北大学微信企业号
如何防勒索病毒? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒如何防勒索病毒?关注者39被浏览75,043关注问题写回答邀请回答好问题 7添加评论分享23 个回答默认排序文秀大人 关注在讨论如何防勒索病毒问题之前,先来了解一下勒索病毒。 什么是勒索病毒?勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。2006 年出现的 Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。2013下半年开始,是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密,使破解几乎不可能。同时要求用户使用虚拟货币支付,以防其交易过程被跟踪。这个时期典型的勒索病毒有CryptoLocker,CTBLocker等。自2016年开始,WannaCry勒索蠕虫病毒大爆发,且目的不在于勒索钱财,而是制造影响全球的大规模破坏行动。戏剧性的是,在此阶段,勒索病毒已呈现产业化、家族化持续运营状态。勒索病毒产业化架构自2018年开始,勒索病毒技术日益成熟,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。2018年至今勒索病毒活跃趋势勒索病毒19年一季度行业分布情况2019年最具代表性的勒索病毒家族排行榜勒索病毒工作原理勒索病毒文件一旦进入被攻击者本地,就会自动运行,同时删除勒病毒母体,以躲避查杀、分析和追踪(变异速度快,对常规的杀毒软件都具有免疫性)。接下来利用权限连接黑客的服务器,上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密(先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。)。除了病毒开发者本人,其他人是几乎不可能解密。如果想使用计算机暴力破解,根据目前的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。(当然,理论上来说,也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间,恐怕地球撑不到那个时候。)加密完成后,还会锁定屏幕,修改壁纸,在桌面等显眼的位置生成勒索提示文件,指导用户去缴纳赎金。值得一提的是,有的勒索方式索要赎金是比特币,如果你不会交易流程,可能会遭到勒索者的二次嘲讽:自己上网查!( Ĭ ^ Ĭ )以下为APT沙箱分析到勒索病毒样本载体的主要行为:1、调用加密算法库;2、通过脚本文件进行Http请求;3、通过脚本文件下载文件;4、读取远程服务器文件;5、通过wscript执行文件;6、收集计算机信息;7、遍历文件。该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。如何防勒索病毒?1、青铜段位(1)不要打开陌生人或来历不明的邮件,防勒索病毒通过邮件的攻击;(2)需要的软件从正规(官网)途径下载;(3)升级杀毒软件到最新版本,阻止已存在的病毒样本攻击;(4)Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁;(5)定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复;(6)定期进行安全培训,日常安全管理可参考“三不三要”(三不:不上钩、不打开、不点击。三要:要备份、要确认、要更新)思路。2、钻石段位(1)物理,网络隔离染毒机器;(2)对于内网其他未中毒电脑,排查系统安全隐患: a)系统和软件是否存在漏洞 b)是否开启了共享及风险服务或端口,如135、137、139、445、3389 c)只允许办公电脑,访问专门的文件服务器。使用FTP,替代文件夹共享。 d)检查机器ipc空连接及默认共享是否开启 e)检查是否使用了统一登录密码或者弱密码(3) 尽量不要点击office宏运行提示,避免来自office组件的病毒感染;(4)尽量不要双击打开.js、.vbs等后缀名文件;(5)事后处理在无法直接获得安全专业人员支持的情况下,可考虑如下措施: a) 通过管家勒索病毒搜索引擎搜索,获取病毒相关信息。搜索引擎地址 (https://guanjia.qq.com/pr/ls/#navi_0)勒索病毒搜索引擎 b) 若支持解密,可直接点击下载工具对文件进行解密(3)王者段位 在如何防勒索病毒这个话题中,人们常规的防御思维综上所述。虽然没什么毛病,但怎么看都像是“坐以待毙”,被动挨打。不过也无可厚非,毕竟见招拆招是惯性思维。正确的防勒索病毒手段,一定是以不变应万变。 举个栗子:农场主养了一群羊,毛发油亮,膘肥体壮,卖相极好,农场主甚是欣慰。有一天农场主发现少了几只羊,还发现了狼的踪迹,便明白了有狼偷羊。农场主跟踪狼的踪迹,设置陷阱,日夜监督,身心俱疲,但还是没有捉到狼,羊的数量还在减少。最后,农场主把茅草的羊圈换成了大理石羊圈,羊再也没少过,农场主也再也不用去寻找狼。主机加固的概念便是如此。所以如何防勒索病毒,主机加固的思路才是良策。主机加固的核心要点:1、系统加固 将调试好的系统锁定,变成可信系统。 在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。 即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。2、程序加固 采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过 拒绝启动,并且可信程序无法被伪装。3、文件加固 保护指定类型的文件不被篡改。4、磁盘加密 创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提 下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。5、数据库加固 第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。 第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连 接字符串的IP+端口+账号密码中,追加进程身份识别。 第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库 内数据被非法访问,防止数据库表单的危险操作行为。 很多问题换一种思维可能就迎刃而解。如何防勒索病毒,显然用主机加固的策略更佳。至于主机 加固产品如何选型,各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了,而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。最后,涩情网站君莫入,陌生邮件小心读,美女果聊需当心,勒索病毒助你贫。不要谢我,叫我雷锋,深藏功名。编辑于 2021-12-16 17:55赞同 3526 条评论分享收藏喜欢收起Ommega3110计算机硕士,码农,书呆子 关注谢邀,刚上飞船,人在自然选择号。说的是深信达吧。你一提到SDC沙盒,真的有太多感慨。前两年公司开发新项目,大量的嵌入式开发调试动作。我们用U口和网口来传输代码,频繁的发到设备里调试,找问题,改BUG。甲方爸爸特别交代,项目要严格保密,PM和CTO都很忙,就命我出方案。我TM能出什么方案?百度上到处找项目保密,源代码保密,源代码加密的解决方案,全是广告,百度真是绝绝子了。好吧,找了几家软件测试下,要么就坏文件,要么就不停地设置进程、文件后缀名。最关键的是,我这种水平不高的菜鸟也能想办法绕过这些加密软件,简直了。后来问了在DJI(大疆)的师兄,他告诉我源代码加密要用环境加密的,透明加密的不适合,他们公司选型也费老鼻子劲,最后才选的SDC沙盒。至于原理,太多了一句两句也说不清。简单总结一下区别哪:代码开发的环境复杂,进程文件类型很多,要用透明加密一一设置,就类似于白名单,不胜其烦,而且安全系数低,也不支持嵌入式开发场景的加密需求。这时候需要一款基于系统的、开发场景的加密产品。这个产品要不关联文件类型,不抓取进程,不区分文件大小,不改变研发者使用计算机习惯,还要保证数据不能外泄,支持嵌入式这种带烧录的场景,最好还要安全系数高一些,至少要保证普通开发人员不能破解。一种是基于文件过滤层的文件加密,一种是基于驱动层的系统环境加密,各有千秋吧,但是源代码加密这种环境复杂的需求,后者更为合适。经过一周的测试,最终选型SDC。历时2个月的调研和选型,终于结束。虽然有点波折,但也学到了很多。有些知识,只有在实践中获得。感谢我的地中海PM和CTO。发布于 2021-12-23 14:36赞同 73 条评论分享收藏喜欢
勒索病毒是什么?你需要知道的关于网络上最大的威胁的一切 - 知乎切换模式写文章登录/注册勒索病毒是什么?你需要知道的关于网络上最大的威胁的一切web 18106090313微信电话13328911099勒索病毒是什么?你需要知道的关于网络上最大的威胁之一的一切更新:关于勒索软件你需要知道的一切:它是如何开始的,为什么它蓬勃发展,如何保护它,以及如果你的电脑感染了该怎么办。ransomware是什么?勒索软件是互联网上最大的安全问题之一,也是当今组织所面临的最大形式的网络犯罪之一。勒索软件是一种恶意软件——恶意软件——它对任何东西的文件和文件进行加密,从一台个人电脑一直到整个网络,包括服务器。受害者往往没有多少选择;他们可以向勒索软件背后的犯罪分子支付赎金,重新进入加密网络,或者从备份中恢复,或者寄希望于有免费的解密密钥。一些勒索软件的感染开始时,有人点击了一个看似无害的附件,打开后下载了恶意的有效载荷,对网络进行加密。其他规模大得多的勒索软件活动则利用软件漏洞、破解密码和其他漏洞,利用一些组织的弱点(如面向互联网的服务器或远程桌面登录)进入这些组织。攻击者会秘密地通过网络搜索,直到他们控制尽可能多的网络——在加密之前。对于任何规模的公司来说,如果重要的文件、文件、网络或服务器突然被加密并无法访问,都是件令人头痛的事。更糟糕的是,在你被文件加密勒索软件攻击后,犯罪分子会厚脸皮地宣布他们把你的公司数据作为人质,直到你支付赎金才能取回。这听起来可能太简单了,但却很有效。勒索软件的历史是怎样的?虽然勒索软件在去年出现了爆炸式增长,据估计增长了748%,但这并不是一个新现象:我们现在所知的勒索软件的第一个例子出现在1989年。这种病毒被称为艾滋病(AIDS)或PC Cyborg特洛伊木马(PC Cyborg Trojan),是以软盘的形式发送给受害者——多数是医疗行业的受害者。勒索软件会计算电脑被启动的次数:当电脑启动次数达到90时,它会对电脑和电脑上的文件进行加密,并通过向巴拿马的一个邮局信箱发送189美元或378美元的邮件,要求用户向“PC Cyborg公司”(PC Cyborg Corporation)“更新许可证”。勒索软件是如何演变的?这个早期的勒索软件是一个相对简单的结构,使用基本的加密技术,主要只是改变文件的名称,使它相对容易克服。但它引发了一个新的计算机犯罪分支,缓慢地,但毫无疑问地,扩大了影响范围——并在互联网时代真正起飞。在黑客开始使用高级加密技术攻击企业网络之前,他们用基本的勒索软件攻击普通互联网用户。最成功的变体之一是“警察勒索软件”,它试图通过声称个人电脑已被执法部门加密来敲诈受害者。它用一张勒索纸条锁住屏幕,警告用户他们进行了非法的网络活动,这可能会让他们被送进监狱。不过,如果受害者支付了罚款,“警察”就会让侵权行为不了了之,并通过交出解密密钥来恢复对计算机的访问。当然,这与执法没有任何关系——这是犯罪分子利用无辜的人。一个“警察勒索软件”威胁英国用户的例子虽然这类勒索软件在一定程度上成功了,但它们通常只是简单地将“警告”信息覆盖在用户的屏幕上——重启电脑就可以解决这个问题,恢复对从未真正加密过的文件的访问。犯罪分子从中吸取了教训,现在大多数勒索软件计划都使用先进的加密技术来真正锁定受感染的电脑及其上的文件。勒索软件主要有哪些类型?勒索软件总是在不断演变,新的变种不断出现在野外,并对企业构成新的威胁。然而,有某些类型的勒索软件比其他的成功得多。到目前为止,2020年最多产的勒索软件家族是Sodinokibi,自2019年4月出现以来,该软件一直困扰着世界各地的组织。这种勒索软件也被称为REvil,它对大量知名机构的网络进行了加密,包括Travelex和一家拥有名人客户的纽约律师事务所。Sodinokibi背后的团伙花了很长时间为攻击做准备工作,偷偷地在受威胁的网络中移动,以确保在发起勒索软件攻击之前,所有可能的东西都可以加密。众所周知,Sodinokibi的幕后黑手索要数百万美元作为解密数据的交换条件。考虑到黑客通常完全控制了网络,那些在成为Sodinokibi受害者后拒绝支付赎金的组织也发现该团伙威胁说,如果不支付赎金,他们就公布窃取的信息。Sodinokibi并不是唯一一个威胁泄露受害者数据作为勒索赎金的额外手段的勒索软件活动;像Maze、Doppelpaymer和Ragnarlocker这样的勒索软件团伙也威胁称,如果受害者不支付赎金,他们将公布窃取的信息。新的勒索软件家族不断涌现,而其他家族突然消失或过时,地下论坛上不断出现新的变种。几个月后,任何形式的勒索软件都可能成为明日黄花。例如,Locky曾经是最臭名昭著的勒索软件形式,2016年,它通过网络钓鱼邮件在世界各地的组织内造成浩劫。Locky之所以能够成功,是因为幕后人员定期更新代码以避免被发现。他们甚至升级了它的新功能,包括用30种语言索要赎金的能力,这样犯罪分子就可以更容易地瞄准世界各地的受害者。“Locky”一度非常成功,凭借自身的能力成为最流行的恶意软件形式之一。然而,不到一年的时间,它似乎就消失了,从此闻所未闻。第二年,Cerber成为最主要的勒索软件形式,占2017年4月Windows勒索软件攻击的90%。Cerber变得如此受欢迎的原因之一是它以“勒索软件即服务”的方式进行分发,允许没有技术诀窍的用户进行攻击,作为交换,部分利润将返还给原始作者。2017年底,Cerber似乎消失了,但它开创了“作为服务”的模式,这种模式如今在许多形式的勒索软件中都很流行。另一个成功的形式ransomware SamSam在2017年和2018年,成为第一个家庭成为臭名昭著的不只是收取赎金数万美元的解密密钥,但利用无担保,apple系统的感染和传播横向跨网络。2018年11月,美国司法部(US Department of Justice)指控两名在伊朗工作的黑客创建SamSam勒索软件,据报道,该软件在一年内支付了逾600万美元赎金。不久之后,SamSam作为一种活跃的勒索软件形式似乎停止了。在2018年和2019年期间,另一个对企业和家庭用户都有问题的勒索软件家族是GandCrab,欧洲刑警组织当时将其描述为“最具攻击性的勒索软件之一”。GandCrab操作的是“as-aa-service”,并定期收到更新,这意味着即使安全研究人员破解了它,并能够释放解密密钥,一个带有新加密方法的新版本勒索软件很快就会出现。特别是在2019年上半年非常成功的GandCrab的开发者突然宣布关闭该业务,声称通过将其出租给其他网络犯罪用户每周可以赚到250万美元。GandCrab在几周后消失了,尽管攻击者似乎已经将他们的注意力转移到另一个战役中;研究人员指出,GandGrab的代码与Sodinokibi的代码非常相似。Sodinokibi到2020年仍然很流行。什么是WannaCry勒索软件?在迄今为止规模最大的勒索软件攻击中,始于2017年5月12日(周五)的WannaCry(也被称为WannaCrypt和Wcry)在全球范围内引发了混乱。WannaCrypt勒索软件要求解锁加密文件的比特币价格为300美元——三天之后价格会翻倍。用户还会受到威胁,通过屏幕上的一张勒索通知,如果在一周之内还没有支付赎金,他们所有的文件都会被永久删除。WannaCry勒索软件感染了全球各地的Windows XP系统。在短短一个周末的时间里,全球150多个国家的30多万名受害者成为该勒索软件的受害者,全球各地的企业、政府和个人都受到了影响。此次勒索软件攻击导致英国各地医疗机构的系统瘫痪,迫使患者取消预约,并导致医院告诉人们,除非完全必要,否则不要前往事故和急诊科。据安全研究人员称,在所有受此次攻击影响的国家中,俄罗斯受到的打击最为严重,“想哭”恶意软件攻击了俄罗斯的银行、电话运营商,甚至是支持交通基础设施的IT系统。中国也受到了这次攻击的沉重打击,总共有29000个组织成为这种特别邪恶的勒索软件的受害者。其他备受关注的攻击目标包括汽车制造商雷诺(Renault),由于勒索软件对系统造成严重破坏,该公司被迫暂停了多处地点的生产线。勒索软件蠕虫之所以如此强大,是因为它利用了一个名为永恒之蓝(EternalBlue)的已知软件漏洞。在“影子经纪人”黑客组织泄露之前,国安局显然已经知道了这个漏洞,而Windows漏洞只是其中之一。今年早些时候,微软发布了针对该漏洞的补丁——但仅适用于最新的操作系统。作为对攻击的回应,微软采取了前所未有的步骤,为不支持的操作系统发布补丁,以防止恶意软件。自那以来,美国和英国的安全部门一直指出朝鲜是“想哭”勒索软件攻击的肇事者,白宫正式宣布平壤是此次病毒爆发的源头。然而,朝鲜称有关它策划了“想哭”的指控是“荒谬的”。无论WannaCry的幕后主使是谁,如果该骗局的目标是赚大钱,那么它就失败了——只支付了大约10万美元。将近3个月后,WannaCry黑客终于从WannaCry比特币钱包中取出资金——由于比特币价值的波动,他们总共拿走了14万美元。但是,尽管出现了保护系统免受利用SMB漏洞的WannaCry和其他攻击的关键补丁,但大量组织似乎选择不应用这些更新。这被认为是LG在最初爆发三个月后,也就是8月份遭遇WannaCry病毒感染的原因。该公司随后表示,已经应用了相关补丁。“WannaCry”背后的永恒蓝色漏洞的公开转储导致各种黑客组织试图利用它来增强他们自己的恶意软件。研究人员甚至记录了由APT28发起的针对欧洲酒店的攻击,这是一个与干涉美国总统大选有关的俄罗斯黑客组织,现在是如何利用NSA泄露的漏洞。什么不是petya勒索软件?在“想哭”勒索病毒爆发一个多月后,全球又遭遇了另一场勒索病毒攻击。这种网络攻击首先袭击了乌克兰的目标,包括该国央行、主要国际机场,甚至切尔诺贝利(Chernobyl)核设施,然后迅速蔓延到全球,感染了欧洲、俄罗斯、美国和澳大利亚的组织。一些最初的混乱之后,这个恶意软件——一些人说它是多么凄厉,有人说别的,因此名字NotPetya——据研究人员得出的结论是,爆发了彼佳ransomware修改版本,结合《黄金眼》在内的邦德系列的元素——特别恶毒的彼佳,WannaCry ransomware极其强大的恶意软件。Petya ransom note.第二种勒索软件还利用了与“想哭”相同的永恒蓝色Windows漏洞,这种漏洞为“想哭”提供了类似蠕虫的功能,可以通过网络传播(而不是像通常那样简单地通过电子邮件附件),并攻击了全球30万台电脑。然而,NotPetya是一个更加恶毒的攻击。这种攻击不仅加密受害者的文件,还通过覆盖主重启记录、阻止计算机加载操作系统或做任何事情来加密整个硬盘驱动器。攻击者要求将300美元的比特币赎金发送到一个特定的电子邮件地址,该地址已被电子邮件服务主机关闭。然而,这种非常复杂的勒索软件显然配备了非常基本的、非自动化的接受勒索的功能,这让一些人认为,目标不是钱。这让许多人相信勒索软件提示只是病毒真正目标的一个幌子——通过不可恢复地清除受感染机器上的数据来造成混乱。无论这次攻击的目的是什么,它都严重影响了被感染的组织的财务状况。英国消费品公司利洁时(Reckitt Benckiser)表示,Petya的受害者给公司造成了1亿英镑的收入损失。但与袭击的其他受害者相比,这只是一个相对较小的损失:航运和供应船运营商马士基(Maersk)和货物快递公司联邦快递(FedEx)估计,Petya的影响已造成3亿美元的损失。2018年2月,英国、美国、澳大利亚等国政府正式宣布,NotPetya勒索软件是俄罗斯军方所为。俄罗斯否认与此有关。什么是Bad Rabbit(坏兔子)勒索软件?2017年10月发生了今年第三次备受瞩目的勒索软件攻击,俄罗斯和乌克兰的组织成为Petya勒索软件新变种的受害者。这个被称为“Bad Rabbit”的病毒感染了至少三家俄罗斯媒体机构,同时也渗入了包括基辅地铁和敖德萨国际机场在内的几家乌克兰机构的网络——机场当时表示,它已成为“黑客攻击”的受害者。最初用于分发“Bad Rabbit”的攻击载体是在被黑的网站上驾车下载的——其中一些网站自6月以来已被攻破。没有利用漏洞,相反,访问者被告知他们必须安装一个假的Flash更新,从而删除了恶意软件。Bad Rabbit ransom note.和之前的NotPetya一样,“坏兔子”通过NSA泄露的黑客工具在网络中传播,但这一次是通过永恒的浪漫SMB漏洞,而不是永恒的蓝色漏洞。坏兔子分析表明它共享的代码——至少67%——与Peyta和思科塔洛斯的研究人员得出结论,这一点,再加上它如何使用SMB开发,意味着有“高信心”ransomware的两种形式之间的联系,他们甚至可以共享相同的作者。“坏兔子”的名字来源于Tor网站顶部发布赎金通知的那条文字。一些安全研究人员开玩笑说,它应该以引用《权力的游戏》中的角色的代码行命名。一次勒索软件攻击会花掉你多少钱?显然,与被勒索软件感染相关的最直接的成本——如果支付了费用——是赎金要求,这取决于勒索软件的类型或你组织的规模。勒索软件攻击的规模可能有所不同,但黑客团伙要求数百万美元以恢复对网络的访问正变得越来越普遍。黑客团伙能够索要这么多钱的原因,简单来说,是因为许多组织愿意付钱。如果被勒索软件锁定的网络意味着组织无法做生意,情况尤其如此——由于网络不可用,他们每天甚至每小时都可能损失大量收入。据估计,NotPetya勒索软件攻击给航运公司马士基造成了高达3亿美元的损失。如果一个组织选择不支付赎金,他们不仅会发现自己在一段时间内失去收入,这段时间可能会持续数周,甚至数月,他们可能会发现自己需要支付一大笔钱,让安全公司来恢复对网络的访问。在某些情况下,这甚至可能比赎金要求的成本更高,但至少在这种情况下,这笔钱流向了合法企业,而不是资助犯罪分子。无论该组织以何种方式应对勒索软件攻击,都将对其未来的财务产生影响;因为为了防止再次成为受害者,一个组织将需要投资于其安全基础设施,即使这意味着要破坏网络并重新开始。除此之外,还有一种风险是,由于网络安全问题,客户可能会对你的公司失去信任,把他们的业务转移到其他地方。企业为什么要担心勒索软件?简而言之:勒索软件可能会毁了你的生意。被恶意软件锁在你自己的文件之外,哪怕只有一天,也会影响你的收入。但考虑到勒索软件会让大多数受害者脱机至少一周,有时甚至数月,损失可能会很大。系统离线这么长时间,不仅是因为勒索软件锁定了系统,还因为清理和恢复网络所需的所有努力。损害一家企业的不仅仅是勒索软件带来的直接经济冲击;消费者对于将自己的数据提供给他们认为不安全的组织变得十分谨慎。一个垃圾邮件声称目标购买了一架航班,并附上含有勒索软件的假发票。为什么小企业会成为勒索软件的目标?中小型企业是一个受欢迎的目标,因为它们的网络安全往往比大型企业差。尽管如此,许多中小企业错误地认为,他们太小了,无法成为攻击目标——但即使是几百美元的“小”赎金,对网络犯罪分子来说仍然是非常有利可图的。为什么勒索软件如此成功?你可以说勒索软件蓬勃发展的一个关键原因是:因为它很管用。勒索软件进入你的网络所需要的只是一个用户的疏忽和启动一个恶意的电子邮件附件,或者重复使用一个弱密码。如果组织不屈服于赎金要求,犯罪分子就会停止使用勒索软件。但企业确实需要访问数据才能正常运作,因此许多企业愿意支付赎金,完成交易。同时,对于罪犯来说,这是一个非常容易的赚钱方法。如果勒索软件可以立即从大量受感染的受害者那里获得数百甚至数千美元的赔偿,那为什么还要花费时间和精力开发复杂的代码或利用窃取的银行信息制造假信用卡呢?比特币和其他加密货币与勒索软件的兴起有什么关系?比特币等加密货币的兴起,使得网络犯罪分子可以很容易地秘密接收用这种恶意软件勒索的款项,而无需承担当局识别罪犯的风险。这种安全、难以追踪的支付方式——受害者被要求向一个比特币地址付款——使比特币成为想要隐藏他们的金融活动的罪犯的完美货币。网络犯罪团伙正变得越来越专业——许多甚至为不知道如何获取或发送比特币的受害者提供客户服务和帮助,因为如果用户不知道如何支付,索要赎金又有什么意义呢?一些组织甚至囤积了一些加密货币,以防他们受到感染,或者他们的文件被加密,不得不匆忙用比特币支付。Globe3索要3个比特币——包括给那些不知道如何购买比特币的人的指南。如何防止勒索软件攻击?开始大量ransomware攻击黑客利用不安全,apple港口和远程桌面协议,一个关键的一个组织可以做的事情来防止本身牺牲品是保证,除非是必要的,港口不暴露在互联网如果他们不需要。当需要远程端口时,组织应确保登录凭证具有复杂的密码,以防止不法分子利用蛮力攻击破解简单密码。对这些账户应用双重身份验证也可以起到抵御攻击的作用,因为如果有人试图进行未经授权的访问,就会发出警报。各组织还应确保网络使用最新的安全更新补丁,因为许多形式的勒索软件——以及其他恶意软件——都是通过众所周知的漏洞传播的。“永恒之蓝”,驱动WannaCry和NotPetya的漏洞仍然是最常用于传播攻击的漏洞之一——尽管防范该漏洞的安全补丁已经发布了3年多。当涉及到通过电子邮件阻止攻击时,你应该给员工提供培训,教他们如何发现恶意软件攻击。即使是细微的迹象,比如格式糟糕,或者一封声称来自“微软安全部门”的电子邮件是从一个晦涩的地址发出的,甚至连“微软”这个词都没有,都可能使你的网络免受感染。一般来说,保护您免受恶意软件攻击的相同安全策略将在某种程度上防止勒索软件给您的业务造成混乱。还有一点要说的是,在安全的环境中,让员工从错误中学习。例如,一家公司开发了一种交互式视频体验,它允许员工对一系列事件做出决定,然后在最后发现这些决定的后果。这使他们能够从错误中吸取教训,而不会遭受任何实际后果。在技术层面上,阻止员工启用宏是确保他们不会在不知情的情况下运行勒索软件文件的一大步。Microsoft Office 2016和现在的Microsoft Office 2013都带有允许禁用宏的功能。至少,雇主应该投资杀毒软件并使其保持更新,这样它就可以警告用户潜在的恶意文件。备份重要文件,并确保这些文件不会在另一个密钥受到攻击时泄露。从勒索软件攻击中恢复需要多长时间?简单地说,勒索软件可以使整个组织瘫痪——加密网络或多或少无用,在系统恢复之前做不了什么。如果你的组织明智并且有备份,系统可以在网络恢复功能所需的时间内恢复在线,尽管这取决于公司的规模,可能需要几小时到几天。然而,虽然在短期内恢复功能是可能的,但组织可能很难让所有系统恢复并运行——Petya攻击就是一个例子。疫情爆发一个月后,利洁时(Reckitt Benckiser)证实,其部分业务仍在受到干扰,要到最初的Petya疫情爆发两个月后才会完全启动和运行。勒索软件除了能对网络产生直接影响外,还能导致持续的财务打击。任何时候离线对企业都是不利的,因为这最终意味着组织无法提供它设定的服务,也无法赚钱,但系统离线的时间越长,它的规模就可能越大。这是在你的客户希望与你做生意的情况下:在某些领域,你已经成为网络攻击的受害者这一事实可能会让客户流失。我如何删除勒索软件?不再赎金的倡议,发起了由欧洲刑警组织在2016年7月,荷兰国家警察合作等一系列的网络安全公司卡巴斯基实验室和McAfee——提供免费解密工具ransomware变异帮助受害者检索加密数据没有屈服于网络的勒索。该门户网站为各种勒索软件提供了四种解密工具,分别是Shade、Rannoh、Rakhn和CoinVault。该网站还定期为更多版本的勒索软件添加更多的解密工具。这个入门网站也载有避免成为勒索软件受害者的资讯和建议,网站会尽可能经常更新,以确保提供打击最新形式的勒索软件的工具。No More Ransom已经从提供一套四种工具发展为携带大量覆盖数百个勒索软件家庭的解密工具。到目前为止,这些工具已经破解了数以万计的设备,使犯罪分子损失了数百万美元的赎金。该平台目前有数十种语言可用,有超过100个公共和私营部门的合作伙伴支持该计划。“No More Ransom”门户网站提供免费的勒索软件解密工具个别安全公司也会定期发布解密工具,以对抗不断演变的勒索软件——一旦破解了这些代码,许多公司就会在自己的公司博客上发布有关这些工具的更新。对付勒索软件感染的另一种方法是确保你的组织定期离线备份数据。将备份文件转移到一台新机器上可能需要一些时间,但如果一台电脑被感染了,而你有备份,可以只隔离该设备,然后继续你的业务。只要确保加密锁定骗子也不能加密你的备份。我应该支付勒索软件赎金吗?有人说,受害者应该支付赎金,因为这是找回他们加密数据的最快、最简单的方式——许多组织即使执法机构对此发出警告,也支付了赎金。但请注意:如果你的组织因为支付了赎金而成为网络罪犯的目标,你可能会发现自己成为其他网络罪犯的目标,他们想要利用你薄弱的安全性。记住,你是在与这里的罪犯打交道,他们的本性意味着他们可能不会信守诺言:即使他们拥有解密密钥,也不能保证你能得到。解密并不总是可能的:有受害者支付赎金,但加密文件仍然没有解锁的故事。例如,今年早些时候发现的一种针对Linux的勒索软件要求支付比特币,但没有在本地或通过命令与控制服务器存储加密密钥,支付赎金充其量是徒劳无功。你的智能手机上有勒索软件吗?绝对的。针对Android设备的勒索软件攻击大幅增加,因为网络犯罪分子意识到,许多人并不知道智能手机可能会受到攻击,内容(通常比我们保存在个人电脑上的内容更私人)会被恶意代码加密以换取赎金。因此,各种形式的Android勒索软件不断涌现,困扰着手机用户。事实上,任何联网设备都可能成为勒索软件的目标,已经有人看到勒索软件锁定了智能电视。研究人员演示了车载信息娱乐系统中的勒索软件勒索软件和物联网物联网设备在安全方面的口碑已经很差了。随着越来越多的联网设备进入市场,它们将为网络犯罪分子提供数十亿种新的攻击载体,可能让黑客劫持你的联网房屋或联网汽车作为人质。加密文件是一回事:但在智能冰箱或烤面包机上发现一封勒索信又如何呢?黑客甚至有可能感染医疗设备,将生命直接置于危险之中。2018年3月,IOActive的研究人员又迈出了一步,展示了商用机器人如何受到勒索软件攻击。为了让机器人恢复正常,研究人员除了让它口头索要报酬外,还让它发出威胁和咒骂。随着勒索软件的不断发展,因此至关重要的是,你的员工要了解它所构成的威胁,组织要尽一切可能避免感染,因为勒索软件可能会造成瘫痪,解密并不总是一种选择。发布于 2020-12-15 16:14恶意软件勒索病毒计算机病毒赞同添加评论分享喜欢收藏申请
什么是勒索软件?如何防御勒索软件? - 华为
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。
Cookies和隐私政策>
技术支持
运营商入口
公告
中文
English
首页
信息速查
IP知识百科
在线课堂
产品智能选型
首页
信息速查
产品智能选型
IP知识百科
中文
English
登录
提示
确定
取消
IP知识百科
IP知识百科
>
勒索软件
什么是勒索软件
勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件,以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。
目录
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
更多
收起
勒索软件的类型
根据勒索软件对受害者系统采取的措施,主要可以分为以下几类:
绑架用户数据使用加密算法(如AES、RSA等)将用户的文件进行加密,用户在没有秘钥的情况下无法操作自己的文件。用户可以访问设备,但是对设备内的数据无法操作。 典型勒索软件有:WannaCry、GlobeImposter、CryptoLocker,TeslaCrypt等。
锁定用户设备不加密用户的文件,但是通过修改一些配置或者系统文件,使得用户无法进入设备。 典型勒索软件有:NotPetya等。
锁定用户设备和绑架数据既加密用户文件,又锁住用户设备。是1和2的结合体。 典型勒索软件有:BadRabbit等。
勒索软件的入侵方式
勒索软件常用的入侵方式如图1所示。
勒索软件的入侵方式
网络共享文件一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。 此外,不法黑客还常会编造出“杀毒软件会产生误报,运行之前需要退出杀毒软件”之类的理由,诱骗受害者关闭杀毒软件后运行。 典型代表有:暂时主要为国产勒索类病毒通过外挂辅助,“绿色”软件类工具携带。
捆绑传播勒索软件与正常合法软件一起捆绑发布在各大下载网站或者论坛,当用户下载该软件后便会中招。
垃圾邮件这是勒索软件最为广泛的攻击方式。
利用社会工程学方法,发送假冒的电子邮件,将恶意脚本/程序掩盖为普通的文件,欺骗受害者下载、运行。
利用一些僵尸网络,更能增加欺骗的概率。如GameOverZeus僵尸网络,会使用MITB技术窃取银行凭证,通过该僵尸网络来分发钓鱼邮件,受害者非常容易相信。该僵尸网络被CrytoLocker等勒索软件利用来分发钓鱼邮件。
典型代表有:Locky、Cerber、GlobeImposter、CrytoLocker等。
水坑攻击勒索者利用有价值、有权威或访问量较大网站的缺陷植入恶意代码,当受害者访问该网址,或者下载相关文件时便会中招。 典型代表有:Cerber、GandCrab等。
软件供应链传播勒索软件制作者通过入侵软件开发、分发、升级服务等环节,在软件开发过程中,就会在产品组件中混入病毒,通过入侵、劫持软件下载站、升级服务器,当用户正常进行软件安装或升级服务时勒索病毒趁虚而入。这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽,危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。 典型代表有:Petya等。
暴力破解(定向攻击)针对服务器、个人用户或特定目标,通过使用弱口令、渗透、漏洞等方式获取相应权限。例如NotPetya会对口令进行暴力破解然后在局域网内传播。 典型代表有:NotPetya、Crysis、GlobeImposter等。
利用已知漏洞攻击利用系统或者第三方软件存在的漏洞实施攻击。例如WannaCry便利用了SMBV1的一组漏洞进行攻击和传播。 典型代表有:WannaCry、Satan等
利用高危端口攻击利用一些端口的业务机制,找到端口的漏洞,进行攻击。如WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。常见的高危端口有135、139、445、3389、5800/5900等。建议尽量关闭此类端口。 典型代表有:WannaCry等。
以上几种的组合联合攻击通常来说,勒索软件不会只采取一种方式来进行攻击和传播,通常会是几种的组合。
如何防御勒索软件
阻止勒索软件攻击最有效的办法是防止攻击进入组织内部。
主机侧防护
首先,推荐通过组织级的IT基础设施方案来统一设置主机。通过AD服务器的组策略、企业级杀毒软件的控制中心等,可以保证安全措施执行到位,而不必依赖员工个人的执行力。
其次是针对员工的信息安全教育。很多勒索软件使用电子邮件和社会工程手段,诱使员工下载恶意软件,或访问恶意网址。员工不为所动,就能避免激活携带的攻击媒介。通过信息安全宣传,培训员工养成良好的办公习惯,识别和防范典型的攻击手法,是避免勒索软件攻击的有效手段
以下列出了主要的主机侧防护措施,其中大部分可以通过IT基础设施方案来统一管理。对于没有完善IT系统的小微企业,可以把这些措施转化为信息安全教育的内容,指导员工自行配置。相关措施包括但不局限于:
开启系统防火墙,利用防火墙阻止特定端口的连接,或者禁用特定端口。
升级最新的杀毒软件,或者部署专杀工具。
更新补丁,修复勒索软件所利用的含漏洞软件。
各项登录、鉴权操作的用户名、密码复杂度要符合要求。
设置帐户锁定策略。
阻止宏自动运行,谨慎启用宏。
仅从指定位置下载软件。
不要打开来源不明邮件的附件和链接。
定期做好异地备份,这是系统被感染后数据尽快恢复的最好手段,以勒索软件的套路,即使交付赎金,也不一定保证本地数据会被解密。
在Windows文件夹中设置显示“文件扩展名”,可以更轻易地发现潜在的恶意文件。
详细的主机侧防护措施请参见勒索软件防护指南>主机侧防护。
网络侧防护
防御勒索软件攻击的关键在于预防,即在勒索软件进入组织并造成实质性损坏之前,拦截攻击。 最佳方法是设置以防火墙为基础的多层安全防御体系,避免攻击者突破一层防御之后长驱直入。严格的安全策略是最简单有效的防护手段;仅对外开放必需的服务,封堵高危端口,可以减小暴露面(攻击面)。阻断已知威胁,通常可以使攻击者放弃攻击,否则攻击者就需要创建新的勒索软件,或者利用新的漏洞,其成本必然增加。同时,启用文件过滤,可以限制高风险类型文件进入网络;利用URL过滤阻断恶意网站,可以避免用户无意中下载恶意软件。在安全性要求较高的网络中,还可以部署FireHunter沙箱、HiSec Insight、诱捕系统,全面感知安全态势。
针对勒索软件在网络侧的防护,华为通过如下分层防御体系进行防护:
通过在防护墙上部署严格的安全策略,限制用户对网络和应用的使用。
南北向安全策略:在网络边界处,设置严格的网络访问策略,仅对外开放必需的服务,且仅允许受信任IP地址/用户访问必要的服务。
东西向安全策略:把内部网络按照功能和风险等级划分到不同的安全区域,在不同功能网络间设置严格的安全策略。建议阻断高危端口(包括135、137、138、139、445、3389等)或限制可访问的用户,降低勒索软件横向扩散的可能性。在交换机和路由器等网络设备上,也可以利用流策略封堵高危端口。
通过IPS、AV、URL,发现和阻断已知威胁。
IPS入侵防御:在安全策略中引用IPS配置文件,确保如下暴力破解和漏洞利用签名的动作为阻断。如果签名的缺省动作不是阻断,可以设置例外签名,修改其动作为阻断。
AV反病毒:对于文件传输协议(HTTP、FTP)和共享协议(NFS、SMB),采用缺省动作。对于邮件协议,建议动作设置为宣告或删除附件。防火墙将在邮件中添加提示信息,提醒收件人附件中可能含有病毒。
URL过滤:推荐使用白名单机制,根据组织业务需求,圈定业务需求所需的网站类型。如果采用白名单机制有困难,则至少要阻断恶意网站、其他类。同时,启用恶意URL检测功能。
通过沙箱联动,发现未知威胁。防火墙将流量还原成文件,并将需要检测的文件发送到沙箱进行检测。防火墙定期到沙箱上查询检测结果,并根据检测结果更新设备缓存中的恶意文件和恶意URL列表。当具有相同特征的后续流量命中恶意文件或恶意URL列表时,防火墙将直接阻断。
通过HiSec Insight、诱捕,避免横向扩散。部署HiSec Insight和支持诱捕特性的交换机和防火墙。诱导勒索病毒入侵仿真业务并捕获其入侵行为,上报检测结果至HiSec Insight,HiSec Insight可全网下发策略阻断勒索病毒传播。诱捕系统有助于降低真实系统被攻击的概率,最大限度减少损失。
部署日志审计系统,用于调查取证和攻击溯源。日志审计系统可以集中存储和管理网络设备和服务器的日志信息,便于监控和事后分析。此外,攻击者还可能会加密或者删除主机日志,部署日志审计系统可以规避此问题。
关于详细的操作指导,请参见勒索软件防护指南>网络侧防护。
如何处置勒索软件
如果不幸被勒索,请按照如下建议处理。
不要急于为勒索软件支付赎金。支付赎金相当于鼓励网络犯罪,并且并不能保证能够恢复被加密的文件。
严格来说,加密型勒索软件不可破解。因勒索软件本身设计的问题,或者黑客组织公布了解密密钥(如Shade),存在一定的解密可能性。
如果被加密的数据相当重要或者极其敏感,且该勒索软件尚无解密方案,也请在确认网络犯罪分子确实可以解密后,再决定是否支付赎金。
常见的勒索软件处置建议,相关措施包括但不局限于:
隔离被勒索的设备拔掉网线或者修改网络连接设置,从网络中隔离所有被勒索的设备,防止勒索软件进一步传播,控制影响范围。同时排查受影响的主机数量,记录问题现象。 关闭其他未感染主机的高危端口。在局域网内其它未感染设备上,关闭常见的高危端口(包括135、139、445、3389等),或设置可访问此端口的用户/计算机。
清除勒索软件尝试使用杀毒软件扫描和清除勒索软件。请重启操作系统,进入安全模式,安装/杀毒软件并全盘扫描。 勒索软件搜索文件并加密需要一定的时间,及早清理勒索软件可以降低其危害程度,也能避免它重复锁定系统或加密文件。
解密保护现场。不要直接重新安装操作系统。如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。 访问“No More Ransom”网站,使用解码刑警(Crypto Sheriff)确定勒索软件的类型,并检查是否有可用的解密方案,有机会破解并恢复文件。
调查取证求助专业技术人员进行取证操作,以便分析勒索软件的攻击路径,对攻击路径进行溯源。 在操作系统的事件查看器中,查看安全日志,重点关注登录失败事件。在网络设备中查看安全日志、会话日志,重点关注暴力破解、SMB等重大漏洞攻击事件。 确定中毒原因,彻底修复系统中存在的安全问题,避免再次沦陷。
重装系统最后的最后,如果勒索软件无法移除、被加密数据不可恢复,请备份被加密数据(或许未来有恢复的可能),然后格式化硬盘驱动器,擦除所有数据(包括受感染的数据),重新安装操作系统和应用程序。
参考资源
1勒索软件防护指南
Your browser does not support the video tag.
相关词条
词条统计
作者:
金德胜
最近更新:
2022-12-26
浏览次数:
14931
平均得分:
页内导航
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
问卷调研
帮助中心
在线客服
分享链接
意见反馈
分享链接到:
意见反馈
关注我们
关于华为
华为公司简介
关于企业业务
查找中国办事处
新闻中心
市场活动
信任中心
如何购买
售前在线咨询
提交项目需求
查找经销商
向经销商询价
合作伙伴
成为合作伙伴
合作伙伴培训
合作伙伴政策
资源
华为“懂行”体验店
e直播
博客
资料中心
视频中心
电子期刊
成功案例
快速链接
互动社区
华为云
华为智能光伏
华为商城
华为招聘
版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号
隐私保护
|
法律声明
|
网站地图
|
勒索病毒 | 普通人“自救指南” - 知乎首发于灰产圈切换模式写文章登录/注册勒索病毒 | 普通人“自救指南”灰产圈山东道格拉斯网络科技有限公司 总经理近日,公安机关在“净网2020”专项行动中,成功侦破一起由公安部督办的特大制作、使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件。据官方消息,犯罪嫌疑人巨某是全国公安机关抓获的首名比特币勒索病毒的制作者。截止案发,巨某已先后向400多家网站和计算机系统植入敲诈勒索病毒,受害单位涉及医疗、金融等行业,非法获利的比特币折合人民币500余万元。勒索病毒就像是游走在互联网里的有害细胞,形式多变且难以捉摸。而它的蔓延,给企业和个人都带来了严重的安全威胁。所以,今天鹅师傅就来扒一扒关于勒索病毒的那些事以及普通人应该如何有效“自救”。1勒索病毒的发展史:由个人化演变为产业化黑产链1、原始期:大家知道最早的勒索病毒是什么时候出现的吗?其实早在1989年,第一个勒索病毒(AIDSTrojan,又名“艾滋病特洛伊木马”)就已经诞生了!这个木马会以“艾滋病信息引导盘”的形式进入系统,把系统文件替换成含病毒的文件,并在开机时开始计数,一旦系统启动达到90次,木马就会隐藏磁盘的目录,C盘全部文件也会被加密,从而导致系统无法启动。而这时,电脑屏幕就会弹出一个窗口要求用户邮寄189美元来解锁系统。2006年,我国首款勒索软件Redplus勒索木马出现。这个病毒并不会删除电脑里的文件,而是把它们转移到一个具有隐藏属性的文件夹里,然后弹出窗口要求用户将赎金汇到指定的银行账户,金额从70元至200元不等。这个时期的勒索病毒还处于萌芽阶段,传播途径主要通过钓鱼邮件,挂马,社交网络的方式。所谓的挂马就是用户在浏览有安全威胁的网站,系统会被植入木马感染勒索病毒。而钓鱼邮件这种传播方式算是病毒界比较老套路的传播方式了。攻击者会以广撒网的方式大量发送含有勒索病毒的文件,一旦收件人打开该文件或链接,勒索软件会以用户看不见的形式在后台静默安装,然后实施勒索。但由于过去技术有限,大多勒索病毒都存在着漏洞,很容易就会被识别破解,加上这阶段交付赎金的方式多数以邮寄现金和转账为主。而这种交付形式,真的很不适合勒索病毒,不管是邮寄的地址还是转账的账号,都很容易暴露黑客的行踪,为了几百块的勒索金就这样铤而走险就像玩过家家一样,特别不划算。2、成长期:2013年是勒索病毒发展的一个重要的“分水岭”。CryptoLocker病毒作为首个采用比特币作为勒索金支付手段的加密勒索软件出现了!(图片来源网络)这个时期的勒索病毒一般使用AES和RSA对特定文件类型进行加密,而这种加密算法就现在的计算技术来说,几乎是没办法破解的。那为什么黑客们会喜欢选择比特币呢?像比特币这样的虚拟货币可以完美地隐藏黑客的身份,完全匿名且不受各种金融限制,几乎很难从一个比特币账户追查到另一个。让整个交易过程难以被追踪。让被勒索者把钱放在公园第三个垃圾桶旁边,或者从过街天桥丢下这些熟悉的桥段,真的只会在电影里出现了,黑客们再也不用为因收钱而暴露的风险操心了······3、成熟期:2017年,一款名叫“WannaCry”的勒索病毒席卷了全球150多个国家。相信各位即使自己电脑没感染过这个病毒,也曾有所耳闻。那为什么“WannaCry”的传染力如此之强呢?主要是因为一个叫 “The Shadow Brokers” 的黑客组织把它的病毒攻击工具和用于加密的密码公布到了网上。换句话说,无论是谁都可以下载下来并进行远程攻击利用。而这一思路恰恰为黑产分子打开了“新世界”的大门!在这个阶段,勒索病毒逐渐演变成了产业化模式,并形成了一条完整的黑产产业链。从勒索病毒作者、勒索实施者、传播渠道商、代理等等,各环节分工明细。而攻击的对象不再仅限于个人,更多的是针对企业,尤其是中大型企业,让企业核心业务网络陷入瘫痪,而不得不缴纳巨额的赎金。收到赎金的黑客们会将钱分批转给病毒制作者和各渠道的合作商。当然啦,这些钱的大部分都落入了勒索者和组织运营的平台,其他环节虽然分成不多,但“薄利多销”,总数还是很可观的。(勒索病毒演变历程)勒索病毒演变到今天,已经不再是单纯的个人行为,而已经形成小具规模的成熟产业链。2勒索病毒究竟是个什么东西?勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。就像我们人体会通过喷嚏、咳嗽、说话感染到病毒那样,电脑也会通过系统漏洞或网络钓鱼等方式感染到勒索病毒。目前大部分勒索病毒所用到的加密方式就是非对称加密算法或者对称与非对称混合加密。什么是对称加密算法?什么是非对称加密算法?对称加密算法(如:AES),就是使用相同的密钥进行加密和解密。而非对称加密算法(如:RSA),加密和解密使用的是不同的密钥。使用非对称加密算法,会同时产生一对密钥,一把是公钥,一把是私钥。非对称加密常见的用法有两种:一是公钥加密,私钥解密;另外一种就是私钥加密,公钥解密。两种方式,应用场景各有不同。鹅师傅举个例子说明:隔壁的女神如花准备用“情书招亲”的方式挑选夫婿,广邀村里的有志青年前来大展身手。她在家门口设置了一个信箱,该信箱由“情书投递”和“结果公布”两部分组成。前来应聘的青年可直接将写好的情书放进“情书投递”处,但打开“情书投递”处取出里面的情书需要密码,该密码只有如花一人有,以确保所有的情书内容只有如花一人知道,避免相互抄袭,确保公平竞争。此处的信箱就相当于公钥,是公开的,谁都可以往里放信件,相当于谁都可以用公钥来加密。但打开信箱的密码只有如花自己有,相当于解密的私匙,由加密者自己持有。这是公钥加密,私钥解密的应用场景。两天后,如花已挑中如意郎君张三,准备公布结果,他把张三的名字写在纸上放进“结果公布”信箱,往该信箱里投递需要密码。该密码同样只有如花一人有,避免街对面的东施嫉妒使坏,将奇丑无比的李四放进邮箱内,让如花错嫁李四。但从该信箱里取出邮件却不需要密码,直接倒出来即可,该方法如花已事先告诉了所有人,众人用该方法顺利取出了招亲结果。此处投信的密码相当于私钥,而取信的方法相当于公钥,用私钥加密的目的是为了确保该结果确实是如花发布的,实际上是进行签名,而不是为了加密。这是私钥加密,公钥解密的应用场景。3勒索病毒都是怎么来进行加密的?首先病毒制作者A基于RSA或椭圆曲线的原理,在自己电脑上生成私钥A和公钥A;然后在目标电脑B(也就是被植入了勒索病毒的电脑)上随机生成私钥B和公钥B;接着用公钥B把目标电脑B的文件进行加密,同时用公钥A加密私钥B;最后删除目标电脑B上的私钥B、公钥A以及数据。等被勒索的用户B支付完赎金后,病毒制作者可以通过自己手上的私钥A解出私钥B,再用私钥B来解密用户的数据。中了勒索病毒就像有人用一个非常非常复杂的锁,把你的房子锁上了。能解开这个锁的钥匙掌握在上锁的黑客手里,你是没有的,而且以你现在的开锁技术,也没办法在零损失的前提下强行把这个锁破开。既然你无法打开这把“锁”,那有没有其他专业的“开锁匠”能解开呢?我们又如何发现自己“房子”被上的是哪一类“锁”?首先,我们可以通过下面3种情况来判断自己的电脑是否中了勒索病毒:①服务器、数据库无法正常运作,比如服务器无法登录;②访问服务器、数据库出现勒索提示信息,比如连接服务器或数据库时出现索要赎金信息;③电脑文件名被修改,添加后缀名,比如在文件名后添加随机字符。如果确定自己电脑中了勒索病毒,那么根据被加密文件的后缀名和勒索信息,我们就可以在网络上搜索到自己中的是哪一种病毒。但目前来说,大部分的勒索病毒基本是无解的,有两种情况:1、主要针对数据库服务的勒索病毒,这种非加密方式,它会删除数据,然后插入条含有勒索信息的记录。这种叫做欺骗式勒索。也就是说,即使你按黑客要求交了赎金,你的数据会瞬间被删除,再也没办法恢复了。因为这类勒索病毒都是批量入侵的,如果把成千上万入侵的数据都打包备份存储好,他们就得需要庞大的服务器来支撑,这对攻击成本来说,是大大的不利。2、另外一种是真的把文件加密的形式,Wecanhelp就归属这种了,这种勒索病毒从加密原理来看,没有私钥的情况下基本是无解。那么有没有可以破解的情况呢?也是有的!1、勒索病毒作者主动公开私钥,比如著名勒索病毒Petya作者可能是为了跟横扫欧洲的变种Petrwrap划清关系(该变种影响严重,可能是怕被牵连)公开了私钥;2、勒索病毒自身存在漏洞被破解的情况,比如说Gryphon就是由于加密算法存在漏洞而被暴力破解;3、另外网上也有各种可以解密的方法。有的只是放出来骗人的方法;有的虽然能解密,但只能恢复部分数据。如果非要寻求网上的解密方式,鹅师傅建议大家选择安全厂商提供发布的工具,这样可信度会更高。4应对勒索病毒百宝箱,需要可收藏识别类工具这类工具主要用于识别和检索各类已知的病毒。1、腾讯勒索病毒搜索引擎:https://guanjia.qq.com/pr/ls/2、VenusEye勒索病毒搜索引擎:https://lesuo.venuseye.com.cn/3、奇安信勒索病毒搜索引擎:https://lesuobingdu.qianxin.com/4、深信服勒索病毒搜索引擎:https://edr.sangfor.com.cn/#/information/ransom_search解密类工具这类工具主要是提供一些根据已知的病毒制作的杀毒、解密、备份等软件。1、腾讯哈勃勒索软件专杀工具:https://habo.qq.com/tool/index2、火绒勒索病毒解密工具集合:http://bbs.huorong.cn/thread-65355-1-1.html3、瑞星解密工具下载:http://it.rising.com.cn/fanglesuo/index.html4、nomoreransom勒索软件解密工具集:https://www.nomoreransom.org/zh/index.html5、卡巴斯基免费勒索解密器:https://noransom.kaspersky.com/5自救指南:勒索病毒当真防不胜防吗?以前我们总抱有侥幸心理,觉得自己电脑的资料不重要,不值得黑客一窃。但随着勒索病毒的黑产兴起,传播范围的不断扩大,只要你身处互联网中就很难做到独善其身。对于企业来说,网络安全防护是日常必不可少的重要一环。但对个人来说,自我的防护措施就可以忽略了吗?答案肯定是不行的。鹅师傅强烈建议,日常多读一读勒索病毒自救指南:1、目前网络上的杀毒和解密工具仅仅针对已知的病毒,所以必须提高自身的安全意识,事前防御更为重要!2、坚持三不三要原则:不上钩、不打开、不点击,要备份、要确认、要更新。3、尽量不要安装盗版软件!盗版软件很容易给黑客分子悄悄“开后门”,所以一定要安装和使用可信来源的应用服务,并及时修复操作系统和应用服务的漏洞。4、根据鹅师傅上面介绍的病毒识别方法和解密方法尝试自我恢复和解密数据,而且事后必须更要重视电脑日常的安全加固,多检测,多杀毒,多备份。5、当然,最重要的,赶紧报警寻求警察的帮助啦!发布于 2020-10-17 14:34勒索病毒黑色产业链勒索者病毒赞同 8添加评论分享喜欢收藏申请转载文章被以下专栏收录灰产圈互联网黑灰产业链研究第一媒体 | 官方公号:
一文读懂勒索攻击:特征、趋势与挑战_腾讯新闻
一文读懂勒索攻击:特征、趋势与挑战
作者
翟尤腾讯研究院产业安全中心主任、高级研究员
1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害,也不够专业,但勒索病毒发起的对经济社会的攻击,在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。
勒索攻击从恶作剧向
专业组织化网络攻击演变
勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。如果没有房间的钥匙,我们依然拿不到保险箱里的钱。勒索攻击发展历程并不长,在30多年的发展过程中,主要经历三个阶段:1989至2009年是勒索攻击的萌芽期,在这20年中,勒索攻击处于起步阶段,勒索攻击软件数量增长较为缓慢,且攻击力度小、危害程度低。2006年我国首次出现勒索攻击软件。2010年以后,勒索软件进入活跃期,几乎每年都有变种出现,其攻击范围不断扩大、攻击手段持续翻新。2013年以来,越来越多的攻击者要求以比特币形式支付赎金;2014年出现了第一个真正意义上针对Android平台的勒索攻击软件,标志着攻击者的注意力开始向移动互联网和智能终端转移。勒索攻击在2015年后进入高发期,2017年WannaCry勒索攻击在全球范围内大规模爆发,至少150个国家、30万名用户受害,共计造成超过80亿美元的损失,至此勒索攻击正式走入大众视野并引发全球关注。
勒索攻击典型特征与案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金(相当于440万美元)。勒索攻击已经成为未来一段时期网络安全的主要威胁。总的来看,勒索攻击有4个显著特征:
(一) 隐蔽性强且危害显著
勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。隐蔽性是勒索攻击的典型攻击策略。在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击;在上线选择上,宁可放弃大量的机会也不愿在非安全环境上线;在编码上,高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。此外,攻击者往往在发动正式攻击之前就已控制代码仓库,间隔几个月甚至更长时间才引入第一个恶意软件版本,其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。
调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅可以将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除,为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二) 变异较快且易传播
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。2016年勒索软件变种数量达247个,而2015年全年只有29个,其变体数量比上一年同期增长了752%。变体的增多除了依赖先进网络技术飞速发展以外,还与网络攻击者“反侦查”意识的增强相关。很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。
(三) 攻击路径多样化
近年来越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。以工业控制系统为例,由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着开放性日益增加,设备中普遍存在的高危漏洞给了勒索攻击以可乘之机,一旦侵入成功即可造成多达数十亿台设备的集体沦陷。随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。为了成功绕过外部安装的防火墙等安全设施,不少勒索攻击诱导企业内部员工泄露敏感信息。除了针对运营管理中存在的薄弱环节,勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透,一旦发现系统已有漏洞则立即感染侵入。
(四) 攻击目标多元化
一方面是从电脑端到移动端。勒索病毒大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。但随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室检测发现,2019年针对移动设备用户个人数据的攻击达67500个,相比2018年增长了50%。同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包,近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。
另一方面是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例,但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。比如在今年7月16日发生的国家级勒索事件中,厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击,致使其业务运营、支付门户及客户支持全部陷入瘫痪,犯罪团伙声称已经取得190GB的数据,并在隐藏的数据泄露页面上分享了部分文档截图。
随着AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,勒索攻击呈现出持续高发态势,全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。据《2020年我国互联网网络安全态势综述》统计,2020年我国全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。据Cybersecurity Adventure统计,2021年全球勒索软件破坏成本预计将达到200亿美元,高于2015年3.25亿美元的61倍。
勒索攻击7大趋势特点
(一) 影响社会正常运转且难解密
勒索攻击对社会正常运转带来较大挑战。在民生方面,大型企业遭到勒索攻击严重影响民众正常生活。2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨,使得本就受到疫情冲击的全球食品供应链雪上加霜。在医疗卫生方面,勒索攻击不但造成巨额经济损失,同时也威胁到病人生命安全。2020年9月,德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击,一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。这是公开报道的第一起因勒索攻击导致人死亡的事件。国内也出现过类似的勒索攻击事件,如某建筑设计院遭遇勒索病毒攻击,数千台电脑文件被加密,工程图纸无法访问,损失惨重。
勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密。业内专家普遍认为遭受勒索攻击之后,没有“特效药”。受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。即使一些勒索攻击采用的加密算法是公开的,但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密,因为暴力解密往往需要上百年的时间。
(二) 勒索攻击SaaS化
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务成为当前网络攻击的新模式。勒索软件黑色产业层级分明,全链条协作,开发者只管更新病毒,拓展传播渠道大肆释放勒索病毒,各级分销参与者点击鼠标就能从中瓜分利润。这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。例如,依靠这种黑产模式,某勒索攻击软件仅用一年多时间就敛财20亿美元。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。这些解决方案具有“开箱即用”的便捷性,犯罪分子获得勒索病毒后,可以通过多种渠道进行传播并获利,攻击模式更为便捷。此外,攻击者往往并不需要任何编程技术就可以开展违法犯罪活动,理论上任何人只要支付少量费用就可以通过这类服务开展勒索攻击,导致网络攻击的门槛大幅降低。
(三) 加密货币普及助推赎金额度快速增长
勒索病毒的制造者对赎金的要求越来越高。2017年在全球140多个国家和地区迅速蔓延的WannaCry勒索病毒赎金仅为300美元,4年后勒索病毒要求企业支付的赎金则大多在上百万美元, Sodinokibi勒索病毒在2019年前后出现在中国时,索要金额仅7000元人民币,到了2020年,该团伙的勒索金额已动辄千万美元以上。例如2020年3月,计算机巨头宏碁公司被要求支付5000万美元赎金;2020年11月,富士康墨西哥工厂被要求支付超过3400万美元赎金。
高额赎金不仅让犯罪分子赚得盆满钵满,同时可以借此招揽更多人铤而走险加入勒索攻击行列。加密货币近年来成为社会关注的焦点,尤其是加密货币的匿名化导致监管部门很难对其进行管理。犯罪分子利用加密货币这一特点,有效隐匿其犯罪行径,导致网络攻击门槛降低、变现迅速、追踪困难,一定程度上成为网络犯罪快速增长的“助推剂”。
(四) 大型企业和基础设施成为攻击重点
传统勒索病毒攻击者使用广撒网、误打误撞的手法,这种无差别攻击很难预测受害者是谁,哪些受害者有价值。同时,普通用户的数据价值相对不高,且缴纳赎金的意愿并不强烈。近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋APT化。所谓APT化,即攻击不计成本、不择手段,从低权限帐号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。此外,勒索攻击APT化还意味着攻击者入侵后会首先窃取该企业的核心数据,即使企业使用备份恢复系统,核心机密泄露也会导致极其严重的损失。波音公司、台积电、富士康、全球最大的助听器制造商Demant、法国最大商业电视台M6 Group都曾成为被攻击对象。BlackFog研究发现,2020年勒索攻击主要针对政府部门、制造业、教育和医疗保健等行业。
同时,攻击者开始针对特定企业有针对性地制定攻击策略,哪些企业掌握大量有价值的数据,哪些企业就越容易遭到攻击。针对目标企业,攻击者手法更加多样化、对高价值目标的攻击进行“量身定做”,形成一整套攻击“组合拳”。对于大型企业来讲,网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。许多企业为了避免业务被中断,往往选择支付巨额赎金。
(五) “双重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,这种新模式也被称为“双重勒索”。这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大,诱使勒索攻击者发动更多攻击,而且极易引发大规模的行业内部数据泄露事件,使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。
据不完全统计,自2019年11月首次公开报道勒索病毒窃取数据的事件以来,不到一年时间里,有超过20个流行勒索病毒团伙加入到数据窃取的行列中。以Maze(迷宫)勒索攻击为例,它不仅最先开始系统性地窃取数据,还以泄露数据相逼要挟用户缴纳赎金。越来越多的勒索事件表明,“双重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六) 供应链成为勒索攻击的重要切入点
供应链攻击作为一种新型攻击手段,凭借自身难发现、易传播、低成本、高效率等特点成功跻身最具影响力的高级威胁之列。供应链攻击一般利用产品软件官网或软件包存储库等进行传播,网络攻击一旦成功攻陷上游开发环节的服务器,便会引发连锁效应,波及处于供应链中下游的大量企业、政府机构、组织等。由于被攻击的应用软件仍然来自受信任的分发渠道,恶意程序将随着软件的下载安装流程悄无声息地入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度。
近年来供应链攻击备受关注。2017年6月一家不知名的乌克兰软件公司遭受勒索攻击,勒索病毒通过软件公司服务器传播到数家全世界最大的企业之中,令其运营陷入瘫痪,造成全球范围内约100亿美元的损失。2021年7月,美国软件开发商Kaseya遭勒索攻击,网络攻击团伙索要高达7000万美元的赎金,有评论称此次事件可能成为2021年影响最大的供应链攻击事件。
(七) 引发网络保险行业的恶性循环
美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告指出,估计每年全球网络攻击所带来的损失将达9450亿美元,再加上约1450亿美元的网络防护支出费用,总经济成本将超过1万亿美元。高额的网络攻击成本催生了对网络风险保险的庞大需求市场,根据预测,到2025年网络风险保险费用将从2016年的32.5亿美元上升到200亿美元。伦敦再保险经纪商Willis Re透露,今年7月保单更新季,网络安全相关保险费率将迎来40%的大幅增长。
然而网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险覆盖范围,法国正在考虑强制所有网络保险商停止报销赎金支出,以切断网络犯罪这一有利可图的途径。
提高预防意识并
构建前置安全是关键
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性,并不建议将防治重点放在遭受攻击后的解密环节,而应该着重做好预防工作,不给勒索病毒以可乘之机。
从个人用户来讲,增强员工安全意识与加强数据备份同等重要:一方面要增强安全意识。对于可疑的邮件尤其是附带的网址不建议随意点开,同时系统提示的安装补丁或者软件病毒库要保持及时更新。另一方面,对于使用了非对称加密算法加密的文件,目前尚未找到有效的破解方法,一旦计算机遭到此类新型勒索病毒的攻击只能束手待毙,因而必须在平日里就做好重要数据的备份工作,且最好使用本地磁盘和云服务器双备份的策略。
从企业用户来讲,解决勒索攻击的核心是构建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成为企业必选项。企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。被动防御性的安全思路难以应对多样化、动态化的网络攻击。因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险,另一方面要对安全专家或人才能力量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署。
2.构建云上安全提升安全防御能力。产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成为勒索攻击有效解决途径。零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查。攻击者使用窃取到的账号信息登录VPN或其他内部业务平台时,由于零信任采用多因子用户验证(即只有账号密码还不够,需要配合短信验证码、token、人脸识别等),即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。零信任体系还能有效阻止黑客入侵后在内网扩散。攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统渗透时,零信任的安全机制可以及时检测到风险,从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果。
4. 打好保障供应链安全的“组合拳”。一方面,须加强代码审计与安全检查。机构组织可向供应商索要清单,列明其使用的所有代码组件,以识别与开源组件漏洞有关的潜在风险。此外还可以考虑在实施代码前,增加额外的自动化或手工检查,并利用第三方工具对软件及相关产品源代码进行详细的安全分析。另一方面,加快推动建立零信任架构等安全防护机制。供应链攻击暴露出网络安全架构最大的缺陷就是过于信任。而零信任架构意味着每个试图访问网络资源的人都要进行验证,其访问控制不仅能应用于用户,也适用于服务器设备与各类应用,以防止第三方供应商获得不必要的特权,从而降低恶意软件的渗透风险。
近期全球典型勒索攻击汇总表
数据来源:公开信息整理
参考文献:
[1]张晓玉,陈河.从SolarWinds事件看软件供应链攻击的特点及影响[J].网信军民融合,2021(04):37-40.
[2].瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102-109.
[3]李江宁,覃汐赫.工业领域的勒索攻击态势与应对思路[J].自动化博览,2021,38(01):86-90.
[4]张宝移.计算机勒索病毒及防治策略分析[J].技术与市场,2020,27(10):109-110.
[5]高红静.近年勒索软件威胁分析及防范策略综述[J].保密科学技术,2018(12):21-28.
[6]李易尚.勒索软件:过去、现在和未来[J].北京警察学院学报,2017(06):99-104.
[7]李建平.供应链安全:防不胜防的软肋[J].保密工作,2021,(04):58-59.
[8]嵇绍国.2020年勒索软件攻击情况及趋势预测[J].保密科学技术,2020(12):33-43.
[9]2021上半年勒索病毒趋势报告及防护方案建议,南方都市报,2021-5-10
[10] 门嘉平.勒索病毒防治策略浅析[J].网络安全技术与应用,2020(06):23-24.
[11]吴崇斌,成星恺.勒索软件发展现状及应对[J].通讯世界,2019,26(08):111-112.
[12].盘点2019年勒索病毒灾难事件[J].电脑知识与技术(经验技巧),2019(12):88-90.
打击勒索攻击,
扫码参与H5小游戏
测试你是哪种类型的极客?
/往期文章
你“在看”我吗?
什么是勒索软件?| IBM
什么是勒索软件?
勒索软件攻击通过劫持受害者的数据和设备,要求其支付赎金。了解勒索软件如何演变以及组织如何防御勒索软件。
获取勒索软件权威指南
探索 IBM Security QRadar
什么是勒索软件?
勒索软件是一种恶意软件,它会锁定受害者的数据或设备,并威胁受害者,使其保持锁定状态(或更糟糕的状态),并要求受害者向攻击者支付赎金。根据 IBM Security X-Force Threat Intelligence Index 2023,勒索软件攻击占 2022 年网络攻击总数的 17%。
最早的勒索软件攻击只是要求通过支付赎金换取重新访问受影响数据或使用受感染设备所需的加密密钥。通过定期或连续进行数据备份,组织可以限制此类勒索软件攻击的成本,并且通常可以避免支付赎金要求的情况。
但近年来,勒索软件攻击已经演变为包括双重勒索和三重勒索攻击,这使受害者面临的风险大幅增加 — 即使对于严格维护数据备份或支付初始赎金要求的受害者也是如此。双重勒索攻击增加了受害者面临数据被窃取并将其泄露到网上的威胁;除此之外,三重勒索攻击还威胁受害者要使用窃取的数据来攻击受害者的客户或业务合作伙伴。
2023 X-Force Threat Intelligence Index 发现,从 2021 年到 2022 年,勒索软件在所有网络安全事件中所占的比例下降了 4%,其中的原因可能是防御者能够更成功地检测和阻止勒索软件攻击。但这一积极的发现因平均攻击时间大幅缩短 94%(从 2 个月减少到不到 4 天)而黯然失色,组织几乎没有时间检测和阻止潜在攻击。
勒索软件受害者和谈判者不愿透露赎金金额。然而,根据 勒索软件权威指南,赎金要求已增至七位数和八位数金额。赎金只是勒索软件感染总成本的一部分。根据 IBM 的《2022 年数据泄露成本报告》,勒索软件攻击造成的数据泄露的平均成本(不包括赎金)为 454 万美元。预计到 2023 年,勒索软件攻击将给受害者造成总体约 300 亿美元的损失。
勒索软件的类型
勒索软件有两种常见类型。最常见的类型称为加密型 (Encrypt) 勒索软件或加密 (Crypto) 勒索软件,这类勒索软件通过加密来劫持受害者的数据。然后,攻击者向受害者索要赎金,以换取提供解密数据所需的加密密钥。
另一种不太常见的勒索软件称为非加密勒索软件或锁屏勒索软件,这类勒索软件通常通过阻止受害者访问操作系统来锁定受害者的整个设备。受影响设备不会像往常一样启动,而是显示一个提供赎金要求的屏幕。
这两种类型可以进一步分为以下子类别:
泄漏软件(或称 Doxware)是指窃取或泄露敏感数据并威胁受害者要发布相关数据的勒索软件。虽然早期形式的泄漏软件(或称 Doxware)经常在不加密的情况下窃取数据,但当今的变体通常在加密/不加密的情况下均会窃取数据。
移动勒索软件包括影响移动设备的所有勒索软件。移动勒索软件通过恶意应用程序或路过式下载传播,它通常是非加密勒索软件,因为许多移动设备上标配的自动云数据备份可以轻松逆转加密攻击。
如果不支付赎金,擦除式/破坏性勒索软件就会威胁破坏数据,即使支付了赎金,勒索软件也会破坏数据的情况除外。后一种类型的擦除式勒索软件通常疑似是由国家/政府攻击主体或黑客行动主义者而非普通网络罪犯部署的。
假冒安全软件,顾名思义,是指试图通过恐吓用户使其支付赎金的勒索软件。假冒安全软件可能冒充来自执法部门的信息,指控受害者犯罪并要求受害者缴纳罚款;它可能会假装合法的病毒感染警报,鼓励受害者购买防病毒软件或反恶意软件。有时,假冒安全软件是勒索软件,它会加密数据或锁定设备。在其他情况下,它是勒索软件感染媒介,不加密任何内容,只是强迫受害者下载勒索软件。
注册获取 2023 年勒索软件权威指南
勒索软件如何感染系统或设备
勒索软件攻击可以使用多种方法或媒介来感染网络或设备。其中一些最重要的勒索软件感染媒介包括:
网络钓鱼电子邮件和其他社会工程攻击:网络钓鱼电子邮件操纵用户下载并运行恶意附件(其中包含伪装成看似无害的 .pdf、Microsoft Word 文档或其他文件的勒索软件),或访问通过用户的 Web 浏览器传播勒索软件的恶意网站。在 IBM 的 2021 年网络弹性组织调研报告中,在调查参与者报告的所有勒索软件攻击中,网络钓鱼和其他社会工程策略导致的攻击占 45%,使其成为所有勒索软件攻击媒介中最常见的媒介。
操作系统和软件漏洞:网络罪犯经常利用现有漏洞向设备或网络插入恶意代码。零日漏洞是安全社区未知或已识别但尚未修补的漏洞,构成了特殊的威胁。一些勒索软件团伙从其他黑客那里购买有关零日缺陷的信息,用来制定攻击计划。黑客还有效地利用已修补的漏洞作为攻击媒介,如以下讨论的 2017 年 WannaCry 攻击所示。
凭证盗用:网络罪犯可能会窃取授权用户的凭证,在暗网上购买凭证或通过暴力进行破解。然后,他们可以使用这些凭证登录网络或计算机并直接部署勒索软件。远程桌面协议 (RDP) 是 Microsoft 开发的一款专有协议,旨在允许用户远程访问计算机,它是勒索软件攻击者中常见的凭证盗用目标。
其他恶意软件:黑客经常使用为其他攻击开发的恶意软件向设备发送勒索软件。例如,Trickbot 木马最初是为了窃取银行凭证而设计的,后来在 2021 年用于传播 Conti 勒索软件变体。
路过式下载:黑客可以在用户不知情的情况下利用网站将勒索软件传播到设备。漏洞工具包使用遭破坏的网站来扫描访问者的浏览器,查找可用于将勒索软件插入设备的 Web 应用程序漏洞。恶意广告(已遭黑客破坏的合法数字广告)可以将勒索软件传播到设备,即使用户没有单击广告也会执行此操作。
网络罪犯不一定需要开发自己的勒索软件来利用这些媒介。一些勒索软件开发人员通过勒索软件即服务 (RaaS) 约定与网络罪犯共享其恶意软件代码。网络罪犯(或“关联公司”)使用该代码进行攻击,然后与开发人员分享赎金。这是一种互惠互利的关系:关联公司可以从勒索中获利,而无需开发自己的恶意软件,开发人员可以在不发起额外网络攻击的情况下增加利润。
勒索软件分销商可以通过数字市场销售勒索软件,或直接通过在线论坛或类似途径招募关联公司。大型勒索软件组织已投入大量资金来吸引关联公司。例如,REvil 集团在 2020 年 10 月的招聘活动中花费了 100 万美元。
勒索软件攻击的不同阶段
勒索软件攻击通常会经历以下阶段。
第一阶段:初始访问
勒索软件攻击最常见的访问媒介仍然是网络钓鱼和漏洞利用。
第二阶段:后渗透
根据初始访问媒介,第二阶段可能会在建立交互式访问之前插入中介远程访问工具 (RAT) 或恶意软件。
第 3 阶段:了解和扩展
在攻击的第三阶段,攻击者的重点是了解他们当前可以访问的本地系统和域,以及获得其他系统和域的访问权限(称为横向移动)。
第 4 阶段:数据收集和渗漏
在此阶段,勒索软件运营商将重点转移到识别有价值的数据并进行渗漏(窃取),通常所用方式是自己下载或导出副本。虽然攻击者可能会渗漏他们可以访问的任何和所有数据,但他们通常会关注特别有价值的数据(登录凭证、客户的个人信息、知识产权),这些数据可用于双重勒索。
第 5 阶段:部署和发送通知
加密勒索软件开始识别和加密文件。一些加密勒索软件还会禁用系统恢复功能,或者删除或加密受害者计算机或网络上的备份,以增加为获取解密密钥而支付赎金的压力。非加密勒索软件会锁定设备屏幕、用弹出窗口侵入设备或以其他方式阻止受害者使用设备。
一旦攻击者加密文件和/或禁用设备,勒索软件通常会通过存放在计算机桌面上的 .txt文件或通过弹出通知存放向受害者发出感染警报。勒索通知包含如何支付赎金的说明,通常以加密货币或类似的无法追踪的方式支付,以换取解密密钥或恢复标准操作。
值得注意的勒索软件变体
自 2020 年以来,网络安全研究人员已识别出超过 130 个不同的、活跃的勒索软件系列或变体,即具有自己的代码签名和功能的独特勒索软件变体。
在多年来传播的众多勒索软件变体中,有几种变体因其破坏程度、对勒索软件发展产生的影响或它们至今仍然构成的威胁而值得人们注意。
CryptoLocker
CryptoLocker 于 2013 年 9 月首次出现,被广泛认为开启了现代勒索软件时代。CryptoLocker 通过僵尸网络(被劫持的计算机网络)进行传播,是最早对用户文件进行强加密的勒索软件系列之一。在国际执法部门于 2014 年将其销毁之前,通过该勒索软件获得的赎金约 300 万美元。CryptoLocker 的成功催生了众多模仿者,并为 WannaCry、Ryuk 和 Petya(如下所述)等变体的出现奠定了基础。
WannaCry
WannaCry 是第一个引人注目的加密蠕虫病毒,即一种可以传播到网络上其他设备的勒索软件,它攻击了超过 200,000 台计算机(分布在 150 个国家/地区),而这些计算机的管理员未能及时修补 EternalBlue Microsoft Windows 漏洞。除了加密敏感数据外,WannaCry 勒索软件还威胁受害者:如果 7 天内未收到赎金,就会擦除文件。它仍然是迄今为止最大的勒索软件攻击之一,估计损失高达 40 亿美元。
Petya 和 NotPetya
与其他加密勒索软件不同,Petya 会加密文件系统表而不是单个文件,导致受感染的计算机无法启动 Windows。2017 年,经过大幅修改的版本 NotPetya 用于实施大规模网络攻击,主要针对的是乌克兰。NotPetya 是一个即使在支付赎金后也无法解锁系统的擦除恶意软件。
Ryuk
Ryuk 首次出现于 2018 年,常见的是针对特定高价值目标的“大型勒索软件”攻击,其平均赎金要求超过 100 万美元。Ryuk 可以找到和禁用备份文件和系统恢复功能;2021 年发现了一种具有加密蠕虫病毒能力的新变体。
DarkSide
DarkSide 是由一个疑似在俄罗斯境外运营的组织运行的勒索软件变体,它于 2021 年 5 月 7 日攻击了美国的输油管道运营商 Colonial Pipeline,这起案件被视为迄今为止针对美国关键基础设施实施的最严重的网络攻击。因此,为美国东海岸供应 45% 燃料的输油管道不得不暂时关闭。除了发起直接攻击外,DarkSide 组织还通过 RaaS 约定将其勒索软件授权给关联公司。
Locky
Locky 是一种加密勒索软件,具有独特的感染方法:它使用隐藏在电子邮件附件(Microsoft Word 文件)中的宏伪装成合法发票。当用户下载并打开 Microsoft Word 文档时,恶意宏会秘密地将勒索软件有效内容下载到用户的设备上。
REvil/Sodinokibi
REvil 也称为 Sodin 或 Sodinokibi,该团伙帮助普及了 RaaS 勒索软件分发方法。REvil 以追寻大目标和双重勒索攻击而闻名,它是 2021 年针对著名 JBS USA 和 Kaseya Limited 发起攻击的幕后黑手。在整个美国牛肉加工业务中断后,JBS 支付了 1100 万美元的赎金,而Kaseya 超过 1,000 个软件客户受到了严重停机的影响。俄罗斯联邦安全局报告称,其已于 2022 年初解散 REvil 并对其几名成员提出指控。
赎金
直到 2022 年,大多数勒索软件受害者都满足了攻击者的赎金要求。例如,在 IBM 的2021 年网络弹性组织调研报告中,在进行该调研的两年内,经历过勒索软件攻击的参与公司中有 61% 表示他们支付了赎金。
但最近的报告表明,从 2022 年起,这种情况发生了变化。网络勒索事件响应公司 Coveware 发布的调查结果显示,2022 年勒索软件受害者中只有 41% 支付了赎金,而 2021 年为 51%,2020 年为 70%。区块链数据平台提供商 Chainanalysis 报告称,勒索软件攻击者在 2022 年向受害者勒索的资金比 2021 年减少近 40%(ibm.com 外部链接)。专家指出,提升网络犯罪应对准备(包括数据备份)以及增加对威胁预防和检测技术的投资是出现这一逆转背后的潜在推动因素。
执法部门指导
美国联邦各执法机构一致劝阻勒索软件受害者支付赎金要求。根据国家网络调查联合特遣部队 (NCIJTF)(该联合部队由 20 个负责调查网络威胁的美国联邦机构组成)的说法:
“FBI 不鼓励向犯罪分子支付赎金。支付赎金可能会鼓励对手向其他组织发动攻击,鼓励其他犯罪分子参与勒索软件的分发和/或资助非法活动。支付赎金也不能保证受害者的文件能够恢复。”
执法机构建议勒索软件受害者在支付赎金之前向相应机构举报攻击行为,例如向 FBI 的互联网犯罪投诉中心 (IC3) 举报。无论是否支付赎金,一些勒索软件攻击的受害者都可能应法律要求举报勒索软件感染事件。例如,HIPAA 合规部门通常要求卫生保健实体向美国卫生与公众服务部举报任何数据泄露事件,包括勒索软件攻击。
在某些情况下,支付赎金可能是非法行为。根据美国财政部外国资产控制办公室 (OFAC) 2020 年的一份咨询报告,向来自受美国经济制裁的国家/地区(例如俄罗斯、朝鲜或伊朗)的攻击者支付赎金将违反 OFAC 法规,并可能导致民事处罚、罚款或刑事指控。
勒索软件保护和响应
为了防御勒索软件威胁,CISA、NCIJFT 和美国特勤局等联邦机构建议组织采取某些预防措施,例如:
维护敏感数据和系统映像的备份,最好保存在硬盘驱动器或其他可以与网络断开连接的设备上。
定期应用补丁,以帮助阻止利用软件和操作系统漏洞的勒索软件攻击。
更新网络安全工具,包括反恶意软件和防病毒软件、防火墙、网络监控工具和安全 Web 网关以及企业网络安全解决方案(如安全编排、自动化和响应 (SOAR)、端点检测和响应 (EDR)、安全信息和事件管理 (SIEM) 和扩展检测和响应 (XDR)),帮助安全团队实时检测和响应勒索软件。
员工网络安全培训,帮助用户识别和避免网络钓鱼、社会工程和其他可能导致勒索软件感染的策略。
实施访问控制策略,包括多重身份验证、零信任架构、网络分段和类似措施,可以防止勒索软件接触特别敏感的数据,并防止加密蠕虫病毒传播到网络上的其他设备。
虽然某些勒索软件变体的解密工具可以通过 No More Ransom 等项目公开获得,但主动勒索软件感染的修复通常需要采取多方面的方法。请参阅 IBM Security 的勒索软件权威指南查看按照美国国家标准与技术研究院 (NIST) 事件响应生命周期建模的勒索软件事件响应计划示例。
勒索软件简要时间线
1989 年:记录的第一个勒索软件攻击,称为 AIDS Trojan 或“P.C. Cyborg 攻击”,通过软盘分发。此次攻击隐藏了受害者计算机上的文件目录,并要求支付 189 美元的赎金才能取消隐藏。但由于它加密的是文件名而不是文件本身,因此用户很容易在不支付赎金的情况下修复损坏。
1996 年:在分析 AIDS Trojan 病毒的缺陷时,计算机科学家 Adam L. Young 和 Moti Yung 警告称,未来的恶意软件可能会使用更复杂的公用密钥密码术来劫持敏感数据。
2005 年:在 21 世纪初相对较少的勒索软件攻击之后,感染开始上升,主要集中在俄罗斯和东欧。出现第一个使用非对称加密的变体。随着新的勒索软件提供了更有效的勒索手段,更多的网络罪犯开始在全球范围内传播勒索软件。
2009 年:加密货币(尤其是比特币)的推出为网络罪犯提供了一种接收无法追踪的赎金的方式,从而促使勒索软件活动再次激增。
2013 年:勒索软件的现代时期始于 CryptoLocker,这款勒索软件开启了当前一波高度复杂的加密勒索软件攻击,其赎金以加密货币进行支付。
2015 年:Tox 勒索软件变体引入了勒索软件即服务 (RaaS) 模型。
2017 年:第一个广泛使用的自我复制加密蠕虫病毒 WannaCry 出现。
2018 年:Ryuk 通常通过勒索软件追寻大目标。
2019 年:双重和三重勒索勒索软件攻击开始增加。自 2019 年以来,IBM Security X-Force Incident Reponse 团队响应的几乎每一起勒索软件事件都涉及双重勒索。
2022 年:线程劫持(网络罪犯将自己插入目标的在线对话中)成为一种重要的勒索软件媒介。
相关解决方案
IBM Security® QRadar® Suite
利用互联的现代化安全套件战胜攻击。QRadar 产品组合嵌入了企业级 AI,并提供用于端点安全、日志管理、SIEM 和 SOAR 的集成产品,所有这些产品都具有通用用户界面、共享见解和互联工作流程。
探索 QRadar Suite
勒索软件防御解决方案
防止勒索软件中断业务连续性,并在攻击发生时快速恢复 — 采用零信任方法,帮助您更快地检测和响应勒索软件,并最大限度地减少勒索软件攻击的影响。
探索勒索软件防御解决方案
IBM Security® X-Force® Incident Response
我们的防御安全服务包括基于订阅的事件预防、检测和应急响应计划,有助于在发生重大损害之前检测、响应并遏制相关事件。
探索 X-Force Incident Response
IBM Security® X-Force® Red
利用我们的进攻型安全服务(包括渗透测试、漏洞管理和对手模拟)来帮助识别、优先处理和修复覆盖整个数字和物理生态系统的安全缺陷。
探索 X-Force Red
网络安全服务
在网络安全咨询、云端和安全托管服务方面的全球行业领导者的帮助下,推动业务转型并有效管控风险。
探索网络安全服务
资源
X-Force Threat Intelligence Index
找到切实可行的洞察,帮助您了解威胁参与者如何发动攻击,以及如何主动保护您的组织。
阅读报告
勒索软件权威指南
了解在勒索软件攻击渗透防御系统之前保护企业的关键步骤,以及在对手突破边界时实现最佳恢复的关键步骤。
下载指南
数据泄露成本
今年是该报告发布的第 17 个年头,它分享了对不断扩大的威胁态势的最新洞察,并提供了节省时间和限制损失的建议。
阅读报告
什么是 SIEM?
安全信息和事件管理 (SIEM) 提供事件的实时监控和分析,以及出于合规或审计目的进行安全数据的跟踪和记录。
了解更多信息
市民越安全,社区越强大
洛杉矶与 IBM Security 合作创建首个网络威胁共享组,以防范网络犯罪。
阅读成功案例
IBM 安全框架与发现研讨会
与 IBM 高级安全架构师和顾问合作,通过免费、虚拟或面对面的 3 小时设计思维会议确定您的网络安全计划的优先级。
了解详情
Take the next step
Cybersecurity threats are becoming more advanced and more persistent, and demanding more effort by security analysts to sift through countless alerts and incidents. IBM Security QRadar SIEM helps you remediate threats faster while maintaining your bottom line. QRadar SIEM prioritizes high-fidelity alerts to help you catch threats that others simply miss.
Explore QRadar SIEM
Book a live demo