2021勒索病毒大盘点
2021年,新冠肺炎仍然在全球范围内肆虐,各行业除了应对疫情的持续冲击外,还面临着一种形态多样、高频化的“流行病”-- 勒索病毒 。它们加密并窃取数据,甚至威胁破坏或泄漏数据,以此胁迫受害者缴纳高昂赎金,获得“暴利”。勒索病毒为何有这么大的能量,让所有行业“谈虎色变”?面对勒索病毒,难道只能“躺平”?接下来,我们就来盘一盘。
从1989年出现世界上之一个已知的勒索病毒“AIDS Trojan”,到2006年中国大陆出现首个勒索软件“Redplus”,全球范围内一直都在遭受着勒索攻击。尤其是近年来勒索攻击形势更加严峻,国际知名企业被勒索病毒攻击的事件层出不穷,并且赎金持续刷新记录。勒索病毒俨然成为了全球 *** 安全面临的头号威胁,那么,勒索病毒主要有哪几类?
以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金。该类勒索病毒已经成为当前勒索病毒的主要类型,以WannaCry为代表。今年WannaCry再度复苏,最常被攻击的主要是 *** 、军方单位,其次为制造业、银行、金融与医疗系统。
通常采用多种加密算法加密用户数据,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。2021年3月,知名电脑制造商宏碁遭遇REvil勒索软件威胁攻击,攻击者索要5000万美元赎金(约3.3亿人民币),否则就公开被窃取和加密的数据。2021年5月,FBI称Conti勒索软件袭击了16个美国健康和紧急服务机构,影响了超过400个全球组织。
通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密。以2016年首次发现的Petya勒索病毒为代表。
全屏锁定用户设备的屏幕,并显示包含勒索信息的图像、文字,或伪装成系统出现蓝屏错误,直接导致用户无法登陆和使用设备(系统组件同时会被禁用),进而勒索用户支付赎金。该类勒索攻击还存在于移动端。比如2017年发现的Leatherlocker。
免费领取学习资料
2021年 *** *** 安全资料包及最新面试题
(渗透工具,环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)
通过对近年来勒索事件的分析,可以看到勒索软件不仅从“加密数据”演化到“三重勒索”、从“散装攻击”演化到“定向攻击”,还对特定的行业、地域具有明显的针对性。
勒索病毒攻击的目标从个人用户转向支付赎金能力更高,对数据依赖性更强的政企用户。比如高校由于大量设备疏于安全加固和漏洞修复,受WannaCry感染严重。能源、医疗等承载重要数据资源的行业由于对业务连续性要求高,也成为勒索病毒攻击的“高价值”目标。另外,重要 *** 部门/机构、军队单位以及关系民生的关基设施与工控系统面临的攻击风险也在加剧。
经济利益驱动运作模式升级,初步形成勒索病毒黑产链条。近些年较为活跃的提供勒索即服务RaaS (Ransomware-as-a-service)平台服务的家族DopplePaymer、Egregor、Netwalker、REvil/Sodinokibi、DarkSide、Ryuk,以及今年7月首次出现的BlackMatter,都具有较高的威胁能力。
2021年7月,黑客发起了一场全球勒索软件攻击,共袭击了超过1000多家公司,并迫使瑞典更大连锁超市之一的Coop关闭了数百家门店。在这场似乎是迄今为止规模更大的供应链黑客攻击事件中,黑客将目标锁定在了IT管理软件供应商Kaseya上,并且再次揭示出勒索软件即服务(RaaS)大流行的趋势正在蔓延。
2021年7月,LockFile利用Exchange服务器的ProxyShell漏洞入侵企业内部 *** ,已经攻击了至少10个组织或企业,其攻击目标主要为美国和亚洲。
由于勒索病毒加密信息难以恢复、攻击来源难以溯源,一旦遭遇勒索攻击,不仅会带来赎金损失、停产损失、赔偿和罚款以及数据重新上线费用等直接损失,还包括可能因为停产或服务中断带来的社会损失。比如赎金损失,据Censuswide的调研报告显示,在遭遇勒索攻击后,会有相当一部分企业会选择支付赎金。但是,
2021年3月,美国更大的保险公司之一CAN Financial遭到黑客组织Phoenix的勒索软件攻击,约15000台设备被加密,不计其数的客户资料受到泄漏的风险。CNA Financial在试图恢复文件无果之后,开始与攻击者谈判,黑客最初索要 6,000 万美元,谈判后向黑客支付了 4,000 万美元,创下了历史上更高的已支付赎金金额的记录。
2021年5月,美国更大的成品油的管道运输商Colonial Pipeline遭到“Darkside”黑客组织的勒索病毒攻击,美国东部沿海的燃油 *** 陷入瘫痪。同月,美国东部17个州和首都所在的华盛顿特区进入紧急状态。
图源 ***
2021年,LockBit升级为2.0版本,加密数据的速度能达到373MB/s,在不到20分钟内便可以从受感染设备上盗取并加密100GB的数据,是普通勒索病毒加密速度的3倍以上。8月,全球IT咨询巨头埃森哲遭受来自LockBit团伙的攻击,LockBit勒索团队声称窃取了超过6TB的数据,并勒索5000万美元(约3.2亿人民币)赎金。
服务器被勒索病毒攻击怎么办
可以先在网上查找有没有解密工具,如果是老款的勒索病毒,有可能是由加密工具放出的。
这里需要的注意一点是,如果找到解密工具,更好是先备份再解密。如果版本不一致,可能会解密失败,但同时文件底层扇区会进行相应的解密修改,导致后期就算找到一致的解密工具或解密秘钥,都是没办法再成功解密的,因为加密信息已经不一致了。
推荐几个解密工具集下载地址:
No More Ransom :
Emsisoft :
卡巴斯基:
MalwareHunterTeam :
目前最常见的勒索病毒后缀有:
eking、mallox、sojusz、avast、360、wncry、makop、locked、bozon、fc、lockbit、rook、eight、devos、865qqz、666qqz等等。
被勒索病毒破坏的数据库大多数都是可以修复的,有成熟的解决方案,不用联系黑客付高额赎金解密,而且解密还是有风险的,不一定能成功获取解密程序。
勒索病毒的攻击过程是怎样的?
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过 *** 钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
攻击流程
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过 *** 植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在 *** 中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
通过系统漏洞扫描 *** 中的计算机
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的 *** 无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
入侵一台机器后再通过漏洞局域网横向传
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给 *** 安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得 *** 上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描 *** 中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
弱口令扫描 *** 中的计算机
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
入侵一台机器再弱口令爆破局域网机器横
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个 *** 遭受攻击。钓鱼邮件攻击逻辑图:
钓鱼邮件攻击逻辑
文章转载至:2018勒索病毒全面分析报告
2022年5月勒索病毒态势分析
勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御,为大量需要帮助的用户提供360反勒索服务。
2022年5月,全球新增的活跃勒索病毒家族有:7Locker、EAF、QuickBubck、PSRansom、Cheers、RansomHouse、Mindware等家族,其中Cheers、RansomHouse、Mindware均为具有双重勒索功能的家族。
基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
根据本月勒索病毒受害者排查反馈统计,Magniber家族占比46.17%居首位,其次是占比15.52%的TargetCompany(Mallox),phobos家族以10.15%位居第三。
本月因大量用户浏览网站时有意或无意下载伪装成Win10/win11的补丁/升级包的Magniber勒索病毒而中招,首次出现单个家族感染量占比近50%的“霸榜”现象。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows 7。
2022年5月被感染的系统中桌面系统和服务器系统占比显示,因Magniber勒索病毒攻击这针对Windows 10和Windows 11,导致桌面PC占比上涨。
今年4月底,Magniber勒索病毒伪装成Wndows10升级补丁包进行大肆传播,360安全大脑对其进行了预警。
而5月初,360安全大脑再次监测到该家族新增对Windows 11系统的攻击,其主要传播的包名也有所更新,比如:
win10-11_system_upgrade_software.msi
covid.warning.readme.xxxxxxxx.msi
其传播方式仍然是各类论坛、破解软件网站、虚假色情站等。用户在访问这些站点时,会被诱导至第三方网盘下载伪装成补丁或更新的勒索病毒。此外也有部分网站存在自动下载情况。
以下是该病毒近期传播针对Windows 11的攻击态势图:
遭到该勒索病毒加密后,文件后缀会被修改为随机后缀,且每个受害者会有一个独立的支付页面——若不能在规定时间内支付赎金,该链接将失效。若受害者能在5天内支付赎金,则只需支付0.09个比特币(截止该报告撰写时,约合人民币17908元),而超过5天赎金将会翻倍。
本月360安全大脑监测发现多起Mallox勒索病毒攻击事件。该病毒主要针对企业的Web应用发起攻击,包括Spring Boot、Weblogic、通达OA等。在其拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,危害性极大。360提醒用户加强防护,并建议使用360终端安全产品提供的安全补丁,防御查杀该病毒。
360安全大脑监测 历史 显示,Mallox(又被称作Target Company)于2021年10月进入中国,早期主要通过SQLGlobeImposter渠道进行传播(通过获取到数据库口令后,远程下发勒索病毒。该渠道曾长期被GlobeImposter勒索病毒使用)。而今年GlobeImposter勒索病毒的传播量逐渐下降,Mallox就逐渐占据了这一渠道。
除了传播渠道之外,360通过分析近期攻击案例发现攻击者会向Web应用中植入大量的WebShell,而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备,攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户,并尝试远程登录目标机器。此外,攻击者还会使用fscan工具扫描设备所在内网,并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。
近日360安全大脑监控到一款新型勒索病毒7Locker,该病毒使用java语言编写,并通过OA系统漏洞进行传播。其本质上是利用7z压缩工具将文件添加密码后进行压缩,被加密压缩后的文件被新增扩展名.7z。每个受害者通过唯一的Client Key查看具体赎金要求以及指定的赎金支付地址。
另外,根据目前已掌握的信息推测:该家族的传播事件有很大概率是中国台湾黑客针对中国内陆发起的勒索攻击。
5月8日星期日,新当选的哥斯达黎加总统查韦斯宣布国家进入紧急状态,理由是多个 *** 机构正遭到Conti勒索病毒攻击。
Conti勒索病毒最初声称上个月对哥斯达黎加 *** 进行了攻击。该国的公共卫生机构哥斯达黎加 社会 保障基金(CCSS)早些时候曾表示,“正在对Conti勒索病毒进行外围安全审查,以验证和防止其可能再次发动攻击。”
目前,Conti已发布了大约672 GB的数据,其中似乎包含属于哥斯达黎加 *** 机构的数据。
以下是本月收集到的黑客邮箱信息:
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能之一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请之一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有220个组织/企业遭遇勒索攻击,其中包含中国10个组织/企业(含中国台湾省5个组织/企业)在本月遭遇了双重勒索/多重勒索。
表格2. 受害组织/企业
在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。
对2022年5月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2022年5月弱口令攻击态势,发现RDP弱口令攻击和MYSQL弱口令攻击整体无较 *** 动。MSSQL弱口令攻击虽有波动,但依然处于常规范围内且整体呈上升态势。
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
从解密大师本月解密数据看,解密量更大的是GandCrab,其次是Coffee。使用解密大师解密文件的用户数量更高的是被Crysis家族加密的设备,其次是被CryptoJoker家族加密的设备。