聊聊关于勒索病毒那些事!

释放双眼,带上耳机,听听看~!

两分钟读懂等保2.0

上周去北京参加等保培训,了解到新的等保2.0的一些变化,跟大家分享。 01、标准名称的变化 等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条

                           

2017年是勒索病毒疯狂传播的一年,从大概3年前公司接到第一起勒索病毒感染到现在,勒索病毒的种类和类型疯狂增长。从早期的特斯拉到今年的Wannacry、sega 2.0、wallet、master、ceber等,病毒类型从最早的50种疯狂的发展到了成百上千种,特别从2017年年中开始几乎每天都会收到圈内朋友发来的求助邮件和求助电话。

我们也在包括微信朋友圈、公众号和电视媒体等多种渠道跟大家讲了关于勒索病毒的危害跟预防,但仍然有很多人被病毒感染。

因此,今年一直以来都想写一篇文章,跟大家一起聊聊勒索病毒的历史,技术演进以及防范举措和事后措施,希望能对大家有所帮助,今后免受勒索病毒的袭扰。

一、勒索病毒的历史

        目前已知最早的勒索病毒雏形诞生于1989年,由Joseph Popp编写,该木马程序以“艾滋病信息引导盘”的形式进入系统,采用替换AUTOEXEC.BAT(DOS系统文件,位于启动盘根目录,文件为文件格式,用于描述系统启动时自动加载执行的命令)文件的方式,实现在开机时记数。一旦系统启动次数达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密(从而导致系统无法启动)。此时,屏幕将显示信息,声称用户的软件许可已经过期,要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去189美元,以解锁系统。作者在被起诉时曾为自己辩解,称其非法所得用于艾滋病研究。因此,该病毒被称为艾滋病特洛伊木马或PC Cyborg病毒。

2006年出现的Redplus勒索木马(Trojan/Win32.Pluder),是中国大陆首个勒索软件。该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。据国家计算机病毒应急处理中心统计,来自全国各地的该病毒及其变种的感染报告有581例。

在2007年,出现了另一个国产勒索软件QiaoZhaz,该木马运行后会弹出“发现您硬盘内曾使用过盗版了的我公司软件,所以将您部分文件移动到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应软件”的对话框。

同一年,Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive等蠕虫病毒开始使用更复杂的RSA加密方案,同时密钥大小不断增加。

2013年,随着比特币市场的疯狂炒作,勒索赎金的支付方式也产生的很大变化。早期的勒索软件采用传统的邮寄方式接收赎金(比如Trojan/DOS.AidsInfo),会要求受害者向指定的邮箱邮寄一定数量的赎金。我们也发现了要求受害者向指定银行账号汇款(比如Trojan/Win32.Pluder)和向指定号码发送可以产生高额费用的短信(比如Trojan[rog,sys,fra]/Android.Koler)的勒索软件。直到比特币(比特币是一种P2P形式的数字货币,可以兑换成大多数国家的货币)这种虚拟货币支付形式出现后,由于它可以为勒索软件提供更为隐蔽的赎金获取方式,2013年以来,勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式。可以说,虚拟货币的出现,加速了勒索软件的泛滥。

同样在2013年,首个针对MAC OS系统的勒索病毒被发现。

2014年4月下旬,勒索软件陆续出现在以Android系统为代表的移动终端。较早出现的为Koler家族(Trojan[rog,sys,fra]/Android.Koler)。该家族主要行为是:在用户解锁屏及运行其它应用时,会以手机用户非法浏览色情信息为由,反复弹出警告信息,提示用户需缴罚款,从而向用户勒索高额赎金。

2015年开始,勒索病毒种类疯狂增长。2015年1月,Cryptowall家族新变种(3.0)被发现使用I2P匿名网络通信,在一天内感染288个用户,该变种在加密受害者的文件后,向其勒索比特币,同时还有直接窃取用户比特币的行为。2月和4月新出现的勒索软件家族TeslaCrypt和Alpha Crypt,被发现利用了Adobe新近修复的Flash安全漏洞。同样利用这些漏洞还有CTB-Locker、CryptoWall、TorrentLocker、BandarChor、Angler等家族。

直到今年上半年,wannacry永恒之蓝的爆发,才让部分用户真正意识到勒索病毒的存在。永恒之蓝之后,Petya又再次在国外爆发,国内由于刚经历过永恒之蓝的洗礼,受到Petya攻击的用户并不多见。但之后的2-3个月,陆陆续续发现master、Sega2.0、arena开始有爆发的势头。

                           

 

 二、勒索病毒的类型

  1. 文件加密勒索病毒

所有文件被加密(文件、图片、视频甚至是数据库),受感染的文件被加密后会被删除,用户通常会在文件夹中看到一个包含付款说明的文本文件。当用户尝试打开其中一个加密文件时,才可能会发现问题。最典型的案例就是wannacry,该类型勒索病毒是目前最常见的勒索病毒。如下图:

在感染文件型勒索病毒后,通常病毒会更改系统桌面以产生勒索支付提示,例如:

 

 

2、锁屏勒索病毒——WinLocker

WinLocker会锁定电脑屏幕并要求付款。它会呈现一个阻止所有其它窗口开启的全屏图像。幸运的是,这种类型的勒索病毒并不会加密用户的数据文件,数据有挽回的可能。

3、主引导记录(MBR)勒索病毒

主引导记录(MBR)是电脑硬盘驱动器的一部份,影响操作系统的启动功能。主引导记录勒索病毒会更改电脑的主引导记录,中断电脑的正常启动。屏幕上反而会显示要求赎金的内容,今年最流行的Petya就属于这类病毒。这类病毒不同于文件型勒索病毒,感染后病毒可能采用磁盘级加密技术覆写磁盘,数据基本无挽回可能。

4、网络服务器加密勒索病毒

这类病毒专门对网络服务器上的文件进行加密。它通常使用内容管理系统中的已知漏洞在网络服务上释放安装勒索病毒,例如最近经常接到的master勒索病毒。

5、移动设备勒索软件(安卓)

目前针对移动设备的勒索病毒主要存在于安卓系统上,用户遭受感染的方式一般为下载、浏览不信任程序以及网站或伪装程序。(所以要安全还是用IPhone好一些,前提是不要越狱)

三、勒索病毒的传播方式

目前接到的案例中分析,勒索病毒主要的传播途径有以下几种:

  1. 网站挂马

今年有个朋友,因为浏览黄色网站,系统被植入木马感染ceber勒索病毒,受感染后收到如下提示:

有意思的是勒索病毒的作者试图让朋友更快地付款,在一定时间内付款可以得到50%的折扣:

Cerber用12种语言展现信息和说明,这表示这次攻击是全球性的

2、邮件传播

      这种传播方式也是病毒界老套路的传播方式,在接到的几起案例中,病毒执行体附着于邮件附件的docx、XLS、TXT等文件中,攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件,一旦收件人打开邮件附件或者点击邮件中的链接地址,勒索软件会以用户看不见的形式在后台静默安装,实施勒索,例如下图这种不知名邮件:

3、漏洞传播

这种传播方式是这几年非常流行的病毒传播方式,通过进入网络、系统、应用漏洞,攻击用户。例如今年的wannacry就是典型的利用微软445端口协议的漏洞,感染传播网内计算机。

4、捆绑传播

与其他恶意软件捆绑传播,这种传播方式这两年有所变化,在接到的用户案例中,有用户使用P2P下载例如Bt、迅雷、电驴等下载工具下载文件后,有勒索病毒体同下载文件进行捆绑导致用户感染。(有些同学喜欢下载小片片的要注意了

      (看懂的都是老司机

5、可移动存储介质、本地和远程的驱动器(如C盘和挂载的磁盘)以及网络共享传播、社交媒体传播

(勒索病毒的传播方式汇总)

四、勒索病毒的演进发展

1、“传销”解密的PopcornTime

自2016年末开始,一种名为PopcornTime的新型勒索软件逐渐活跃。该勒索软件正在不断地被进行新版本的开发,研究人员还在暗网中发现了该勒索软件的源代码。该勒索软件有一个与众不同的特点:除了支付1个比特币解密文件之外,还可以将恶意代码链接发送给其他人,如果两名以上的受害者支付了赎金,最初的受害者就可以获得免费的解密密钥。受害者很有可能为了解密文件而将勒索软件传播出去,这种方式也许会成为勒索软件发展的新趋势。PopcornTime在后台加密特定目录、特定后缀名的用户文件。特定目录包括:我的文档、图片、音乐和桌面共四个文件夹,特定后缀名共500余种。解密方式除了正常的支付比特币,增加了“传销”解密的方式,即只要发展两个下线(让其他两个人中招且支付赎金),就可以获取解密密钥。

2、可感染工控设备的LogicLocker

在2017年旧金山RSA大会上,乔治亚理工学院(GIT)的研究员向人们展示了一种可以感染工控设施,向中水投毒的勒索软件,名为LogicLocker。它可以改变可编程逻辑控制器(PLCs),也就是控制关键工业控制系统(ICS)和监控及数据采集(SCADA)的基础设施,例如发电厂或水处理设施。通过LogicLocker,他们可以关闭阀门,控制水中氯的含量并在机器面板上显示错误的读数。

LogicLocker针对三种已经暴露在互联网上的PLC,感染后修改密码,锁定合法用户并要求赎金。如果用户付钱,他们可以找回他们的PLC。但是如果没有,攻击者可以使水厂设备发生故障,或者向水中投入大量威胁生命的氯元素。

该勒索软件攻击生命周期包括对PLC的攻击、侦察并感染更多的PLC、获取设备密码和控制列表等资源、窃取并加密PLC程序及通过邮件进行勒索这几个节点。如图所示:

针对工业控制系统的攻击并不新鲜,Stuxnet、Flame和Duqu已经给我们以震惊。但是对于勒索软件的攻击却是头一次,以金钱为目标的攻击者可能很快就会瞄准关键的基础设施,而在这些攻击的背后,很可能是拥有国家背景的攻击者们。

3、移动平台勒索软件开始愈演愈烈

2014年4月,随着国外开始出现移动平台勒索软件,国内也很快出现了类似软件,并且有愈演愈烈的趋势。目前国内外出现移动平台的赎金方式有人民币、Q币、美元、卢布等,勒索方式有锁屏、加密文件、加密通讯录等方式。据了解该类软件爆发后,国内已经有上千人的手机受到感染,这类勒索软件的发展将对用户手机及资料形成严重威胁。

做为管理者,你最担心的安全风险是什么?

引起数据安全风险的因素很多,你认为哪些因素是最可能发生的?哪些因素危害最严重的呢?欢迎大家积极投票,投出你认为最严重和最可能发生的前三项。 或者如果您方便,请按从1-10分的顺序依次打分排序,10为最严重(最可能发生),1为最不严重(最不可能发生)

(这是前一段我的一个客户发过来的手机被勒索的照片)

国内出现的勒索软件通常伪装游戏外挂或付费破解软件,用户点击即会锁定屏幕,需加手机界面留下的QQ号为好友,去支付赎金才能解锁。

下图所示是该类勒索软件的一个真实案例。受害用户手机被锁定,勒索软件作者在手机界面给出QQ号码,要求受害用户加QQ好友并支付一定赎金才能解锁。

用户加该QQ后会提示回答验证问题。在该案例中,可以看到勒索者的相关资料,在用户个人信息中可以看到勒索者的相关身份信息,但无法确保其真实性。

在受害用户加好友以后,勒索软件作者与其聊天,勒索人民币20元,并要求用户转账到指定支付宝账户才给出解锁密码。据了解,该勒索软件作者同时也对其他Android手机用户进行勒索行为,并且在受害用户支付赎金后,未能提供解锁密码。甚至还在勒索软件中加入短信拦截木马功能,盗取用户支付宝和财富通账户。有时,受害用户在多次进行充值、转账等方式后,仍不能获得解锁密码,甚至会被勒索软件作者将受害用户加入黑名单。


五、勒索病毒的防范措施

1、备份!备份!!备份!!!

第一点,也是最重要的一项,一定要为计算机做备份!!!并且备份是目前针对勒索病毒威胁最有效的应对手段。

严格执行备份3-2-1原则,至少两个备份文件,将备份文件分开存放。例如:一份存储在云端,一份在本地移动介质,备份完成后断开电脑连接。曾经有朋友发生过计算机被勒索病毒加密后,将备份文件也一同加密的情况。因此一定要将备份文件分开存放。

这里需要注意有些人使用百度云盘做同步备份,而一旦电脑上的文件被病毒加密,也会将加密文件同步到云端,导致云端文件也无法打开。我有一个客户就因此而损失惨重。

2、系统和应用补丁及时更新和修正

提到这里,很多企业用户都会觉得无所谓或者不敢打补丁,怕死机怕蓝屏。为什么呢?因为系统是盗版的,应用软件是盗版的或者应用本身就漏洞百出,一旦打补丁,怕出问题。

有这种想法的用户不在少数,甚至应用开发厂家要求用户不能这么做。换个层面设想一下,如果由于漏洞问题出现安全事件,责任谁来付?用户自己承担还是应用开发厂家承担?

补丁更新要特别注意系统补丁和Flash补丁,勒索病毒传播大多通过系统漏洞、数据库漏洞和FLASH漏洞感染传播。

3、安装知名可靠的反病毒软件

这里要注意,我指的是“可靠”,可靠的都不是免费的,在我们接到的勒索病毒案件中,80%的用户都安装的有杀毒软件,不幸的是,大部分都是国内某知名免费杀毒。这个时候免费的往往是最贵的。

此外,杀毒软件千万不要关闭主动防御或系统监控或启发式分析功能!!!这些功能有助于拦截未知病毒行为。

这里给一个网上一家公司的建议截图:

4、不要轻信任何网络上任何人、以及邮件、文件和链接

任何帐户都可能遭到入侵,恶意链接可从社交媒体上的朋友、同事或在线游戏伙伴的账户发送。千万不要打开来自陌生人的电邮附件。网络犯罪分子经常发送看似来自网上商店、银行、警察,法院或收税机构的假电邮、假短信、假微信通知,吸引收件人点击恶意链接并将恶意软件发布到他们的系统中。

5、企业信息安全要重视

对于企业用户来说,针对勒索软件类的安全威胁防护可从公告、防御、保护、处置和审计几个步骤来进行有效防御和处理,保护系统免受攻击。

6、提高个人网络安全意识

针对个人用户要养成良好的上网习惯,尽量少或者不访问博彩、色情等潜在危险程度较大的网站。不知名文件不下载、不接收,移动介质使用要经常杀毒等等,及时做好备份和防病毒。

六、勒索病毒感染后处理方法

1、断网

发现内网中有计算机感染勒索病毒后,请在第一时间将感染主机的网络连接断开,目前接触到的几类勒索病毒均具有很强的传播性。使用最简单的物理隔离,可有效防止病毒蔓延。

2、杀毒处理以及补丁更新安装

在感染主机上部署可靠的防病毒软件(如系统已无法正常运行,可使用国际知名杀毒软件厂家提供的杀毒救援光盘做引导杀毒,这里给大家推荐一个卡巴斯基的反病毒救援镜像下载地址:(该镜像免费使用)

http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

下载该ISO后可刻录成光盘,使用光盘引导系统,做杀毒处理。

引导杀毒处理后,系统安装部署防病毒软件及时更新系统补丁以及应用程序补丁,防止病毒再次利用系统漏洞传播扩散。

3、 加密后文件解密

被勒索病毒加密后的文件,被解密的可能性很小,主要原因是勒索病毒通常采用RSA256或RSA4096等高强度非对称算法,不可逆向运算。

但是也不排除有解密的可能性。目前勒索病毒解密文件无非通过以下种方式解密:

1)黑客良心发现,主动公开密钥(例如前年的Tesla病毒)

2)被国家网安部门追查、抓捕到黑客服务器或黑客本人,公开解密密钥。

3)网络安全公司分析勒索病毒自身漏洞破解加密文件,例如卡巴斯基网站专门就有关于勒索病毒解密工具的页面,(卡巴斯基目前在勒索病毒解密种类方面是全球第一的,可支持解密的勒索病毒种类最多)勒索软件的受害者可尝试下载使用:https://noransom.kaspersky.com/

4)网络上有很多网店(某宝上就很多)或者搜索推广的网站,宣称可以收费解密勒索病毒加密文件,类似于变相支付赎金,专业反病毒的人都知道,这些公司或个人与地下黑产有密切关系,已经形成了完整的勒索病毒洗白的灰色产业链。

5)给黑客支付赎金。

上述,几种解密方式中,最不推荐的是第4种和第5种。因为支付赎金或变相支付并不能保证就能解决问题,同时还可能存在许多意想不到的问题。例如,即使使用正确的密钥,恶意软件中也可能存在使加密数据无法恢复的漏洞。甚至赎金支付后不给密钥。我们也曾经在黑客发来的解密工具中发现新的病毒出现。

而且,如今赎金支付多以比特币方式支付,国内无法正常购买,有时需要借助翻墙手段访问境外比特币交易网站,购买后甚至需要使用暗网洋葱浏览器联系黑客支付赎金,一般用户很难操作。

 此外,支付赎金将向网络罪犯证明勒索软件是有效的。网络犯罪分子将因此可以继续开展更多犯罪活动,以新的方式利用系统的漏洞,感染更多的用户,并谋取更多不义之财。

            这里给大家推荐几个尝试解密的方法:

(1)访问https://www.nomoreransom.org/zh/index.html网站,名称为 “拒绝勒索软件”,是由荷兰国家警察高科技犯罪部门、欧洲刑警组织下属欧洲网络犯罪中心,以及卡巴斯基实验室(Kaspersky Lab)和英特尔公司(英特尔安全)网络保安全公司所推动的网站,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。由于预防胜于治疗,该网站也希望向用户宣导勒索软件的工作原理以及如何采取有效的预防对策。网站的支持者越多,收获的效果也会更好。该网站也开放给其他公共和私人组织。

用户可将自己被加密的文件中选择两个小于1MB的文件上传至该网站中,如果文件可以解密会显示以下内容

                可根据解密内容下载相关的解密工具来解密文件。

       (2)使用类似Easyrecovery的数据恢复工具,查找被勒索病毒删除的历史文件,但该方法不怎么管用。

       (3)适合高级骨灰级专家,有部分种类的勒索病毒在运行后会将生产的密钥暂住于内存中,通过内存分析提取工具,可将密钥提取,完成恢复解密。

使用该方法有一些限制条件:1.感染后的计算机不可以关机或重启。2.感染后不可使用杀毒软件杀毒。3.感染后不可做大量读写操作。

上述条件只要有一项无法满足,内存中的密钥将不复存在。该方法操作难度大,专业性要求很高,不适合普通用户。

        (4)向各大国际网络安全厂家求助,如通过网站、电话、邮件查询相关安全信息。

        (5)查找以前的备份数据还原系统(该方法最有效)

如果无法解密该怎么办?

很多的勒索病毒目前仍无法通过正规合法渠道解密。因此,个人建议,如果数据确实很重要,可以将感染后的硬盘使用Acronis备份软件做磁盘镜像备份,将备份文件封存。等待以后国家网安部门或网络安全公司发布相关的解密工具。这里只所以推荐使用Acronis做磁盘备份是因为使用他备份下来的文件以后恢复方便,可以恢复到不同的电脑或者虚拟化平台,而如果使用其他产品如GHOST,则只能恢复到本机,万一本机硬件更换或其他变动则会导致恢复失败。

这里,再次强调,绝不推荐给黑客支付赎金或给网上、某宝网店宣传的数据解密公司变相支付赎金,这样做只会助纣为虐。

总结

        就如前文中所说,目前针对勒索病毒最有效的方法是做好备份并采用事前预防手段,用户平时要养成良好的计算机使用习惯,安装可靠的杀毒软件,补丁更新程序以及备份软件。

最后说一下备份软件,个人用户推荐使用Acronis True Image,该软件简单易用,在线式全自动化的磁盘镜像备份软件,在PC上相比传统GHOST备份更简单、速度更快,功能更多。可支持PC\MAC\IOS\安卓等多个平台,用户本地没有备份存储空间,也可通过Acronis True Image将磁盘镜像备份至Acronis云端保存,恢复的时候不仅可以恢复到本机,还可以支持异机还原,将系统恢复到不同品牌的计算机上,更为特别的是,该备份软件本身已经具有反勒索病毒功能模块,可有效抵御勒索病毒入侵。

下图是AV-TEST组织对杀毒软件反勒索病毒能力的测评。

Acronis勒索病毒防御模块国际评测结果

在这次测评中,ACRONIS战胜众多专业杀毒软件而名列榜首,因为他并不是采用传统的病毒特征码的方式进行匹配,而是采用行为监测的形式。一旦侦测到有5个文件被加密,就会启动防护进程,阻止病毒进程继续运行,同时利用缓存中的数据将被加密的文件恢复。

        如果是企业用户推荐Acronis Backup 12.5产品,该软件相比其他企业级备份产品操作更为简单,支持的平台更为广泛,从PC、工控机、到服务器、虚拟化、数据库等几乎无所不全。最重要的是所有设备均可通过一个管理控制台统一管理,自动化备份值守,远程恢复,备份和恢复速度是传统备份软件2-3倍,同样具备勒索病毒主动防御功能。

Acronis Backup 12.5勒索病毒拦截日志

说在最后的话:

有些事情,发生在别人身上都是故事,发生在自己身上就是事故。

不要以为别人感染就是运气不好,也永远不要相信自己都会这么好运。

祝大家好运,永远远离勒索病毒。

原文作者:邵博,我公司技术总监,资深安全工程师。

稍作修改。

欢迎关注:大兵说安全

如果你觉得本文还不错,欢迎打赏,欢迎转发。

本文源自微信公众号:大兵说安全

你真的了解EDR吗?

这两年,EDR是一个比较热门的话题。很多厂商推出了自己的EDR产品。很多客户也被各厂商的宣传搞混了,到底什么是 EDR?是杀毒软件的升级版吗?为什么各个EDR厂商的价格差别如此之大? 那么,今天,我们就来看一看到底什么是EDR,把概念搞清楚了,才不会被各种

人已赞赏
安全工具

跟我一起学子网

2019-10-14 17:32:09

安全工具

两分钟读懂等保2.0

2019-10-14 17:32:24

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索