勒索病毒,是一種新型電腦病毒,主要以郵件、程式木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對檔案進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。
據“火絨威脅情報系統”監測和和評估,從2018年初到9月中旬,勒索病毒總計對超過200萬台終端發起過攻擊,攻擊次數高達1700萬餘次,且整體呈上升趨勢。
2017年12月13日,“勒索病毒”入選國家語言資源監測與研究中心發布的“2017年度中國媒體十大新詞語”。
2019年3月,瑞星安全專家發現通過傳送恐嚇郵件,誘使用戶下載附屬檔案,導致重要檔案被加密且無法解密的GandCrab5.2勒索病毒。
基本介紹
- 中文名:勒索病毒
- 外文名:Ransomware
- 原理:利用各種加密算法對檔案進行加密
- 性質:不可逆
- 解密:病毒開發者本人
- 警惕程度:★★★★☆
傳播途徑,攻擊對象,病毒規律,病毒分析,樣本運行流程,應對方案,相關事件,
傳播途徑
勒索病毒檔案一旦進入本地,就會自動運行,同時刪除勒索軟體樣本,以躲避查殺和分析。接下來,勒索病毒利用本地的網際網路訪問許可權連線至黑客的C&C伺服器,進而上傳本機信息並下載加密私鑰與公鑰,利用私鑰和公鑰對檔案進行加密。除了病毒開發者本人,其他人是幾乎不可能解密。加密完成後,還會修改壁紙,在桌面等明顯位置生成勒索提示檔案,指導用戶去繳納贖金。且變種類型非常快,對常規的防毒軟體都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對常規依靠特徵檢測的安全產品是一個極大的挑戰。
據火絨監測,勒索病毒主要通過三種途徑傳播:漏洞、郵件和廣告推廣。
通過漏洞發起的攻擊占攻擊總數的87.7%。由於win7、xp等老舊系統存在大量無法及時修復的漏洞,而政府、企業、學校、醫院等區域網路機構用戶使用較多的恰恰是win7、xp等老舊系統,因此也成為病毒攻擊的重災區,病毒可以通過漏洞在區域網路中無限傳播。相反,win10系統因為強制更新,幾乎不受漏洞攻擊的影響。
通過郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式占比較少,但對於有收發郵件、網頁瀏覽需求的企業而言,依舊會受到威脅。
此外,對於某些特別依賴隨身碟、記錄儀辦公的區域網路機構用戶來說,外設則成為勒索病毒攻擊的特殊途徑。
攻擊對象
勒索病毒一般分兩種攻擊對象,一部分針對企業用戶(如xtbl,wallet),一部分針對所有用戶。
病毒規律
該類型病毒的目標性強,主要以郵件為傳播方式。
勒索病毒檔案一旦被用戶點擊打開,會利用連線至黑客的C&C伺服器,進而上傳本機信息並下載加密公鑰和私鑰。然後,將加密公鑰私鑰寫入到註冊表中,遍曆本地所 有磁碟中的Office 文檔、圖片等檔案,對這些檔案進行格式篡改和加密;加密完成後,還會在桌面等明顯位置生成勒索提示檔案,指導用戶去繳納贖金。
該類型病毒可以導致重要檔案無法讀取,關鍵數據被損壞,給用戶的正常工作帶來了極為嚴重的影響。
病毒分析
一般勒索病毒,運行流程複雜,且針對關鍵數據以加密函式的方式進行隱藏。以下為APT沙箱分析到樣本載體的關鍵行為:
1、調用加密算法庫;
2、通過腳本檔案進行Http請求;
3、通過腳本檔案下載檔案;
4、讀取遠程伺服器檔案;
5、通過wscript執行檔案;
6、收集計算機信息;
7、遍歷檔案。
樣本運行流程
該樣本主要特點是通過自身的解密函式解密回連伺服器地址,通過HTTP GET 請求訪問加密數據,保存加密數據到TEMP目錄,然後通過解密函式解密出數據保存為DLL,然後再運行DLL (即勒索者主體)。該DLL樣本才是導致對數據加密的關鍵主體,且該主體通過調用系統檔案生成密鑰,進而實現對指定類型的檔案進行加密,即無需聯網下載密鑰即可實現對檔案加密。
同時,在沙箱分析過程中發現了該樣本大量的反調試行為,用於對抗調試器的分析,增加了調試和分析的難度。
應對方案
根據勒索病毒的特點可以判斷,其變種通常可以隱藏特徵,但卻無法隱藏其關鍵行為,經過總結勒索病毒在運行的過程中的行為主要包含以下幾個方面:
1、通過腳本檔案進行Http請求;
2、通過腳本檔案下載檔案;
3、讀取遠程伺服器檔案;
4、收集計算機信息;
5、遍歷檔案;
6、調用加密算法庫。
為防止用戶感染該類病毒,我們可以從安全技術和安全管理兩方面入手:
1、不要打開陌生人或來歷不明的郵件,防止通過郵件附屬檔案的攻擊;
2、儘量不要點擊office宏運行提示,避免來自office組件的病毒感染;
3、需要的軟體從正規(官網)途徑下載,不要雙擊打開.js、.vbs等後綴名檔案;
4、升級到最新的防病毒等安全特徵庫;
5、升級防病毒軟體到最新的防病毒庫,阻止已存在的病毒樣本攻擊;
6、定期異地備份計算機中重要的數據和檔案,萬一中病毒可以進行恢復。
相關事件
2017年5月12日,一種名為“想哭”的勒索病毒襲擊全球150多個國家和地區,影響領域包括政府部門、醫療服務、公共運輸、郵政、通信和汽車製造業。
2017年6月27日,歐洲、北美地區多個國家遭到“NotPetya”病毒攻擊。烏克蘭受害嚴重,其政府部門、國有企業相繼“中招”。
2017年10月24日,俄羅斯、烏克蘭等國遭到勒索病毒“壞兔子”攻擊。烏克蘭敖德薩國際機場、首都基輔的捷運支付系統及俄羅斯三家媒體中招,德國、土耳其等國隨後也發現此病毒。
2018年2月,多家網際網路安全企業截獲了Mind Lost勒索病毒。
2018年2月,中國內便再次發生多起勒索病毒攻擊事件。經騰訊企業安全分析發現,此次出現的勒索病毒正是GlobeImposter家族的變種,該勒索病毒將加密後的檔案重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名,並通過郵件來告知受害者付款方式,使其獲利更加容易方便。
2018年3月1日,有防毒軟體廠商表示,他們監測到了“麒麟2.1”的勒索病毒。
2018年3月,國家網際網路應急中心通過自主監測和樣本交換形式共發現23個鎖屏勒索類惡意程式變種。該類病毒通過對用戶手機鎖屏,勒索用戶付費解鎖,對用戶財產和手機安全均造成嚴重威脅。
從2018年初到9月中旬,勒索病毒總計對超過200萬台終端發起過攻擊,攻擊次數高達1700萬餘次,且整體呈上升趨勢。
2018年12月1日,火絨安全團隊曝光了一個以微信為支付手段的勒索病毒在國內爆發。幾日內,該勒索病毒至少感染了10萬台電腦,通過加密受害者檔案的手段,已達到勒索贖金的目的,而受害者必需通過微信掃一掃支付110元贖金才能解密。
2018年12月7日,平安東莞賬號證實“12.05”特大新型勒索病毒案已被偵破,根據上級公安機關“淨網安網2018”專項行動有關部署,近日,東莞網警在省公安廳網警總隊的統籌指揮,24小時內火速偵破“12.05”特大新型勒索病毒破壞計算機信息系統案,抓獲病毒研發製作者羅某某(男,22歲,廣東茂名人),繳獲木馬程式和作案工具一批。
2019年3月,瑞星安全專家發現通過傳送恐嚇郵件,誘使用戶下載附屬檔案,導致重要檔案被加密且無法解密的GandCrab5.2勒索病毒。
