最近,勒索軟件成為了全民熱議話題,甚至也可說是全球熱議話題。全球共有 150 多個國家遭到病毒“永恒之藍”的攻擊,校園網、公安網、醫療網等專線專網成為被攻擊的主要對象,人們紛紛獻計獻策,也成功的遏制住了病毒的繼續蔓延。其實,勒索軟件對于安全圈里的人來說,已經算是一個老生常談問題。
“永恒之藍”WannaCry勒索病毒分析報告
瑞星安全研究院多年來一直嚴密跟蹤勒索軟件、敲詐病毒的情況,下面我們將就勒索軟件歷史、傳播途徑、家族種類、受害人群、爆發原因及防護建議等進行全面分析,如果你想全面了解勒索軟件,看完這篇就夠了。
最早的一批勒索軟件病毒大概出現在8、 9 年前,那時候的勒索軟件作者還沒有現在那么惡毒大膽,勒索的形式還比較溫和,主要通過一些虛假的電腦檢測軟件,提示用戶電腦出現了故障或被病毒感染,需要提供贖金才能幫助用戶解決問題和清除病毒,期間以FakeAV為主。
隨著人們安全意識的提高,這類以欺騙為主的勒索軟件逐漸的失去了它的地位,慢慢消失了。伴隨而來的是一類locker類型的勒索軟件。此類病毒不加密用戶的數據,只是鎖住用戶的設備,阻止對設備的訪問,需提供贖金才能幫用戶進行解鎖。期間以LockScreen 家族占主導地位。由于它不加密用戶數據,所以只要清除了病毒就不會給用戶造成任何損失。由于這種病毒帶來危害都能夠很好的被解決,所以該類型的勒索軟件也只是曇花一現,很快也消失了。
隨之而來的是一種更惡毒的以加密用戶數據為手段勒索贖金的勒索軟件,“永恒之藍”就屬于此類勒索軟件。由于這類勒索軟件采用了一些高強度的對稱和非對稱的加密算法對用戶文件進行加密,在無法獲取私鑰的情況下要對文件進行解密,以目前的計算水平幾乎是不可能完成的事情。正是因為有這一點,該類型的勒索軟件能夠帶來很大利潤,各種家族如雨后春筍般出現了,比較著名的有CTB-Locker、TeslaCrypt、CryptoWall、Cerber 等等。
勒索軟件的傳播途徑和其他惡意軟件的傳播類似,垃圾郵件是最主要的傳播方式。攻擊者通常會用搜索引擎和爬蟲在網上搜集郵箱地址,然后利用已經控制的僵尸網絡向這些郵箱發有帶有病毒附件的郵件。
Exploit Kit也是勒索軟件常用的攻擊手段,它是一種漏洞利用工具包,里面集成了各種瀏覽器、Flash和PDF等軟件漏洞代碼。攻擊流程通常是:在正常網頁中插入跳轉語句或者使用詐騙頁面和惡意廣告等劫持用戶頁面,觸發漏洞后執行shellcode并下載惡意病毒執行。常見比較著名的EK有Angler、Nuclear、Neutrino和RIG等。勒索軟件也會利用EK去投毒,當用戶機器沒有及時打補丁的情況下被劫持到攻擊頁面的話,中毒的概率是比較高的。
勒索軟件還有一種使用的越來越多的攻擊手段定向攻擊,“永恒之藍”就屬于本類攻擊手段。攻擊者有針對性的對某些互聯網上的服務器進行攻擊,通過弱口令或者一些未及時打補丁的漏洞對服務器進行滲透,獲得相應的權限后在系統執行勒索病毒,破壞用戶數據,進而勒取贖金。
勒索軟件的家族種類中,Cerber 家族是 2016 年年初出現的一款新型勒索軟件。從年初的1. 0 版本一直更新到現在的4. 0 版。傳播方式主要是垃圾郵件和EK掛馬。索要贖金為1- 2 個比特幣。到目前為止加密過后的文件沒有公開辦法進行解密。
Locky家族也是 2016 年流行的勒索軟件之一,和Cerber 的傳播方式類似,主要采用垃圾郵件和EK。勒索贖金0.5- 1 個比特幣。
CryptoWall家族也是 2016 年較流行的一款勒索軟件,勒索贖金1. 5 個比特幣。最主要的傳播方式是垃圾郵件和EK傳播。垃圾郵件附件中通常包含一個doc文檔,文檔打開后會加載宏釋放wsf文件并執行,從網上下載勒索病毒運行。
為了能夠獲取最大的利潤,攻擊者通常是不區分受害者對象的。就目前勒索軟件最主要的傳播途徑來看,個人用戶比企事業組織受害比例要高。隨著各人市場攻擊的飽和,必然會使攻擊者轉向企事業單位和政府組織,企事業面臨的風險也會越來越大。
勒索軟件都采用成熟的密碼學算法,使用高強度的對稱和非對稱加密算法對文件進行加密。除非在實現上有漏洞或密鑰泄密,不然在沒有私鑰的情況下是幾乎沒有可能解密。當受害者數據非常重要又沒有備份的情況下,除了支付贖金沒有什么別的方法去恢復數據,正是因為這點勒索者能源源不斷的獲取高額收益,推動了勒索軟件的爆發增長。
互聯網上也流傳有一些被勒索軟件加密后的修復軟件,但這些都是利用了勒索軟件實現上的漏洞或私鑰泄露才能夠完成的。如Petya和Cryptxxx家族恢復工具利用了開發者軟件實現上的漏洞,TeslaCrypt和CoinVault家族數據恢復工具利用了key的泄露來實現的。
幾乎所有勒索軟件支付贖金的手段都是采用比特幣來進行的。比特幣因為他的一些特點:匿名、變現快、追蹤困難,在加上比特幣名氣大,大眾比較熟知,支付起來困難不是很大而被攻擊者大量使用。可以說比特幣很好的幫助了勒索軟件解決贖金的問題,進一步推動了勒索軟件的繁榮發展。
勒索軟件服務化,開發者提供整套勒索軟件的解決方案,從勒索軟件的開發、傳播到贖金的收取都提供完整的服務。攻擊者不需要任何知識,只要支付少量的租金及可租賃他們的服務就可以開展勒索軟件的非法勾當。這大大降低了勒索軟件的門檻,推動了勒索軟件大規模爆發。
1)定期備份系統與重要文件,并離線存儲獨立設備。
2)使用專業的電子郵件與網絡安全工具,可分析郵件附件、網頁、文件是否包括惡意軟件,帶有沙箱功能。
3)經常給操作系統、設備及第三方軟件更新補丁。
4)使用專業的反病毒軟件、防護系統,并及時更新。
5)設置網絡安全隔離區,確保既是感染也不會輕易擴散。
6)針對BYOD設置同樣或更高級別的安全策略。
7)加強員工(用戶)安全意識培訓,不要輕易下載文件、郵件附件或點擊郵件中的不明鏈接。
8)受感染后盡量不要給勒索者付贖金,不要去縱容勒索者,增加他們的收入去繼續破壞更多的人。
