发布于周五 15:164天前 ## 文章前言 到了年末,勒索软件事件发生的频率越来越高,重大安全事件也层出不穷,对个人和组织构成重大安全威胁。基于这样的背景,本文将逐步揭开勒索病毒的神秘面纱,并提供一系列的处置建议和防护措施,供个人或企业参考。 ## 基本介绍 勒索软件是一种破坏性和传染性极强的恶意软件,主要利用多种加密算法对用户数据进行加密,然后勒索用户高额赎金。因此,勒索软件也被誉为当今黑客“变现”最有效的方式。 勒索文件在本地运行后,会利用本地的上网权限连接黑客的C2服务器,然后上传本地信息并下载加密公钥,然后使用加密公钥对当前主机中的重要文件进行加密。由于大多数勒索病毒使用的加密算法都是非对称加密算法,除非攻击者拥有解密私钥。其他人想要解密它几乎是不可能的。加密完成后,通常会对壁纸进行修改,并在桌面等明显位置生成勒索信文件,引导用户支付赎金。勒索软件变种类型速度非常快,并且不受传统防病毒软件的影响。攻击样本主要为exe、js、wsf、vbe等类型。该勒索病毒勒索流程如下: ## 开发流程 - 1989 年:第一个已知的勒索软件名为AIDS (PC Cyborg),由哈佛大学毕业生Joseph Popp 创建。这是一个替换AUTOEXEC.BAT 文件的特洛伊木马程序。当潜伏艾滋病的计算机启动次数达到第90次时,它会隐藏该目录,并对驱动器C:上的所有文件名称进行加密(使系统无法使用)。然后,用户将被要求“更新许可证”并联系PC Cyborg。公司付款(189美元寄至巴拿马邮政信箱),作者称非法所得用于艾滋病研究 - 2005年:出现了加密用户文件的木马(Trojan/Win32.GPcode)。该木马在加密文件目录下生成警告txt文件,并要求用户购买解密程序。加密的文件类型包括.doc、html、jpg、xls、zip 和.rar。 - 2006年:使用RSA加密算法的勒索软件Archievus首次出现。同年,国内出现首个勒索病毒木马Redplus。该木马会隐藏用户文档和打包文件,然后弹出一个窗口,要求用户将赎金转入指定的银行账户。 - 2011 年:模仿Windows 产品激活通知的勒索软件蠕虫出现 - 2013 年:著名的勒索软件CryptoLocker 出现,通过受感染的电子邮件附件进行传播。受害者可以通过比特币或GreenDot MoneyPak 支付赎金。黑客威胁称,如果受害者在72小时内未能付款,私钥将被删除,并且无法解密。 - 2015 年:勒索软件即服务(RaaS) 的出现。这种商业模式使得勒索软件攻击的发起者无需任何专业技术知识即可轻松发起网络勒索活动。在这种模式下,勒索软件开发团队无需直接攻击受害者即可享受收益。在RaaS中,作为服务提供商,提供客户需要的定制化攻击解决方案,并为客户提供有限的攻击技术支持,以赚取一部分佣金或分成。勒索软件即服务(RaaS) 模型至今仍受到尊重。这种低门槛的操作方式往往活跃于互联网背后的暗网交易平台。 - 2016年:国际网络勒索软件活动的第一个全盛时期,也称为勒索软件元年。据行业数据显示,同比增速达到752%。 Locky、Goldeneye、Crysis、CryLocker等勒索软件造成的损失超过10亿美元。 - 2017年:著名计算机勒索软件WannaCry在全球爆发,涉及150个国家75,000多台计算机被感染。 99个国家受到直接攻击,包括英国、美国、中国、俄罗斯、西班牙、意大利等。 - 2020年后双重勒索病毒攻击:近年来勒索病毒的演变趋势是采用双重勒索病毒攻击。这种攻击方法不仅对受害者的文件进行加密,还威胁泄露或暴露敏感数据,以增加受害者支付赎金的动机。这种策略在一些大规模勒索软件事件中得到了广泛运用,对组织和个人构成了较大的威胁。 ## 软件分类 ### 加密勒索软件 加密勒索软件主要加密个人文件和文件夹(文档、电子表格、图片和视频)。受影响的文件将在加密后被删除。用户通常会在与现在无法访问的文件同名的文件夹中遇到包含付款说明的文本文件。当文件扩展名自动更改时,用户可能会注意到勒索软件的影响 ### 锁屏勒索软件 锁屏勒索软件会锁定计算机屏幕并要求付款,同时显示全屏图像以阻止所有其他窗口。一个特点是它不加密任何个人文件 ### 主引导记录勒索软件 主引导记录(MBR) 是计算机硬盘驱动器中允许操作系统引导的部分。 MBR 通过更改计算机的MBR 来中断正常的启动过程。屏幕上会显示赎金要求,并阻止操作系统启动。 ### Web 服务器加密勒索软件 Web 服务器加密勒索软件以Web 服务器为目标,并对其中的许多文件进行加密,它通过利用内容管理系统中的已知漏洞在Web 服务上部署勒索软件 ## 加密技术 计算机上广泛使用的文件加密技术可分为以下四种类型: ### 基本加密 基础加密是指使用极其简单的操作方法来修改原始文件的数据,而不涉及特定的数学算法。典型的方法包括异或运算、加法运算、减法运算或它们的组合。最初的勒索病毒由于技术水平不成熟、加密算法技术不流行等多种原因,使用该算子修改文件数据。解密这样的文件只需要操作员暴力枚举。文件数据碰撞或反向勒索操作中使用的密钥可以直接恢复数据内容。 ### 对称加密 随着技术的更新和发展,勒索病毒开始关注加密算法的应用。早期的勒索软件开始使用一些对称加密算法。对称加密算法的特点是有密钥。由于加密和解密使用相同的密钥,且加密和解密的运算逻辑往往相同,因此对称加密算法的密钥非常容易泄露。勒索软件运行时仍有机会通过解密文件或者HASH碰撞的方法来逆向正确的密钥或者通过逆向工程密钥的来源来获取密钥,从而可以解密对称算法加密的文件。 稍微聪明一点的攻击者会通过网络传输将对称密钥发送回攻击者的服务器,然后破坏本地密钥痕迹。这样,如果无法从攻击者的服务器获取算法密钥,则解密文件的过程将非常繁琐和困难。然而,攻击者的服务器将暴露在公众面前,这对他们来说非常不安全。勒索软件广泛使用的对称加密算法包括:AES、DES、3DES、RC4、Salsa20、TEA ### 非对称加密 非对称加密算法也称为开放密钥算法或公钥加密算法。与对称算法不同,它们需要两个密钥:一个是公钥,另一个是私钥。顾名思义,公钥是公开发布的,主要用作加密信息的加密密钥,而私钥不能随意发布,仅用于加密。它只能在解密使用相应公钥加密的信息时使用。攻击者只需将公钥嵌入到勒索软件代码中,并在适当的时候导入公钥来加密那些文件信息。私钥由攻击者严格保管。在这种情况下,如果没有攻击者的私钥,加密的文件信息往往很难解密。 对称加密算法的特点是加密速度快,而对称算法的特点是加密速度慢。因此,黑客会结合使用两种算法来锁定勒索软件中的用户文件。他们使用对称算法来快速加密文件,而只使用非对称算法来加密对称算法的密钥。这样整个加密逻辑就可以既安全又高效。这是当今勒索软件使用的默认加密方案。目前勒索软件广泛使用的非对称加密算法包括:RSA、ECC ### 混合加密类 现代勒索软件不使用单一加密方法直接加密文件。这种方法要么效率很低,要么缺乏安全性。在这种情况下,混合加密就成为勒索软件的主流应用方式。以GandCrab的RSA+Salsa20为例。使用RSA公钥对第一salsa20的Key和Iv进行加密,然后使用第一salsa20加密程序生成的RSA私钥。 使用程序RSA公钥加密第二个salsa20的Key和Iv,然后使用第二个Salsa20算法加密磁盘文件 加密的文件隐藏了可以解密该文件的salsa20 密钥,但这需要作者的RSA 私钥才能解密。两次使用RSA的好处是作者不需要暴露自己的私钥,给用户一个程序生成的RSA私钥,用于针对不同的受害机器进行单独的解密操作 ## 勒索家族 ### 停止 STOP勒索病毒首次出现于2018年2月左右,自2018年8月起在全球范围内活跃,主要通过捆绑其他破解软件、广告软件包等渠道传播感染。近一两年,STOP勒索病毒与KMS激活工具捆绑传播,甚至与其他杀毒软件捆绑传播。到目前为止,该勒索软件已有160 多个变种。尽管Emsisoft此前已经发布了可以解密140多个变种的解密工具,但最新一批STOP勒索病毒仍然无法解密。 常见后缀:TRO .djvu .puma .pumas .pumax .djvuq .litrar… 勒索软件特征:样本发布于%appdata%\\local\\随机名 ###撒旦 satan勒索软件首次出现于2017年1月,攻击成功后,最新版本会对文件进行加密,并将文件后缀修改为“evopro”。除了RDP爆破之外,还通过多个漏洞进行传播。 常见后缀:evopro 病. 传播方式:永恒之蓝漏洞、RDP爆破、JBOSS系列漏洞、Tomcat系列漏洞、Weblogic组件漏洞等。 勒索病毒特征:最新变种evopro暂时无法解密,但旧变种可解密 ### 琉克 Ryuk勒索病毒于2018年8月首次由国外安全公司发现并报告。该勒索病毒通常根据企业规模进行定制化攻击。攻击目标大多是大型企业和政府机构。攻击成功后,要求巨额赎金。该勒索病毒采用RSA+AES算法加密文件,没有相应的RSA私钥就无法解密。 传输方式:垃圾邮件或漏洞利用工具包、Trickbot 银行木马 勒索软件特征:勒索信的名称通常为“RyukReadMe.html”或“RyukReadMe.txt” 常用后缀:ryk ### 迷宫 Maze 勒索软件又名Chacha 勒索软件,最早由Malwarebytes 安全研究人员于2019 年5 月发现。该勒索软件主要利用各种漏洞套件Fallout 和Spelevo 将自身伪装成合法的加密货币兑换应用程序。该程序通过虚假网站或木马网站进行分发和传播。近日,Proofpoint安全研究人员发现了一个新的黑客组织TA2101,该组织通过垃圾邮件对德国、意大利、美国发起网络攻击,传播Maze勒索病毒。 传播方式:垃圾邮件、网站恶意软件等。 勒索软件特征:勒索信中关键字“maze” 常见后缀:不规则 ###暴风雨 Buran勒索病毒首次出现于2019年5月,该勒索病毒是一种基于RaaS模式传播的新型勒索软件。它在一个著名的俄罗斯论坛上出售。与其他基于RaaS 的勒索软件(如GandCrab)获取30%-40% 的收入不同,Buran 勒索病毒的作者仅占感染所产生收入的25%。安全研究人员认为,Buran 是Jumper 勒索软件的变种样本。同时,VegaLocker勒索软件也是该家族的最初起源。由于其巨大的利润,它很快开始在世界各地传播感染。 Buran勒索软件之前使用RIG Exploit Kit进行传播,该勒索软件利用了Internet Explorer中的严重漏洞CVE-2018-8174。 传播方式:利用WEB安全漏洞工具包 勒索特征:勒索信\'!你的所有文件都已加密!\' 常见后缀:不规则 ### 圣礼 Scarab 恶意软件于2017 年6 月首次被发现。此后,已产生并发现了多个版本的变种。最流行的版本是通过Necurs 僵尸网络分发的,并用Visual C 语言编写。 常见后缀:krab .Sacrab .bomber .Crash …… 传播方式:Necurs僵尸网络RDP爆破、垃圾邮件. 勒索软件特征:样本发布%appdata%\\Roaming ### 矩阵 迄今为止有多种变体的一种勒索软件。该勒索病毒主要通过入侵远程桌面来感染和安装。黑客通过暴力枚举入侵服务器,直接连接公网远程桌面服务。获得许可后,他们会上传勒索病毒进行感染。勒索病毒启动后,会显示感染进度等信息。过滤部分系统可执行文件类型和关键系统目录后,剩余文件将被加密。加密的文件将被修改并添加到他们的邮箱后缀。 常见后缀:GRHAN .PRCP .SPCT .PEDANT. 传播方式:RDP爆破 勒索软件特征: ### 天堂 Paradise勒索软件翻译成中文为“Paradise Ransomware”。它首次出现于2018年7月。初始版本会在原始文件名末尾附加一个超长后缀,例如(V.0.0.0.1{[email protected]}.dp),并且会在每个包含加密文件的文件夹中生成勒索字条。 常用后缀:文件名%ID字符串%_{勒索邮件}.具体后缀 勒索软件特征:将勒索软件弹窗及其本身释放到启动目录 ### 火卫一 Phobos勒索软件重用了Crysis的部分代码,与Crysis高度相似(文件后缀和勒索字条)。该勒索病毒多通过RDP弱口令传播,采用RSA+AES算法加密文件,没有相应的RSA私钥无法解密。 传播方式:RDP弱口令 勒索软件特征:勒索信件名称为“info.txt”、“info.hta” 常见后缀:Banta、phobos、actin、PISCA、caleb… ### 想哭 2017年5月12日,WannaCry勒索病毒在全球爆发。 150个国家至少30万用户被感染,造成80亿美元损失。 WannaCry蠕虫病毒主要通过MS17-010漏洞在全球范围内传播。该蠕虫病毒感染计算机后,会在计算机中植入勒索病毒,导致大量计算机文件被加密。受害者的计算机被黑客锁定后,病毒会提示必须支付相应的赎金才能进行解密。 常见后缀:wncry 传播方式:永恒之蓝漏洞 勒索软件特征: - 启动时会连接一个不存在的url - 创建系统服务mssecsvc2.0 - 发布路径为Windows目录 ### 环球冒名顶替者 GlobeImposter首次出现于2017年,自2018年8月21日起,多地发生GlobeImposter勒索软件事件,攻击目标主要是启动远程桌面服务的服务器。攻击者使用暴力破解服务器密码来启动对内网服务器的扫描并手动传递勒索软件。导致文件被多个版本加密更新,往往在爆破RDP后通过手动投毒进行传播。 常见后缀:auchentoshan,十二生肖英文名+4444 传播方式:RDP爆破、垃圾邮件、捆绑软件 勒索软件特征:在%appdata%或%localappdata%中发布 ### 美杜莎储物柜 MedusaLocker勒索软件的早期赎金字母与GlobeImposter非常相似,一度被认为是GlobeImposter的变种。该勒索病毒采用RSA+AES算法加密文件,没有相应的RSA私钥就无法解密。 传播方式:RDP弱口令 勒索软件特征:勒索信的名称为“RECOVER_INSTRUCTIONS.html”、“INSTRUCTIONS.html” 常见后缀:\'.ReadTheInstructions\'、\'.READINSTRUCTIONS\' ### 锁位 发现日期:2019 简要描述:LockBit于2019年出现,此后已经产生了三个版本。 2.0增加了StealBit盗密木马,最新的LockBit 3.0完善了安全软件的对策。 入侵方式:通常采用RDP弱口令爆破渗透到目标计算机 加密方式:RSA+AES 赎金类型:虚拟货币(比特币) ### 黑巴斯塔 发现日期:2022年 简要描述:新兴勒索软件针对企业用户的Windows系统和Linux服务器上运行的VMware ESXi虚拟机 入侵方式:通过僵尸网络传播 加密方式:RSA+ChaCha20 赎金类型:虚拟货币(比特币) ###lockbit3.0 简要说明:lockbit3.0是lockbit的第三个版本。它主要使用AES-256和RSA-2048两种强大的复杂算法来加密用户数据,并试图利用PSExec在受害网络环境中进行横向移动和远程执行。加密强度极高,攻击范围广。 加密方式:AES-256+RSA-2048两种复杂算法加密用户数据 主要特点: - 开机后主界面会弹出多条网页形式的勒索信息。
创建帐户或登录后发表意见