-
勒索病毒
鎖定
- 中文名
- 勒索病毒
- 外文名
- Ransomware
- 原 理
- 利用各種加密算法對文件進行加密
- 性 質
- 不可逆
- 解 密
- 病毒開發者本人
- 警惕程度
- ★★★★☆
勒索病毒傳播途徑
據火絨監測,勒索病毒主要通過三種途徑傳播:漏洞、郵件和廣告推廣。
通過漏洞發起的攻擊佔攻擊總數的87.7%。由於win7、xp等老舊系統存在大量無法及時修復的漏洞,而政府、企業、學校、醫院等局域網機構用户使用較多的恰恰是win7、xp等老舊系統,因此也成為病毒攻擊的重災區,病毒可以通過漏洞在局域網中無限傳播。相反,win10系統因為強制更新,幾乎不受漏洞攻擊的影響。
勒索病毒攻擊對象
勒索病毒一般分兩種攻擊對象,一部分針對企業用户(如xtbl,wallet),一部分針對所有用户。
勒索病毒病毒規律
該類型病毒的目標性強,主要以郵件為傳播方式。
勒索病毒文件一旦被用户點擊打開,會利用連接至黑客的C&C服務器,進而上傳本機信息並下載加密公鑰。然後,將加密公鑰寫入到註冊表中,遍歷本地所 有磁盤中的Office 文檔、圖片等文件,對這些文件進行格式篡改和加密;加密完成後,還會在桌面等明顯位置生成勒索提示文件,指導用户去繳納贖金。
該類型病毒可以導致重要文件無法讀取,關鍵數據被損壞,給用户的正常工作帶來了極為嚴重的影響。
勒索病毒病毒分析
一般勒索病毒,運行流程複雜,且針對關鍵數據以加密函數的方式進行隱藏。以下為APT沙箱分析到樣本載體的關鍵行為:
1、調用加密算法庫;
2、通過腳本文件進行Http請求;
3、通過腳本文件下載文件;
4、讀取遠程服務器文件;
5、通過wscript執行文件;
6、收集計算機信息;
7、遍歷文件。
勒索病毒樣本運行流程
該樣本主要特點是通過自身的解密函數解密回連服務器地址,通過HTTP GET 請求訪問加密數據,保存加密數據到TEMP目錄,然後通過解密函數解密出數據保存為DLL,然後再運行DLL (即勒索者主體)。該DLL樣本才是導致對數據加密的關鍵主體,且該主體通過調用系統文件生成密鑰,進而實現對指定類型的文件進行加密,即無需聯網下載密鑰即可實現對文件加密。
勒索病毒應對方案
根據勒索病毒的特點可以判斷,其變種通常可以隱藏特徵,但卻無法隱藏其關鍵行為,經過總結勒索病毒在運行的過程中的行為主要包含以下幾個方面:
1、通過腳本文件進行Http請求;
2、通過腳本文件下載文件;
3、讀取遠程服務器文件;
4、收集計算機信息;
5、遍歷文件;
6、調用加密算法庫。
1、不要打開陌生人或來歷不明的郵件,防止通過郵件附件的攻擊;
2、儘量不要點擊office宏運行提示,避免來自office組件的病毒感染;
3、需要的軟件從正規(官網)途徑下載,不要雙擊打開.js、.vbs等後綴名文件;
4、升級到最新的防病毒等安全特徵庫;
5、升級防病毒軟件到最新的防病毒庫,阻止已存在的病毒樣本攻擊;
6、定期異地備份計算機中重要的數據和文件,萬一中病毒可以進行恢復。
[5]
勒索病毒相關事件
2018年2月,中國內便再次發生多起勒索病毒攻擊事件。經騰訊企業安全分析發現,此次出現的勒索病毒正是GlobeImposter家族的變種,該勒索病毒將加密後的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名,並通過郵件來告知受害者付款方式,使其獲利更加容易方便。
[8]
從2018年初到9月中旬,勒索病毒總計對超過200萬台終端發起過攻擊,攻擊次數高達1700萬餘次,且整體呈上升趨勢。
[3]
2018年12月1日,火絨安全團隊曝光了一個以微信為支付手段的勒索病毒在國內爆發。幾日內,該勒索病毒至少感染了10萬台電腦,通過加密受害者文件的手段,已達到勒索贖金的目的,而受害者必需通過微信掃一掃支付110元贖金才能解密。
2018年12月7日,平安東莞賬號證實“12.05”特大新型勒索病毒案已被偵破,根據上級公安機關“淨網安網2018”專項行動有關部署,東莞網警在省公安廳網警總隊的統籌指揮,24小時內火速偵破“12.05”特大新型勒索病毒破壞計算機信息系統案,抓獲病毒研發製作者羅某某(男,22歲,廣東茂名人),繳獲木馬程序和作案工具一批
[11]
。
2019年3月,瑞星安全專家發現通過發送恐嚇郵件,誘使用户下載附件,導致重要文件被加密且無法解密的GandCrab5.2勒索病毒。
[12]
2020年4月,網絡上出現了一種名為“WannaRen”的新型勒索病毒,與此前的“WannaCry”的行為類似,加密Windows系統中幾乎所有文件,後綴為.WannaRen,贖金為0.05個比特幣。
[13]
- 參考資料
-
- 1. 關於防範比特幣勒索病毒的通知 .常州人民政府網.2016-11-09[引用日期2016-12-06]
- 2. 勒索病毒善偽裝造成的破壞不可逆 .新浪網[引用日期2016-11-04]
- 3. 國內勒索病毒持續高發 今年來超200萬台終端被攻擊 .人民網[引用日期2018-09-22]
- 4. 遭遇新型勒索病毒襲擊 國內用户應該如何應對 .比特網.2016-10-18[引用日期2016-12-06]
- 5. 警惕勒索病毒,互聯網時代的新型敲詐行為 .中關村在線.2016-03-30[引用日期2016-12-06]
- 6. 勒索病毒“壞兔子”來襲 俄烏等國不幸中招 .新華網[引用日期2017-10-26]
- 7. 警惕!新型勒索病毒MindLost能盜走你的銀行卡信息! .新華網[引用日期2018-02-05]
- 8. GlobeImposter家族勒索病毒“捲土重來”,騰訊企業安全“御點”搶先防禦 .飛象網.2018-02-26[引用日期2018-02-28]
- 9. 新型國產勒索病毒傳播,可盜走支付寶所有餘額 .騰訊[引用日期2018-03-01]
- 10. 國家互聯網應急中心曝光23個鎖屏勒索類惡意程序變種 .新華網[引用日期2018-03-09]
- 11. “微信支付”勒索病毒嫌疑犯正式被捕 .人民網[引用日期2018-12-15]
- 12. 網絡安全機構:警惕以釣魚郵件傳播的GandCrab5.2勒索病毒 .新華網[引用日期2019-03-18]
- 13. 新型 PC 勒索病毒“WannaRen”開始傳播:大部分殺毒軟件無法攔截 .IT之家.2020/4/6[引用日期2020-04-07]
- 14. 疑似“勒索病毒”犯罪團伙主要成員在法國被捕 .環球網.2023-10-22
- 收起