本月,美创安全实验室威胁平台监测到多起勒索病毒攻击事件,发现勒索病毒的活跃情况呈上涨的趋势,常年霸榜的Phobos、Globelmposter、Dharma三大勒索病毒家族为2020年9月勒索病毒“主力”。如今,勒索家族慢慢的变多的将目标对准企业、学校、政府组织等规模更大、利润更高的目标,勒索攻击愈演愈烈,勒索病毒已然成为全世界最严峻的网络安全威胁之一。

  9月勒索受害者所在地区分布美创安全实验室威胁平台显示,9月份国内遭受勒索病毒的攻击中,江苏、浙江、上海、广东、重庆最为严重,其它省份也有遭受到不同程度攻击,整体看来,经济发达地区仍是被攻击的主要对象。

  美创安全实验室威胁平台显示,9月份中招者排名前八的地区中广州地区占比高达24%,其次是南京占16%,杭州占13%。

  9月勒索病毒影响行业分布美创安全实验室威胁平台显示,9月份国内受勒索病毒影响的行业排名前三的是传统行业、医疗行业、教育行业。

  下图是美创安全实验室对勒索病毒监测后所计算出的9月份勒索病毒家族流行度占比分布图,Phobos、Globeimposter、Dharma这三大勒索病毒家族的受害者占比最多。

  9月勒索病毒传播方式下图为勒索病毒传播的各种方式的占比情况。能够准确的看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。

  Phobos勒索软件家族从2019年开始在全球流行,并持续更新以致出现了大量变种。该病毒主要是通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。该勒索病毒用“RSA+AES”算法加密文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。

  Globelmposter勒索病毒首次出现在2017年5月,长期处在活跃阶段。该病毒最著名的是“十二主神”和“十二生肖”系列,其加密后的文件扩展名分别为“希腊十二主神+数字”和“十二生肖+数字”的形式。近日,Globelmposter又出了最新变种,加密后缀为“．CXH”系列。GlobeImposter病毒主要是通过RDP远程桌面弱口令进行攻击,一旦密码过于简单,被攻击者暴力破解后,攻击者就会将勒索病毒植入,加密机器上的文件。近期国内多家企业、医院等机构中招。

  Dharma的主要攻击方式有三种:①通过带有恶意文件的垃圾邮件进行传播;②攻击可正常下载的程序和安装包以传播勒索软件③对远程桌面协议(RDP)展开针对性攻击。Dharma勒索病毒运行后首先删除文件的卷影副本,以防止受害者通过这一些备份还原其文件。接着,采取高强度的AES算法对存储在计算机上的所有文件进行加密。然后,勒索软件会放下简短的勒索便条,要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件。加密后,影响用户关键业务运行。

  9月4日,某电工材料公司造勒索病毒攻击,感染了5台核心服务器。据了解,服务器中的文件已无法正常打开,并添加了“．beijing”后缀,通过该后缀可确定此次攻击的病毒为BeijingCrypt勒索病毒。该病毒一般是通过垃圾邮件传播,打开此类文档或者危险链接可能会严重破损毁坏系统。

  在线． BeijingCrypt勒索病毒近期在国内有所活跃,其特点为加密后的文件将添加．beijing扩展后缀。

  9月9日,某汽车配件公司遭到Zeppelin勒索病毒攻击。该攻击导致企业内部多台服务器被感染,其中包含了4台数据库服务器。Zeppelin勒索病毒通过多种方式来进行传播,一旦成功入侵服务器,便会释放病毒程序,加密服务器中的重要文件,并将由字母或数字组成的文件扩展名附加到每个被加密文件中,例如“．1F7-C0C-0BC”。

  2． Zeppelin勒索病毒采用AES-256算法加密文件,然后使用受害者的公共RSA密钥对AES密钥进行加密,再使用随机生成的32字节RC4密钥进一步对其进行混淆。加密后,使得文件无法再打开。3． 美创安全实验室研究人员发现Zeppelin勒索病毒的最新变种中使用了窃密类木马程序,先盗取受害者数据,再使用病毒文件加密受害者的数据。

  、广州某企业遭Phobos勒索病毒攻击9月14日,广州某企业遭到Phobos勒索病毒攻击。据了解,企业内多台服务器无法正常运行,服务器中的重要文件都被加密,并添加了．id[BA046E35-2973]．[]．eking后缀。通过后缀可确定该病毒为Phobos勒索病毒,该勒索病毒主要是通过爆破远程桌面,拿到密码后进行手动投毒。同时该病毒还会在内网横向传播,通过恶意工具不断攻击内网其他机器以及通过抓取密码的方式获取更多机器的密码。据不完全统计,该企业共有20多台服务器中招,其中包含了2台核心数据库服务器。在线月首次发现,这款勒索病毒与CrySiS(Dharma)勒索病毒在一些行为表现上非常相似。

  2． Phobos通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。

  、南京某企业成为Makop勒索软件的受害者9月27日,南京某企业感染Makop勒索病毒,造成1台核心服务器被加密。makop勒索病毒出现于2020年1月下旬,该病毒加密文件完成后会添加．makop扩展后缀,目前已知主要是通过恶意邮件渠道传播。在线． Makop勒索病毒使用RSA+AES的方式加密文件。加密时会尝试结束后台应用的进程,以独占文件完成加密;排除部分加密白名单文件不加密;病毒会尝试加密有写权限的网络共享文件;加密结束后,会删除系统卷影信息,以防止用户通过文件恢复功能找回文件。

  Dharma勒索病毒攻击某建筑工程公司9月28日,某建筑工程公司遭到Dharma勒索病毒攻击,感染了1台财务服务器Dharma勒索病毒是目前很流行的勒索病毒,它利用开源工具Masscan扫描IP地址范围内暴露的远程桌面连接(RDP),再使用 NLBrute 启动暴力破解程序。由于很多用户设置的密码过于简单,非常容易被攻击者暴力破解,并将勒索病毒植入机器中加密文件。在线． Dharma的主要攻击方式有三种:①通过带有恶意文件的垃圾邮件进行传播;②攻击可正常下载的程序和程序安装软件,以传播勒索软件;③对远程桌面协议(remote desktop protocol,简称RDP)凭据展开针对性攻击,以进行传播。2． Dharma勒索软件倾向于针对企业而不是个人,并要求大量资金来解密其文件。3． 美创安全实验室捕获到了该病毒的最新变种,发现该勒索病毒运行后,其不仅会加密磁盘中的重要文件,还会关闭本地防火墙功能。

  1、从普通用户专向中大型政企现在的勒索病毒,从广泛而浅层的普通用户,明显转向了中大型政企机构、行业组织。很多企业系统因为管理的原因,或系统版本较低,不能及时安装补丁等客观因素,导致企业网络更容易被入侵,而企业数据的高价值,这便导致企业受害者倾向于支付赎金挽回数据。

  当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁公开受害者的来勒索。Sodinokibi勒索团伙曾在黑客论坛发声,称如果被攻击者拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。数据泄露对大规模的公司而言,带来的损失可能更严重,不仅会导致非常严重的经济损失,还会使企业形象受损,导致非常严重的负面影响。

  6、勒索病毒多平台扩散目前受到的勒索病毒攻击主要是windows系统,但也陆续出现了针对MacOS、Linux等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增加。预测勒索病毒运营团队会把更多的目光转向针对云服务器提供商或运营商,对云上的数据来进行加密勒索。

  中国作为拥有10亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。

  有些勒索家族在感染目标中不断搜寻敏感信息,包括军事机密、银行信息、欺诈、刑事调查文件,行动举止完全不像为了图财。此外,有些“勒索病毒”会对文件玩了命似的多次加密,甚至对文件进行无法修复的破坏,完全断了收赎金的后路。勒索病毒防御方法

  面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大新老用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染。1、针对个人用户的安全建议

  养成良好的安全习惯1)使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。

  2)重要的文档、数据定时进行非本地备份,一旦文件损坏或丢失,也可以及时找回。3)使用高强度且无规律的密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码。不使用弱口令,以防止攻击者破解。

  4)安装具有主动防御的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为莫轻易才去放行操作。

  6)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被攻击的风险。

  8)不要点击来源不明的邮件附件,不从不明网站下载软件,警惕伪装为浏览器更新或者flash更新的病毒。

  2、针对企业用户的安全建议1)及时给办公终端与服务器打补丁,修复漏洞,包括操作系统和第三方应用的补丁,防止攻击者通过漏洞入侵系统。2)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。3)不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。4)企业用户应采取高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不会再使用的账户。5)对重要的数据文件定时进行非本地备份,一旦文件损坏或丢失,也可以及时找回。6)尽量关闭不必要的文件共享。7)提高安全运维人员职业素养,定时进行木马病毒查杀。8)安装诺亚防勒索软件,防御未知勒索病毒。美创诺亚防勒索防护能力介绍

  为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。 美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

  无诺亚防勒索防护的情况下:在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加“．198-89F-E84”加密后缀,并且无法正常打开。

  开启诺亚防勒索的情况下:双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。

  查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。

  运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。