【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

盘点:2019 年全球 10 大“流行”勒索病毒

  • 2019-12-09
  • 本文字数:4000 字

    阅读完需:约 13 分钟

盘点:2019年全球10大“流行”勒索病毒


2019 年是勒索病毒针对企业进行攻击“爆发”的一年。这一年,仿佛全球各地都在被“勒索”,每天都有不同的政府、企业、组织机构被勒索病毒攻击的新闻出现。勒索病毒已经成为网络安全最大的威胁。利用勒索病毒犯罪也是全球危害最大的网络犯罪组织活动。下面我们来盘点一下 2019 年全球十大流行勒索病毒家族。

一、STOP 勒索病毒

STOP勒索病毒最早出现在 2018 年 2 月份左右。


从 2018 年 8 月份开始在全球活跃,它主要通过捆绑其它破解软件、广告类软件包等渠道进行感染传播。而最近一两年,STOP 勒索病毒通过捆绑 KMS 激活工具进行传播,甚至还捆绑过其他防毒软件。


截至目前,此勒索病毒一共有 160 多个变种。虽然此前 Emsisoft 公司已经发布过它的解密工具,能解密 140 多个变种,但最新的一批 STOP 勒索病毒仍无法解密。如下所示:



勒索提示信息,如下所示:


二、GandCrab 勒索病毒

2018 年 1 月,首次观察到GandCrab勒索病毒感染韩国公司。


此后,该勒索病毒迅速在全球扩张,包括 2018 年初的美国受害者,至少 8 个关键基础设施部门受此影响。因此,GandCrab 迅速成为最流行的勒索病毒。估计 2018 年中期,该勒索病毒已经占据勒索软件市场份额的 50%。


专家估计,GandCrab 在全球范围感染超过 500000 名受害者,造成超过 3 亿美元的损失。它使用勒索软件即服务(RaaS)的商业模式运营,通过将恶意软件卖给购买勒索病毒服务的合作伙伴,来换取 40%的赎金。


从 2018 年 1 月到 2019 年 6 月,此勒索病毒多现多个不同的变种。2019 年 1 月,此勒索病毒 GandCrab5.1 变种版本开始在全球流行,直到 2019 年 6 月 1 日,GandCrab 勒索病毒运营团队宣布关闭他们的网站,并声称他们已经赚了 20 亿美元赎金。


两周后,Bitdefender 与欧州刑警组织、联邦调查局、众多执法部门以及 NoMoreRansom 机构合作,发布 GandCrab 勒索病毒的解密工具,可以适用于 GandCrab1.0、4.0、5、5.2 等版本,此勒索病毒的故事就此结束,加密后的文件,如下所示:



勒索提示信息,如下所示:



最近半年确实没有发现这款勒索病毒的最新变种,取而代之的是另一款新型勒索病毒 REvil/Sodinokibi,而且这款勒索病毒全版本的解密工具也已经公布。

三、REvil/Sodinokibi 勒索病毒

Sodinokibi 勒索病毒(也称 REvil),2019 年 5 月 24 日首次在意大利被发现。


在意大利,它被发现使用 RDP 攻击方式进行传播感染。这款病毒也被称为 GandCrab 勒索病毒接班人。短短几个月,它就在全球大范围传播。这款勒索病毒与 GandCrab 存在很多关联。国外安全研究人员此前已经发布多篇关于这两款勒索病毒相关联的文章。


Sodinokibi 勒索病毒也是采用 RaaS 模式进行分发和营销,并采用一些免杀技术避免安全软件检测到。它主要利用Oracle WebLogic漏洞、Flash UAF 漏洞、网络钓鱼邮件、RDP 端口、漏洞利用工具包等方式发起攻击。


此勒索病毒加密后的文件,如下所示:



勒索提示信息,如下所示:


四、Globelmposter 勒索病毒

Globelmposter勒索病毒首次出现于 2017 年 5 月份,它主要通过钓鱼邮件进行传播。


2018 年 2 月,国内各大医院爆发 Globelmposter 变种样本 2.0 版本,通过溯源分析发现此勒索病毒可能是通过 RDP 爆破、社会工程等方式进行传播。


此勒索病毒采用 RSA2048 加密算法,导致加密后的文件无法解密。随后一年多的时间里,这款勒索病毒不断变种,2018 年 8 月出现此勒索病毒的“十二生肖”版,2019 年 7 月出现此勒索病毒的“十二主神”版。两大版本相差正好一年时间,“十二主神”版后面又出现一些小版本变化,主要是加密后的文件后缀出现微小变化。


此勒索病毒加密后的文件,如下所示:



勒索提示信息,如下所示:


五、CrySiS/Dharma 勒索病毒

CrySiS 勒索病毒,又称 Dharma,首次出现于 2016 年。


2017 年 5 月,此勒索病毒的万能密钥被公布后,之前样本可以解密,导致此勒索病毒曾消失一段时间,不过随后又马上出现其最新的变种样本,加密后缀为 java。


通过 RDP 暴力破解的方式进入受害者服务器加密勒索,此勒索病毒加密算法采用 AES+RSA 方式,导致加密后文件无法解密,在最近一年时间里,这款勒索病毒异常活跃,变种已经达到一百多个。


此勒索病毒加密后的文件,如下所示:



勒索提示信息,如下所示:


六、Phobos 勒索病毒

Phobos 勒索病毒在 2019 年非常活跃。


它首次出现于 2018 年 12 月,国外安全研究人员当时发现一种新型勒索病毒,加密后的文件后缀名为 Phobos,这款新型勒索病毒与 CrySiS(Dharma)勒索病毒有很多相似之处,同样使用 RDP 暴力破解的方式进行传播,两者使用非常相似的勒索提示信息,所以很容易搞混淆。


想要确认是哪个家族的勒索病毒,最好方式就是捕获到相应的样本,然后通过人工分析进行确认。单纯的通过勒索提示信息,很难辨别,两款勒索病毒背后是否是相同的黑客团伙在运营,需要捕获到更多证据。此勒索病毒加密后的文件,如下所示:



勒索提示信息,如下所示:


七、Ryuk 勒索病毒

Ryuk 勒索病毒最早于 2018 年 8 月被发现,它由俄罗斯黑客团伙 GrimSpider 幕后操作运营。


GrimSpider 是一个网络犯罪集团,使用 Ryuk 勒索软件对大型企业及组织进行针对性攻击。C.R.A.M. TG Soft(反恶意软件研究中心)发现 Ryuk 勒索软件主要是通过利用其他恶意软件如 Emotet 或 TrickBot 等银行木马进行传播。


Emotet 和 TrickBot 银行木马主要用于盗取受害者银行网站登录凭据,同时充当下载器功能,提供下载其它勒索病毒服务。Emotet 和 TrickBot 银行木马传播 Ryuk 勒索病毒,是因为 TrickBot 银行木马传播渠道的运营者是俄罗斯黑客团伙 WIZARD SPIDER。而 GRIM SPIDER 是俄罗斯黑客团伙 WIZARD SPIDER 的部门之一。此勒索病毒加密后的文件,如下所示:



勒索提示信息,如下所示:


八、Maze(迷宫)勒索病毒

Maze(迷宫)勒索病毒,又称 Chacha 勒索病毒,最早于 2019 年 5 月由 Malwarebytes 安全研究员发现。


此勒索病毒主要通过各种漏洞利用工具包 Fallout、Spelevo,伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播。最近一段时间里,Proofpoint 安全研究人员发现一个新型的黑客组织 TA2101,通过垃圾邮件的方式对德国、意大利、美国发起网络攻击,传播 Maze(迷宫)勒索病毒。


此勒索病毒加密后的文件,如下所示:



勒索提示信息,如下所示:


九、Buran 勒索病毒

Buran 勒索病毒首次出现于 2019 年 5 月,它是一款基于RaaS模式传播的新型勒索病毒。


Buran 在一个著名的俄罗斯论坛中销售。与其他基于 RaaS 勒索病毒获得 30%-40%的收入不同,Buran 勒索病毒的作者仅占感染产生的 25%收入,安全研究人员认为 Buran 是 Jumper 勒索病毒的变种样本,同时 VegaLocker 勒索病毒是该家族最初的起源,由于其丰厚的利润,使其迅速开始在全球传播感染。


Buran 勒索病毒此前使用 RIG Exploit Kit 漏洞利用工具包进行传播,其利用了 IE 的一个比较严重的漏洞 CVE-2018-8174。近期发现,此勒索病毒利用 IQY(Microsoft Excel Web 查询文件)进行传播。此勒索病毒加密后的文件,如下所示:



勒索病毒信息,如下所示:


十、MegaCortex 勒索病毒

MegeCortex 勒索病毒最早于 2019 年 1 月份被人在 VT 上发现。当时,有人在 VT 上传了一个恶意样本,英国网络安全公司 Sophos 在 5 月份发布一个关于 MegaCortex 勒索病毒的相关分析报告。


笔者此前在分析时发现,此勒索病毒早期版本与去年流行的 SamSam 勒索病毒有些类似,都使用了 BAT 脚本,同时都使用密码参数,两款勒索病毒的负载加载手法类似,不过暂时还没有更多证据证明两款勒索病毒存在关联。


MegaCortex 勒索病毒从 1 月份被人上传到 VT 后,网络安全公司 Sophos 监控到此勒索病毒的数量一直在增加,并对此勒索病毒进行详细分析报道,该勒索病毒曾经对欧州和北美多个行业发起过勒索攻击,并要求支付高额赎金,美国、加拿大、荷兰、爱尔兰、意大利和法国等国家的一些企业网络都曾受到此勒索病毒的攻击。


2019 年 8 月,MegaCortex 勒索病毒 V2.0 版本被发现,重新设计负载的运行过程,它会自动执行不需要安装密码的要求,作者将密码硬编码在了二进制文件中,同时还加入一些反分析,以及阻止和杀死各种安全产品和服务的功能,此过程在之前的版本中是通过在在每个受害者主机上手动执行相关的批处理脚本来完成的,最新的版本不需要手动执行,都封装在了二进制程序中。此勒索病毒加密后的文件,如下所示:



勒索提示信息,如下所示:



全球这些主流的勒索病毒,笔者都曾详细跟踪并研究过,相关报告可以查看之前文章,2019 年下半年又出现了一些新型的勒索病毒,比方 NEMTY 勒索病毒、EvaRichter(GermanWiper)勒索病毒等。这几款新型的勒索病毒主要在国外比较流行,目前发现的大部分流行勒索病毒暂时无法解密,重点在防御,针对勒索病毒的一般防范措施,笔者总结了以下几条建议,仅供参考:


1、及时给电脑打补丁,修复漏洞;


2、谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击;


3、尽量不要点击 office 宏运行提示,避免来自 office 组件的病毒感染;


4、需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat 等后缀名的脚本文件;


5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击;


6、开启 Windows Update 自动更新设置,定期对系统进行升级;


7、养成良好的备份习惯,对重要数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件;


8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机;


9、如果业务上无需使用 RDP 的,建议关闭 RDP,以防被黑客 RDP 爆破攻击


通过笔者一直跟踪与分析,预测勒索病毒攻击在明年可能会越来越多,而且使用的攻击手法会越来越复杂,攻击也会越来越具有针对性和目的性,不排除未来会有更多的新型黑客组织加入进来,通过勒索病毒迅速获利,各企业要做好相应的防范措施,提高自身员工的安全意识,以防中招。(作者:熊猫正正,本文转自freebuf)


2019-12-09 14:015076

评论

发布
暂无评论
发现更多内容

技术创想 | shiro550和721反序列化简谈

领创集团Advance Intelligence Group

反序列化

JavaScript实现网页截屏五种方法

锋享前端

翻译 | Kubernetes 将改变数据库的管理方式

RadonDB

数据库 Kubernetes RadonDB

周边生态|StreamNative 联合 Cloudera 开源 Apache Pulsar+Apache NiFi 集成处理器

Apache Pulsar

cloudera 开源 架构 云原生 Apache Pulsar

征文丨TiDB 社区专栏第一届征文大赛,快来一次性集齐所有周边吧!

PingCAP

Flink CDC 项目 GitHub star 破 2000,新增来自XTransfer的Maintainer 成员

XTransfer技术

mongodb flink 社区

【工具】多人在线协同编辑文档软件

小炮

团队协作 工作效率

社区活动| Apache Pulsar 中文开发者与用户组志愿者招募

Apache Pulsar

开源 架构 云原生 Apache Pulsar pulsar 社区

一站式运维管理工具平台 OCP 到底有多好用,看这篇文章就够了!

OceanBase 数据库

web前端培训MySQL面试题binlog日志的作用

@零度

MySQL 前端开发

安全大讲堂 | 谭晓生:安全即服务,万物互联下的网络安全新机遇

腾讯安全云鼎实验室

网络安全 商业化 产业安全

java培训JVM基础面试题分享

@零度

Java JVM

Rust类型

Shine

读书笔记 rust

netty系列之:java中的base64编码器

程序那些事

Java 程序那些事 3月月更

2022年了,微信商城小程序还值得做吗?

源字节1号

小程序 微信小程序 开发商城

这门面向应用开发者的 TiDB 使用教程,TiDB SQL、Connector API、架构体系…你一定不能错过!

PingCAP

电科申泰加入龙蜥社区并成为理事单位,共创基础软硬件生态新未来

OpenAnolis小助手

开源 理事单位 申威 软硬件

开源IM项目OpenIM 客户端SDK架构剖析-确保消息的有序性,以及消息百分百可达

Geek_1ef48b

从撞“新秀墙”到带团队,XTransfer海归码农升级之路

XTransfer技术

程序员 职场 创业公司

大数据培训hive数仓存储格式详解

@零度

hive 大数据开发

如何使用 Checkmk 监控 SSL TLS 证书?

Ethereal

私有云与公有云,哪种云模型最适合企业的需求

Ethereal

新华三解答:乘“东数西算”东风 算力网络向何处?

科技热闻

VuePress 博客之 SEO 优化(三)标题、链接优化

冴羽

Vue 前端 vuepress SEO 博客搭建

【C语言】三子棋游戏与多子棋 (保姆级的实现过程)

謓泽

3月月更

数字化时代,如何做好用户体验与应用性能管理

云智慧AIOps社区

监控宝 监控工具 自动化运维 数字化经济

微博系统中”微博评论“的高性能高可用计算架构

Geek_8d5fe5

#架构实战营 「架构实战营」

Web 键盘输入法应用开发指南(9)—— 标准与实现

天择

JavaScript 键盘 输入法 3月月更

MQTT、CoAP 还是 LwM2M?主流物联网协议如何选择

EMQ映云科技

物联网 IoT mqtt emq 物联网协议

在 Manjaro 上安装 Chrome

信号量

chrome Linux

2022 年值得关注的 9 个最新 Java 趋势

Ethereal

盘点:2019年全球10大“流行”勒索病毒_安全_熊猫正正_InfoQ精选文章