热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

2018上半年勒索病毒趋势分析

通过对勒索病毒的长期监测与跟踪分析,发现2018年上半年勒索病毒的攻击目标、传播方式、技术门槛、新家族变种、赎金支付方式等方面均呈现出新的特点:从2017年下半年开始,勒索病毒的攻击目标逐渐从个人用户转向服务器及企业用户,由于这部分电脑的文件被加密后可能会导致企业服务中断或正常经营受影响,数据资产价值要远高于个人用户,因此主动支付赎金的意愿较高。从感染量来说这部分可能并不高,但造成的损失和影响范围

一、勒索病毒表现出五大新特点

通过对勒索病毒的长期监测与跟踪分析,发现2018年上半年勒索病毒的攻击目标、传播方式、技术门槛、新家族/变种、赎金支付方式等方面均呈现出新的特点:

2018上半年勒索病毒趋势分析

1. Windows服务器成重灾区,中小企业受灾严重

从2017年下半年开始,勒索病毒的攻击目标逐渐从个人用户转向服务器及企业用户,由于这部分电脑的文件被加密后可能会导致企业服务中断或正常经营受影响,数据资产价值要远高于个人用户,因此主动支付赎金的意愿较高。从感染量来说这部分可能并不高,但造成的损失和影响范围却远高于个人用户。年初国内2家医院连遭比特币勒索,所有数据文件被强行加密,导致系统瘫痪,患者一度无法正常就医。

中小企业由于在安全方面投入不足,缺乏专业的安全运维,漏洞修补不及时,一直以来都是黑客攻击的重灾区。同时由于文件被加密后严重影响到正常的服务或经营,只能被迫支付赎金,这也进一步助长了勒索病毒对Windows服务器和中小企业的攻击,同时也开始出现一些针对特定目标的精准勒索。

2. 通过RDP弱口令暴力破解服务器密码人工投毒成为主流传播方式

勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。然而,从2016年下半年开始,随着Crysis/XTBL的出现,通过RDP弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。到了2018年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以GlobeImposter、Crysis为代表,感染用户数量最多,破坏性最强。

3. 新家族不断增多,变种更新频繁

从Locky、Cerber、WannaCry、NotPetya、GlobeImposter、Crysis、Satan等到后来的GandCrab、MindLost、Blackrouter、Avcrypt、Scarab、Paradise乃至XiaoBa、麒麟2.1等国产化勒索病毒,勒索病毒阵营不断壮大的同时变种也不断增多。典型的如“后起之秀“GandCrab,从2018年1月份被发现至今,半年不到的时间已经经历了4个大版本的更新。

4. 受害者支付赎金的方式多样化

除比特币外,门罗币、以太币逐渐被接受用于支付赎金(上海某公立医院系统被黑,黑客勒索价值2亿元以太币),GandCrab则盯上了更加小众的DASH币(达世币,匿名性更高)。年初国外网络安全机构近日截获一组名为MindLost的新型勒索病毒,和以往的勒索病毒最大不同在于,MindLost不再要求“中招”用户使用比特币等数字货币支付赎金,而是要求受害者使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子牟取更大利益。通过QQ等聊天 工具 传播的国产勒索病毒"麒麟2.1"则更是支持支付宝扫码转账。

5. 病毒制作和传播门槛不断降低

RDP 暴力破解是目前的主要传播方式,而且这种方式呈现流水化作业方式,爆破方和最终的病毒投放者可能是不同的团伙,后者可在黑产地下市场购买所谓的肉鸡进行勒索攻击。病毒制作也无需投放者亲自开发,黑产地下市场同样可购买专业的病毒制作工具,简单填写有几个参数就可生成新款的病毒程序,这更加降低了勒索病毒的技术门槛。

漏洞利用方面,大多借助成熟的利用工具进行攻击。比如2017年5.12日Wannacry爆发,“永恒之蓝”利用公开化,便出现了一系列利用“永恒之蓝”传播的勒索病毒、挖矿等恶意程序。还有RIG、GrandSoft等漏洞利用工具包、Flash 0day (CVE-2018-4878)、JBOSS反序列化漏洞(CVE-2017-12149)、JBOSS默认配置漏洞(CVE-2010-0738)、Weblogic WLS 组件漏洞(CVE-2017-10271)、PUT任意上传文件漏洞、Tomcat Web管理后台弱口令爆破等也被广泛利用。主攻Windows服务器的Satan勒索病毒的开发者甚至允许用户通过网站生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本。AutoIt等脚本语言甚至采用一些正常的文件、磁盘加密软件用于勒索,勒索病毒从制作到传播的技术门槛不断降低。

二、最为活跃的四大勒索病毒家族

Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族,传播量占到上半年勒索病毒传播总量的90%以上。

其中,GandCrab是2018年出现的新星,截至目前已经迅速迭代至4.1版本;Satan在半年时间内则更新了3大版本;期间更有国内外各种新型勒索病毒不断出现,比如肆虐北美的Samsam,以及2017年开始攻击韩国的Magniber 2018年上半年也开始进入我国,给网络安全及网络基础设施造成了严重的危害,波及人们日常生活的方方面面。

1. Globelmposter

Globelmposter家族在2017年5月份被首次发现,后陆续发现.freeman、.panda、.reserve、.true+、.walker、.gotham、.techno、.chak等多个变种。

今年春节刚过,国内2家医院先后被Globelmposter勒索病毒(.true变种)大规模攻击,要求6个小时内支付1个比特币,造成医院系统瘫痪,大批患者滞留、无法正常就医。

2. Crysis

2016年2月,恶意软件Crysis开始加入勒索功能,并于8月份被发现用于攻击澳大利亚和新西兰的企业。10月出现的XTBL变种则明确通过RDP暴力破解进行传播,中国境内有部分个人和企业开始受到攻击。Crysis后续不断发现有.dharma、.arena、.java、.arrow、.bip等变种在国内传播。

GlobeImposter和Crysis传播方式比较相似,根据我们对受害用户的分析发现主要是下面几种情况导致:第一大类为RDP爆破的方式,黑客远程登录用户计算机手动卸载或利用黑客工具关闭杀毒软件后人工投毒;其次则是由于文件共享的原因被加密,这类用户一般本机并没有感染病毒,而是局域网内其它机器染毒,造成这台机器共享出去的文件被加密。还有就是黑客一旦通过服务器登录进入内网后,会采用包括RDP爆破、Mimikatz渗透等方式进行内网横向移动,因此往往这种勒索病毒在同一个受害用户内部有多台机器被同时感染。正是上述原因使得GlobeImposter和Crysis成为感染量最多的勒索病毒。截至目前我们接到的用户反馈几乎全都是这种感染,这说明,继RDP暴力破解的传播方式在2017年成为主流后,2018年上半年仍是以此种方式为主。此外,钓鱼邮件、破解软件及伪装成正常程序诱导用户点击等也是其传播的渠道,不过量相对较少。Crysis和GlobeImposter勒索病毒的不同变种会有不同的联系邮箱,这意味着不同变种背后可能有不同的团队在传播。

3. GandCrab

GandCrab勒索病毒最早发现于2018年1月份,短短半年时间历经4大版本更新,7.1号出现的最新版本会将文件加密为.KRAB后缀(国内已有传播),跟之前版本一样要求受害者通过TOR付款网站获取赎金金额:价值约1200-1600美金的比特币/达世币。

该病毒主要通过钓鱼邮件、网页挂马、浏览器漏洞及捆绑在破解软件中传播,此外还多次被发现通过伪装成网页乱码及Flash播放异常,诱导用户下载“字体更新”和“Flash“程序,该病毒截至目前尚未发现具有自动网络传播感染能力。

4. Satan

撒旦(Satan)勒索病毒首次出现2017年1月份,Satan病毒的开发者通过网站(已关闭)允许用户生成自己的Satan变种,并且提供CHM和带有宏脚本的WORD文档下载器的生成脚本。截至2018年6月,Satan已更新至第四个大版本(其中有3个大版本是最近半年更新的),加密后缀从.stn变为.dbger,赎金也从0.1个比特币一路上涨至1个比特币,并声称超过三天不付赎金就不会再帮助用户解密文件。

传播上除RDP远程爆破、“永恒之蓝“外,还利用了Weblogic WLS 组件漏洞(CVE-2017-10271)、Tomcat web管理后台弱口令爆破、Put任意上传文件漏洞、JBoss反序列化漏洞(CVE-2017-12149)等一系列Web服务器漏洞,主要针对服务器的数据库文件进行加密,非常具有针对性。

三. 拒绝勒索病毒的技巧

提醒各位个人用户及企业内网、服务器管理员养成良好的安全习惯,提高风险防范意识,并正确使用安全软件,避免勒索病毒给我们的工作和生活造成严重影响或重大损失:

(1)避免弱口令,弱口令是目前主机安全第一大安全隐患,应力避。建议登录口令尽量采用大小写、字母、数字、特殊符号混合的组合结构,且口令位数应足够长,并在登陆安全策略里限制登录失败次数,定期更换登录口令。

(2)多台机器不使用相同或相似的口令。

(3)重要资料定期隔离备份。

(4)定期检测系统漏洞并修复,及时更新Flash、 Java 、以及一系列Web服务程序,打齐安全补丁。

(5)共享文件夹设置访问权限管理,尽量采用云协作或内部搭建的wiki系统实现资料共享。

(6)如非需要,尽量关闭3389、445、139、135等不用的高危端口,禁用Office宏。

(7)不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描,确认安全性,尽量从软件管家或官网等可信渠道下载软件。

(8)安装专业的安全防护软件,保持监控开启,并经常更新病毒库。

(9)对于安全软件报毒的程序,特别是辅助、破解类软件不要主观觉得是误报,尽量上传至VT等在线扫描引擎查下报毒情况。


以上所述就是小编给大家介绍的《2018上半年勒索病毒趋势分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 我们 的支持!


推荐阅读
  • 嵌入式开发环境搭建与文件传输指南
    本文详细介绍了如何为嵌入式应用开发搭建必要的软硬件环境,并提供了通过串口和网线两种方式将文件传输到开发板的具体步骤。适合Linux开发初学者参考。 ... [详细]
  • 本文详细介绍了如何在云服务器上配置Nginx、Tomcat、JDK和MySQL。涵盖从下载、安装到配置的完整步骤,帮助读者快速搭建Java Web开发环境。 ... [详细]
  • docker镜像重启_docker怎么启动镜像dock ... [详细]
  • Coursera ML 机器学习
    2019独角兽企业重金招聘Python工程师标准线性回归算法计算过程CostFunction梯度下降算法多变量回归![选择特征](https:static.oschina.n ... [详细]
  • Python Django大学生心理健康管理系统开发(含源码、文档)
    本项目包含完整的源代码、设计文档、数据库结构以及详细的安装指南,旨在为计算机专业的学生提供一个全面的心理健康管理系统解决方案。 ... [详细]
  • 使用JS、HTML5和C3创建自定义弹出窗口
    本文介绍如何结合JavaScript、HTML5和C3.js来实现一个功能丰富的自定义弹出窗口。通过具体的代码示例,详细讲解了实现过程中的关键步骤和技术要点。 ... [详细]
  • 搭建Jenkins、Ant与TestNG集成环境
    本文详细介绍了如何在Ubuntu 16.04系统上配置Jenkins、Ant和TestNG的集成开发环境,涵盖从安装到配置的具体步骤,并提供了创建Windows Slave节点及项目构建的指南。 ... [详细]
  • 软件工程课堂测试2
    要做一个简单的保存网页界面,首先用jsp写出保存界面,本次界面比较简单,首先是三个提示语,后面是三个输入框,然 ... [详细]
  • 当unique验证运到图片上传时
    2019独角兽企业重金招聘Python工程师标准model:public$imageFile;publicfunctionrules(){return[[[na ... [详细]
  • 本文将详细介绍通过CAS(Central Authentication Service)实现单点登录的原理和步骤。CAS由耶鲁大学开发,旨在为多应用系统提供统一的身份认证服务。文中不仅涵盖了CAS的基本架构,还提供了具体的配置实例,帮助读者更好地理解和应用这一技术。 ... [详细]
  • 本文介绍如何在Linux系统中卸载预装的OpenJDK,安装指定版本的JDK 1.8,并配置防火墙以确保系统安全性和软件兼容性。 ... [详细]
  • 在Java应用程序开发过程中,FTP协议被广泛用于文件的上传和下载操作。本文通过Jakarta Commons Net库中的FTPClient类,详细介绍如何实现文件的上传和下载功能。 ... [详细]
  • 本文详细介绍了如何正确安装Java EE SDK,并解决在安装过程中可能遇到的问题,特别是关于servlet代码在Apache Tomcat 10中无法运行的情况。 ... [详细]
  • 本文深入探讨了JavaScript中实现继承的四种常见方法,包括原型链继承、构造函数继承、组合继承和寄生组合继承。对于正在学习或从事Web前端开发的技术人员来说,理解这些继承模式对于提高代码质量和维护性至关重要。 ... [详细]
  • 字节跳动夏季招聘面试经验分享
    本文详细记录了字节跳动夏季招聘的面试经历,涵盖了一、二、三轮面试的技术问题及项目讨论,旨在为准备类似面试的求职者提供参考。 ... [详细]
author-avatar
心茈天天开心启q
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有