安全研究 >> 安全研究详情

盘点:2018霸屏的十大“勒索病毒家族”

作者: 美创科技安全实验室发布日期: 01月28日

2018年,网络安全圈的“活跃份子”必须有一席是属于“勒索病毒”的。随着2016年Locky、Cerber等大爆发,2017年WannaCry的肆虐,2018年依旧“所过之处,寸草不生”,勒索病毒已经无人不知无人不晓。


勒索病毒主要以邮件、程序木马、网页挂马等形式传播,通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。


今天,我们就来盘点分析下,2018年十大最具代表性的家族性勒索病毒。


01WannaCry家族

——利用“永恒之蓝”漏洞传播,危害巨大 

WannaCry勒索病毒,最早出现在2017年5月,通过永恒之蓝漏洞传播,短时间内对整个互联网造成非常大的影响。受害者文件被加上.WNCRY后缀,并弹出勒索窗口,要求支付赎金,才可以解密文件。由于网络中仍存在不少未打补丁的机器,此病毒至今仍然有非常大的影响。 


02BadRabbit家族 

——弱口令攻击,加密文件和MBR 

Bad Rabbit勒索病毒,主要通过水坑网站传播,攻击者攻陷网站,将勒索病毒植入,伪装为adobe公司的flash程序图标,诱导浏览网站的用户下载运行。用户一旦下载运行,勒索病毒就会加密受害者计算机中的文件,加密计算机的MBR,并且会使用弱口令攻击局域网中的其它机器。 


03GlobeImposter家族 

——变种众多持续更新 

GlobeImposter勒索病毒是一种比较活跃的勒索病毒,病毒会加密本地磁盘与共享文件夹的所有文件,导致系统、数据库文件被加密破坏,由于Globelmposter采用RSA算法加密,因此想要解密文件需要作者的RSA私钥,文件加密后几乎无法解密,被加密文件后缀曾用过Techno、DOC、CHAK、FREEMAN、TRUE、RESERVER、ALCO、Dragon444等。 


04GandCrab家族 

——使用达世币勒索,更新频繁 

Gandcrab是首个以达世币(DASH)作为赎金的勒索病毒,此病毒自出现以来持续更新对抗查杀,被加密文件后缀通常被追加上.CRAB .GDCB .KRAB 等后缀。从新版本勒索声明上看没有直接指明赎金类型及金额,而是要求受害用户使用Tor网络或者Jabber即时通讯软件获得下一步行动指令,极大地增加了追踪难度。


随着版本的不断更新,Gandcrab的传播方式多种多样,包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。此病毒至今已出现多个版本,该家族普遍采用较为复杂的RSA+AES混合加密算法,文件加密后几乎无法解密,最近的几个版本为了提高加密速度,对文件加密的算法开始使用Salsa20算法,秘钥被非对称加密算法加密,若没有病毒作者的私钥,正常方式通常无法解密,给受害者造成了极大的损失。


05Crysis家族

——加密文件,删除系统自带卷影备份 

Crysis勒索病毒家族是比较活跃的勒索家族之一。攻击者使用弱口令暴力破解受害者机器,很多公司都是同一个密码,就会导致大量机器中毒。此病毒运行后,加密受害者机器中的文件,删除系统自带的卷影备份,被加密文件后缀格式通常为“编号+邮箱+后缀”,例如:

id-{编号}.[gracey1c6rwhite@aol.com].bip 

id-{编号}.[chivas@aolonline.top].arena


病毒使用AES加密文件,使用RSA加密密钥,在没有攻击者的RSA私钥的情况下,无法解密文件,因此危害较大。


06Cerber家族 

——通过垃圾邮件和挂马网页传播 

Cerber家族是2016年年初出现的一种勒索软件。从年初的1.0版本一直更新到4.0版。传播方式主要是垃圾邮件和EK挂马,索要赎金为1-2个比特币。到目前为止加密过后的文件没有公开办法进行解密。 

07Locky家族

——早期勒索病毒,持续更新多个版本 

Locky家族是2016年流行的勒索软件之一,和Cerber 的传播方式类似,主要采用垃圾邮件和EK,勒索赎金0.5-1个比特币。 

08Satan家族

——使用多种web漏洞和“永恒之蓝”漏洞传播

撒旦Satan勒索病毒运行之后加密受害者计算机文件并勒索赎金,被加密文件后缀为.satan。自诞生以来持续对抗查杀,新版本除了使用永恒之蓝漏洞攻击之外,还增加了其它漏洞攻击。病毒内置了大量的IP列表,中毒后会继续攻击他人。此病毒危害巨大,也给不打补丁的用户敲响了警钟。幸运的是此病毒使用对称加密算法加密,密钥硬编码在病毒程序和被加密文件中,因此可以解密。瑞星最早开发出了针对此病毒的解密工具。 


09Hc家族 

——Python开发,攻击门槛低,危害较大  

Hc家族勒索病毒使用python编写,之后使用pyinstaller打包。攻击者使用弱口令扫描互联网中机器植入病毒。此病毒的出现使勒索病毒的开发门槛进一步降低,但是危险指数并没有降低。通常使用RDP弱口令入侵受害机器植入病毒。早期版本使用对称加密算法,密钥硬编码在病毒文件中,新版本开始使用命令行传递密钥。 

10

LockCrypt家族 

——加密文件,开机提示勒索  

LockCrypt病毒运行后会加密受害者系统中的文件,并修改文件的名称格式为:[$FileID]=ID[$UserID].lock。其中$FileID为原始文件名加密base64编码得到,$UserID 为随机数生成。重启后会弹出勒索信息,要求受害者支付赎金,才可解密文件。 

勒索病毒攻击方式不同

防御措施也要“因地制宜”

安全专家来支招! 


个人用户的防御措施

1、浏览网页时提高警惕,不下载可疑文件,警惕伪装为浏览器更新或者flash更新的病毒。


2、安装杀毒软件,保持监控开启,及时升级病毒库。


3、安装防勒索软件,防御未知勒索病毒。


4、不打开可疑邮件附件,不点击可疑邮件中的链接。


5、及时更新系统补丁,防止受到漏洞攻击。


6、备份重要文件,建议采用本地备份+脱机隔离备份+云端备份。


企业用户的防御措施

1、系统漏洞攻击

防御措施:

(1)及时更新系统补丁,防止攻击者通过漏洞入侵系统。

(2)安装补丁不方便的企业,可安装网络版安全软件,对局域网中的机器统一打补丁。

(3)在不影响业务的前提下,将危险性较高的,容易被漏洞利用的端口修改为其它端口号。如139、445端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。


2、远程访问弱口令攻击

防御措施:

(1)使用复杂密码

(2)更改远程访问的默认端口号,改为其它端口号

(3)禁用系统默认远程访问,使用其它远程管理软件


3、钓鱼邮件攻击

防御措施:

(1)安装杀毒软件,保持监控开启,及时更新病毒库

(2)如果业务不需要,建议关闭office宏,powershell脚本等

(3)开启显示文件扩展名

(4)不打开可疑的邮件附件

(5)不点击邮件中的可疑链接


4、web服务漏洞和弱口令攻击

防御措施:

(1)及时更新web服务器组件,及时安装软件补丁

(2)web服务不要使用弱口令和默认密码


5、数据库漏洞和弱口令攻击

防御措施:

(1)更改数据库软件默认端口

(2)限制远程访问数据库

(3)数据库管理密码不要使用弱口令

(4)及时更新数据库管理软件补丁

(5)及时备份数据库


可以部署“诺亚”防勒索系统等软件,一键防护使用未知攻击手法的勒索病毒的侵害。 


注:本文部分内容摘自FreeBuf.COM

服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1