2019年是勒索病毒針對企業進行攻擊“爆發”的一年。這一年,彷彿全球各地都在被“勒索”,每天都有不同的政府、企業、組織機構被勒索病毒攻擊的新聞出現。勒索病毒已經成爲網絡安全最大的威脅。利用勒索病毒犯罪也是全球危害最大的網絡犯罪組織活動。下面我們來盤點一下2019年全球十大流行勒索病毒家族。
一、STOP勒索病毒
STOP勒索病毒最早出現在2018年2月份左右。
從2018年8月份開始在全球活躍,它主要通過捆綁其它破解軟件、廣告類軟件包等渠道進行感染傳播。而最近一兩年,STOP勒索病毒通過捆綁KMS激活工具進行傳播,甚至還捆綁過其他防毒軟件。
截至目前,此勒索病毒一共有160多個變種。雖然此前Emsisoft公司已經發布過它的解密工具,能解密140多個變種,但最新的一批STOP勒索病毒仍無法解密。如下所示:
勒索提示信息,如下所示:
二、GandCrab勒索病毒
2018年1月,首次觀察到GandCrab勒索病毒感染韓國公司。
此後,該勒索病毒迅速在全球擴張,包括2018年初的美國受害者,至少8個關鍵基礎設施部門受此影響。因此,GandCrab迅速成爲最流行的勒索病毒。估計2018年中期,該勒索病毒已經佔據勒索軟件市場份額的50%。
專家估計,GandCrab在全球範圍感染超過500000名受害者,造成超過3億美元的損失。它使用勒索軟件即服務(RaaS)的商業模式運營,通過將惡意軟件賣給購買勒索病毒服務的合作伙伴,來換取40%的贖金。
從2018年1月到2019年6月,此勒索病毒多現多個不同的變種。2019年1月,此勒索病毒GandCrab5.1變種版本開始在全球流行,直到2019年6月1日,GandCrab勒索病毒運營團隊宣佈關閉他們的網站,並聲稱他們已經賺了20億美元贖金。
兩週後,Bitdefender與歐州刑警組織、聯邦調查局、衆多執法部門以及NoMoreRansom機構合作,發佈GandCrab勒索病毒的解密工具,可以適用於GandCrab1.0、4.0、5、5.2等版本,此勒索病毒的故事就此結束,加密後的文件,如下所示:
勒索提示信息,如下所示:
最近半年確實沒有發現這款勒索病毒的最新變種,取而代之的是另一款新型勒索病毒REvil/Sodinokibi,而且這款勒索病毒全版本的解密工具也已經公佈。
三、REvil/Sodinokibi勒索病毒
Sodinokibi勒索病毒(也稱REvil),2019年5月24日首次在意大利被發現。
在意大利,它被發現使用RDP攻擊方式進行傳播感染。這款病毒也被稱爲GandCrab勒索病毒接班人。短短幾個月,它就在全球大範圍傳播。這款勒索病毒與GandCrab存在很多關聯。國外安全研究人員此前已經發布多篇關於這兩款勒索病毒相關聯的文章。
Sodinokibi勒索病毒也是採用RaaS模式進行分發和營銷,並採用一些免殺技術避免安全軟件檢測到。它主要利用Oracle WebLogic漏洞、Flash UAF漏洞、網絡釣魚郵件、RDP端口、漏洞利用工具包等方式發起攻擊。
此勒索病毒加密後的文件,如下所示:
勒索提示信息,如下所示:
四、Globelmposter勒索病毒
Globelmposter勒索病毒首次出現於2017年5月份,它主要通過釣魚郵件進行傳播。
2018年2月,國內各大醫院爆發Globelmposter變種樣本2.0版本,通過溯源分析發現此勒索病毒可能是通過RDP爆破、社會工程等方式進行傳播。
此勒索病毒採用RSA2048加密算法,導致加密後的文件無法解密。隨後一年多的時間裏,這款勒索病毒不斷變種,2018年8月出現此勒索病毒的“十二生肖”版,2019年7月出現此勒索病毒的“十二主神”版。兩大版本相差正好一年時間,“十二主神”版後面又出現一些小版本變化,主要是加密後的文件後綴出現微小變化。
此勒索病毒加密後的文件,如下所示:
勒索提示信息,如下所示:
五、CrySiS/Dharma勒索病毒
CrySiS勒索病毒,又稱Dharma,首次出現於2016年。
2017年5月,此勒索病毒的萬能密鑰被公佈後,之前樣本可以解密,導致此勒索病毒曾消失一段時間,不過隨後又馬上出現其最新的變種樣本,加密後綴爲java。
通過RDP暴力破解的方式進入受害者服務器加密勒索,此勒索病毒加密算法採用AES+RSA方式,導致加密後文件無法解密,在最近一年時間裏,這款勒索病毒異常活躍,變種已經達到一百多個。
此勒索病毒加密後的文件,如下所示:
勒索提示信息,如下所示:
六、Phobos勒索病毒
Phobos勒索病毒在2019年非常活躍。
它首次出現於2018年12月,國外安全研究人員當時發現一種新型勒索病毒,加密後的文件後綴名爲Phobos,這款新型勒索病毒與CrySiS(Dharma)勒索病毒有很多相似之處,同樣使用RDP暴力破解的方式進行傳播,兩者使用非常相似的勒索提示信息,所以很容易搞混淆。
想要確認是哪個家族的勒索病毒,最好方式就是捕獲到相應的樣本,然後通過人工分析進行確認。單純的通過勒索提示信息,很難辨別,兩款勒索病毒背後是否是相同的黑客團伙在運營,需要捕獲到更多證據。此勒索病毒加密後的文件,如下所示:
勒索提示信息,如下所示:
七、Ryuk勒索病毒
Ryuk勒索病毒最早於2018年8月被發現,它由俄羅斯黑客團伙GrimSpider幕後操作運營。
GrimSpider是一個網絡犯罪集團,使用Ryuk勒索軟件對大型企業及組織進行針對性攻擊。C.R.A.M. TG Soft(反惡意軟件研究中心)發現Ryuk勒索軟件主要是通過利用其他惡意軟件如Emotet或TrickBot等銀行木馬進行傳播。
Emotet和TrickBot銀行木馬主要用於盜取受害者銀行網站登錄憑據,同時充當下載器功能,提供下載其它勒索病毒服務。Emotet和TrickBot銀行木馬傳播Ryuk勒索病毒,是因爲TrickBot銀行木馬傳播渠道的運營者是俄羅斯黑客團伙WIZARD SPIDER。而GRIM SPIDER是俄羅斯黑客團伙WIZARD SPIDER的部門之一。此勒索病毒加密後的文件,如下所示:
勒索提示信息,如下所示:
八、Maze(迷宮)勒索病毒
Maze(迷宮)勒索病毒,又稱Chacha勒索病毒,最早於2019年5月由Malwarebytes安全研究員發現。
此勒索病毒主要通過各種漏洞利用工具包Fallout、Spelevo,僞裝成合法加密貨幣交換應用程序的假冒站點或掛馬網站等方式進行分發傳播。最近一段時間裏,Proofpoint安全研究人員發現一個新型的黑客組織TA2101,通過垃圾郵件的方式對德國、意大利、美國發起網絡攻擊,傳播Maze(迷宮)勒索病毒。
此勒索病毒加密後的文件,如下所示:
勒索提示信息,如下所示:
九、Buran勒索病毒
Buran勒索病毒首次出現於2019年5月,它是一款基於RaaS模式傳播的新型勒索病毒。
Buran在一個著名的俄羅斯論壇中銷售。與其他基於RaaS勒索病毒獲得30%-40%的收入不同,Buran勒索病毒的作者僅佔感染產生的25%收入,安全研究人員認爲Buran是Jumper勒索病毒的變種樣本,同時VegaLocker勒索病毒是該家族最初的起源,由於其豐厚的利潤,使其迅速開始在全球傳播感染。
Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包進行傳播,其利用了IE的一個比較嚴重的漏洞CVE-2018-8174。近期發現,此勒索病毒利用IQY(Microsoft Excel Web查詢文件)進行傳播。此勒索病毒加密後的文件,如下所示:
勒索病毒信息,如下所示:
十、MegaCortex勒索病毒
MegeCortex勒索病毒最早於2019年1月份被人在VT上發現。當時,有人在VT上傳了一個惡意樣本,英國網絡安全公司Sophos在5月份發佈一個關於MegaCortex勒索病毒的相關分析報告。
筆者此前在分析時發現,此勒索病毒早期版本與去年流行的SamSam勒索病毒有些類似,都使用了BAT腳本,同時都使用密碼參數,兩款勒索病毒的負載加載手法類似,不過暫時還沒有更多證據證明兩款勒索病毒存在關聯。
MegaCortex勒索病毒從1月份被人上傳到VT後,網絡安全公司Sophos監控到此勒索病毒的數量一直在增加,並對此勒索病毒進行詳細分析報道,該勒索病毒曾經對歐州和北美多個行業發起過勒索攻擊,並要求支付高額贖金,美國、加拿大、荷蘭、愛爾蘭、意大利和法國等國家的一些企業網絡都曾受到此勒索病毒的攻擊。
2019年8月,MegaCortex勒索病毒V2.0版本被發現,重新設計負載的運行過程,它會自動執行不需要安裝密碼的要求,作者將密碼硬編碼在了二進制文件中,同時還加入一些反分析,以及阻止和殺死各種安全產品和服務的功能,此過程在之前的版本中是通過在在每個受害者主機上手動執行相關的批處理腳本來完成的,最新的版本不需要手動執行,都封裝在了二進制程序中。此勒索病毒加密後的文件,如下所示:
勒索提示信息,如下所示:
全球這些主流的勒索病毒,筆者都曾詳細跟蹤並研究過,相關報告可以查看之前文章,2019年下半年又出現了一些新型的勒索病毒,比方NEMTY勒索病毒、EvaRichter(GermanWiper)勒索病毒等。這幾款新型的勒索病毒主要在國外比較流行,目前發現的大部分流行勒索病毒暫時無法解密,重點在防禦,針對勒索病毒的一般防範措施,筆者總結了以下幾條建議,僅供參考:
1、及時給電腦打補丁,修復漏洞;
2、謹慎打開來歷不明的郵件,點擊其中鏈接或下載附件,防止網絡掛馬和郵件附件攻擊;
3、儘量不要點擊office宏運行提示,避免來自office組件的病毒感染;
4、需要的軟件從正規(官網)途徑下載,不要用雙擊方式打開.js、.vbs、.bat等後綴名的腳本文件;
5、升級防病毒軟件到最新的防病毒庫,阻止已知病毒樣本的攻擊;
6、開啓Windows Update自動更新設置,定期對系統進行升級;
7、養成良好的備份習慣,對重要數據文件定期進行非本地備份,及時使用網盤或移動硬盤備份個人重要文件;
8、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因爲統一的密碼會導致一臺被攻破,多臺遭殃,黑客會通過相同的弱密碼攻擊其它主機;
9、如果業務上無需使用RDP的,建議關閉RDP,以防被黑客RDP爆破攻擊
通過筆者一直跟蹤與分析,預測勒索病毒攻擊在明年可能會越來越多,而且使用的攻擊手法會越來越複雜,攻擊也會越來越具有針對性和目的性,不排除未來會有更多的新型黑客組織加入進來,通過勒索病毒迅速獲利,各企業要做好相應的防範措施,提高自身員工的安全意識,以防中招。(作者:熊貓正正,本文轉自freebuf)