360勒索病毒补丁(勒索病毒割据网络的第30年)
360勒索病毒补丁文章列表:
勒索病毒割据网络的第30年
作为当下网络黑灰产变现的最佳方式,勒索病毒可以说是全球网络空间阴云密布的幕后推手之一,人人闻之色变。它如同一个暗藏在"代码丛林"中的数字怪物,无需一砖一瓦,仅凭加密文件便在须臾之间堆砌了自己的勒索王国;不费一兵一卒,便让一家企业从黄金时代跌落至凛冽冬日,众人挥泪告别梦想。
当"数字巨兽"轰隆而过,即便没有硝烟,没有炮火,却也留下了难以修复的断壁残垣。
说起来,这巨兽历史悠久,要深度了解它,还得从30年前讲起。
1989年,在大多数人还不知道互联网为何物的时候,哈佛学生约瑟夫·L·波普在遥远的大洋彼岸就开始用网络搞事情了。他制作了一款电脑病毒-AIDS木马,并将其隐藏于软盘之中,分发给了当时在斯德哥尔摩举行的国际卫生组织艾滋病大会的参与者。该木马会监测用户机器重新启动的次数,一旦超过90次,便会隐藏电脑上所有目录并将文件名称加密。随后留下便条称受害用户软件租约已到期,邮寄189美元到指定地址才能重新访问系统。
世界上第一例勒索病毒由此诞生。然而,由于AIDS木马技术相对落后,所以没过多久就遭到了安全专家们的重锤,但这并不影响它引发此后将近30年的勒索病毒攻击浪潮。
时间流淌,AIDS木马带着它独有的理想主义走进了历史深处。而冥冥之中皆有定数,2006年,另一个同样致力于加密文件的“Archievus”勒索病毒登上历史舞台。它会将系统中“我的文档”里面的所有文件都加密,并要求用户从指定网站购买密钥解密文件。与AIDS不同的是,Archievus勒索病毒在攻击中首次使用了非对称加密算法。这种算法的解密难度更大,如果没有专业工具,恢复文件的可能性几乎为零,病毒作者拿到赎金的可能性也就大大增加。尽管如此,此时勒索病毒们瞄准的目标主要是家庭用户,索要的金额也普遍只有数百美元,且以标准货币支付,操作并非十分隐秘。随着网络安全技术的不断发展,这一勒索攻击基本与普通的绑架勒索无异。因此,在这场正义与邪恶的较量之间,勒索病毒其实并不占优势。
但很快,事情迎来了转机,比特币异军突起打破了勒索病毒的困局。
2010年5月,一个名叫LaszloHanyecz的程序员用1万个比特币买了价值25美元的两份披萨,开启了使用虚拟货币秘密支付现实商品的先潮。
这令攻击者如获至宝,相比银行转账,这类虚拟货币具备天然的匿名性,其交易过程极难追踪定位。自此,勒索病毒改弦更张,开始要求用户使用虚拟货币支付赎金。另一方面,随着虚拟货币价格的不断攀升,黑客所收获的勒索利润也水涨船高。自古财帛动人心,巨额利润诱惑下,不少黑客开始铤而走险,他们开始更加大胆地推送勒索软件,瞄准更大的目标发起大规模的攻击。
2017年,美国NSA网络武器库”永恒之蓝”漏洞的泄露,更是天赐良机,一场席卷全球的Wannacry勒索病毒浩劫就此发生,150个国家和地区,30万台电脑被感染,直接经济损失高达500多亿人民币。
前人的造富奇迹让后来者浑身充满了力量,在那之后,各路黑客、病毒制作者默契十足,开启了一轮又一轮“网络淘金热”。
2018年,勒索病毒发展迎来井喷式爆发,GandCrab、Satan、GlobeImposter等各大勒索家族纷纷登场,瞄准全球个人、企业、政府等大规模发起攻击,入侵手段花样翻新,勒索赎金更是屡创新高,网络安全形势愈发扑朔迷离。
世界高速运转,时间线推到了2019。如果说,2018年是勒索病毒井喷式爆发的一年,那么2019就是瞄准企业等大型机构,使用多种入侵手段发动大规模攻击的一年。
GandCrab-“侠盗”落幕,偃旗息鼓
这一年,风靡全球的GandCrab“侠盗”病毒,瞄准医疗行业、银行、政府行政机构、制造业等大型企事业单位发起攻击,足迹遍布罗纳尼亚、巴西、印度等数十个国家和地区,历经5大版本的更新迭代,黑客团伙日进斗金。今年6月份,他们在社交平台上称已赚够超20亿美金,高调宣布隐退。
在此期间,360安全大脑紧密监控“侠盗”动向,拦截其各个版本发起的勒索攻击,360解密大师成功实现对该勒索病毒全系的解密支持,保护了无数用户免遭“侠盗”劫持。
Sodinokibi-接力登场,另起炉灶
随着GandCrab高调退出,它的继任者Sodinokibi(也称 “锁蓝”)勒索病毒接力登场。Sodinokibi主要通过钓鱼邮件、漏洞利用工具、RDP暴力破解等渠道传播,2019年,全国多省大中型企业持续遭到该勒索病毒攻击。其部分变种会将受害者屏幕变成深蓝色,并且以2500-5000美金不等的赎金全球撒网,在不到半年时间,该勒索病毒已非法获利数百万美元。
有趣的是,360安全大脑监测到,Sodinokibi与GandCrab有着明显的代码重叠。据此推断,GandCrab的部分成员或许并没有收手,而是另起炉灶运营起了Sodinokibi。
GlobeImposter-十二生肖,瞄准医疗
GlobeImposter勒索病毒主要通过RDP远程桌面弱口令爆破进行攻击,得手之后会以“十二生肖英文名 444”的后缀名字加密文件,也因此得名“十二生肖”勒索病毒。
它主要通过入侵医院、政府行政机构等大型企事业单位来扩张自己的勒索版图:
2018年初GlobeImposter感染国内一省级儿童医院,严重影响业务运转;
2018年9月GlobeImposter入侵山东十市不动产系统,致其系统停用;
2019年3月10日,360安全大脑监测发现GlobeImposter勒索病毒家族进一步蔓延,多家大型医院受到不同程度的感染。
在GlobeImposter发动的多轮攻击之下,该家族在勒索病毒的占比由2017年的3.2%快速跃升至2018年的24.8%,而2019年上半年更是进一步提升到了26.6%。
“九尾狐”-百足之虫死而不僵
“百足之虫死而不僵”,这句话用于形容Palentray勒索病毒极为贴切。
它以不断变换加密文件后缀著称,自2018年起便在国外大规模传播,短短数月时间,便已更新了amgio_S1、amigo_x3、.mira、.yum、.Pluto以及.Netptune等数个变种,堪称勒索界的“九尾狐妖”,也因此得名“九尾狐”勒索病毒。
针对该勒索病毒攻击态势,360安全大脑极速出击,识别“九尾狐妖”所有变化,国内首家支持该勒索家族全系列解密。
Maze(迷宫)-高价值机器,高金额赎金
Maze(迷宫),又称Chacha勒索病毒,最早于2019年5月份由Malwarebytes安全研究员首次发现。此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo,伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播,高价值的个人电脑、办公电脑以及企业服务器成为重灾区。
纵观勒索病毒发展史,不难看出,在近30年的时间跨度里,这株在理想主义温床下诞生的勒索萌芽,经过岁月的洗礼已逐渐“枝繁叶茂”,正将长成网络空间病毒攻击的“参天大树”。更令人不安的是,相比“抓肉鸡”、“僵尸网络”等这些传统的变现方式,勒索病毒无需多环节操作,其变现能力更为粗暴直接,未来或许将被越来越多的网络“灰黑”产采用。而被打击的目标,在未来也必将已不再局限于计算机和Windows系统。2019年,数据库、各种嵌入式设备、专用设备上均被曝出受到勒索病毒攻击影响,以往主要出现在 Windows 平台的勒索病毒,目前在 Android,MacOS,Linux 上也屡有发生。
此外,勒索病毒在索要赎金的入侵方式上也不断创新求变。2019年,Maze勒索病毒团伙就曾专门创办了一个网站,用于公布那些不配合的受害者信息,并以此作为筹码威胁用户尽快支付赎金。
这种先盗取机要信息,再投放勒索病毒破坏数据的新型攻击形式,对于拥有庞大数据规模和运营体系的企业、政府、银行、医院等大型机构来说,无异于一记重击。在网络飞速发展的当下,数据被称为智能时代的“石油“,是互联网相关行业发展的重中之重,一旦遭遇勒索病毒攻击,必将带来严重损失,甚至会影响到整个城市、国家的正常运转。
对此,总部设在荷兰海牙的欧洲刑警组织与国际刑警组织曾共同发布报告说,2019年最明显的勒索软件攻击是针对地方政府,这对全球城市都是一种警示,未来勒索病毒形势不容乐观。
网络世界波云诡谲,历史舞台肃穆寂静,一束光正照来人。
这些年,360安全大脑持续不断地和勒索病毒、黑产组织甚至国家级网络部队作战,并推出了全球规模最大、最有效的勒索病毒解密工具360解密大师。
据统计,仅2019年前11个月,360解密大师共计更新版本42次,累计支持解密勒索病毒超过320种,服务用户机器超26000台,解密文件近8500万次,挽回损失超5.47亿元。
除此之外,作为全球最大的网络空间雷达防御系统,360安全大脑积累了大量的网络安全大数据和全景攻防知识库、全球顶尖的网络安全专家,可全天候监测捕捉网络安全威胁异动,为个人用户及企业机构持续释放全方位安全守护力。
作为国内最大的网络安全厂商,360集团愿意将360安全大脑的技术输出给各大企业,在全国构建分布式的网络安全大脑体系,以此提升企业应对勒索病毒等大规模网络攻击的能力。
此外,为有效应对此类威胁,360安全大脑建议企业、医院、银行等大型机构进一步加强弱口令、漏洞、文件共享和远程桌面管理等自身信息安全管理能力,做好以下防御措施,保护电脑隐私和财产安全:
1、尽快前往www.360.cn下载安装360安全卫士,全面拦截各类勒索病毒攻击。
2、企业服务器管理员不要为多台机器使用相同的账号和口令,确保登录口令复杂性,并做到定期更换。
3、重要资料的共享文件夹应设置访问权限控制,并进行定期备份;定期检测系统和软件中的安全漏洞,及时打上补丁。
4、个人用户应从正规渠道下载安装软件,慎用各种激活工具;对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
5、遇到陌生人发送的邮件,要谨慎查看,尽量避免下载附件。如需要下载,也要先用安全软件对附件进行检查。
6、中招勒索病毒之后切忌病急乱投医,应立即前往lesuobingdu.360.cn确认所中勒索病毒类型,并在360安全卫士中找到“功能大全”,搜索安装“360解密大师”功能,点击"立即扫描"恢复被加密文件。
若所中病毒为新型病毒,用户可通过“360反勒索服务”向360安全专家寻求帮助:
1)前往360安全卫士的安全防护中心
2)打开其中的“反勒索防护”功能,并点击“申请服务”。按照指导提交必要的资料,并耐心等待工作人员处理。
永恒之蓝克星!360发布漏洞入侵防护超前阻断下一场勒索蠕虫
今年5月,由“永恒之蓝”黑客武器升级而来的WannaCry勒索病毒打开了网络犯罪的潘多拉魔盒。病毒留给网民的,是“一台中招、一片遭殃”的强烈震感;留给安全厂商的,则是应对高发蠕虫攻击的新挑战。既然系统漏洞和黑客攻势都无法避免,我们该如何终结下一场“永恒之蓝”的入侵?
为解决这一问题,360安全卫士重磅上线“漏洞入侵防护”机制,创新地采用“漏洞利用分析—流量解析比对—可疑攻击阻断”的超前防御模式,在漏洞曝光后、真实攻击出现前就能第一时间拦截可能存在的蠕虫攻击。即便在官方未发布补丁、甚至没打补丁的情况下,用户也无需手动关闭风险端口或更换登录口令,只要开启安全软件,就能获得全方位、全时段的安全保障。这是360安全卫士上线“漏洞入侵机制”的主要原因,也是对“后永恒之蓝”时代蠕虫攻击防御的新思考。该机制创新地以流量分析为导向,在漏洞曝光后的第一时间,分析出漏洞利用的“特征码”,以此为基础识别判断入侵电脑的可疑攻击包,并及时弹窗拦截。
开启该防御机制,就可以像防御普通木马一样拦截攻击性极强的蠕虫病毒,解决了此前需要打补丁、关端口、更换设备弱口令等困扰,无论是补丁的真空期,还是端口默认开启的风险期,只要保持该防护机制的开启,就能一劳永 逸地围堵蠕虫进攻。
360集团创始人兼CEO周鸿祎说过,席卷全球的WannaCry标志着大安全时代的到来,网络犯罪将呈现爆发式增长。继WannaCry后,肆虐欧洲的Petya,突袭乌克兰、俄罗斯等东欧国家的BadRabbit等带有蠕虫功能的病毒层出不穷。在蠕虫掀起新一轮攻击浪潮的同时,360发布的“漏洞入侵防护”机制,将在大安全时代为网民打造了一把有力的自卫武器。
用户只需下载并使用360安全卫士beta版(http://down.360safe.com/instbeta.exe),在“防护中心”的“入口防护”选项中就可以点击开启“漏洞入侵防护”机制。目前,360安全卫士已经为用户打造了集浏览器防护、系统防护、入口防护和隔离防护的立体化防护矩阵,从网络流量监控到本地执行扫描,全方位拦截各种可能出现的攻击。
---------------------------------------------------------
1.本文援引自互联网,旨在传递更多网络信息,仅代表作者本人观点,与本网站无关。
2.本文仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
勒索病毒处置经验分享
勒索病毒事件愈来愈多
近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重安全问题。
这种情况一方面说明勒索病毒攻击已经开始组织化和行业化,另一方面也说明传统行业在信息安全方面防护能力脆弱,相比于互联网、金融等行业,在信息安全管理和安全技术方面存在更多漏洞,更容易成为勒索病毒攻击的对象。
勒索病毒危害分析
机器感染勒索病毒后,使用人员会很快发现许多常见的文件如word,excel,pdf等不能正常打开,异常现象明显,因此很容易发现并上报到IT或安全部门,如果处置及时,一般不会造成企业内大量机器感染。
但是另一方面,由于勒索病毒使用了非对称加密方式对机器上的所有数据文件进行加密,如果没有对应的解密密钥,被加密后的文件基本不可能再被解密和还原。因此对已经感染勒索病毒的个人电脑和服务器,如果之前没有及时进行数据备份,可能会因为关键数据丢失而造成无法挽回的损失。
如何正确处置勒索病毒感染事件
根据我们之前处理勒索病毒事件总结的经验,企业在发现一台或多台机器感染勒索病毒后,IT人员和安全人员可按照如下流程进行正确处置(如果企业没有设置信息安全岗位,建议立即联系第三方专业安全服务公司协助处置)。
3.1 确认勒索病毒感染迹象
l 勒索病毒感染后,桌面或文件夹通常会出现类似how_to_decrypt.hta网页文件,可通过浏览器打开,主要是英文信息,显示勒索提示信息及解密联系方式等;
l 同时很多文件被加上乱七八糟的带有勒索病毒攻击者邮箱地址信息的后缀名,文件不能被正常打开;(类似如下截图)
3.2 隔离已感染机器,避免勒索病毒进一步扩散
对存在上述勒索病毒感染迹象的机器,应立即实施网络或物理隔离,避免勒索病毒通过公司有线和无线网络继续传播。隔离方法包括:
已感染的无线上网机器,禁用无线网卡;
已感染的有线上网用户,禁用有线网卡,同时拔掉机器的物理网线;
如果同一网段有多台机器感染,可通过交换机进行断网,或修改无线网络密码;
已感染关键岗位电脑和重要服务器,立即关机,避免勒索病毒进一步加密所有文件;
专人整理感染机器列表,供后续处置;
3.3 对暂未感染勒索病毒的机器进行加固,防止可能的感染途径
勒索病毒感染一台机器后,会通过文件共享、操作系统远程利用漏洞、账号弱密码等方式,进一步获取其它机器或AD服务器的账号,从而进行全网络感染。
对暂未明确发现感染勒索病毒迹象的机器,基于勒索病毒的传播方法和传播途径,可采取一些基本的安全措施快速进行防护,避免感染。这些安全措施包括:
修改个人电脑、应用服务器、域控服务器登录密码,修改为强密码;
禁用guest账号;
统一关闭139、445端口,关闭RDP服务;
安装360、火绒等防病毒软件进行防护和查杀;
更新操作系统安全补丁;
3.4 分析已感染机器,提取病毒特征
如果能够快速定位出勒索病毒文件特征(如进程名称,执行路径,文件大小,md5值,自启动位置,进程保护文件等),可立即开始全网排查,找出网络内其它已感染的机器并进行隔离,从而减少整个勒索病毒事件的处置时间,降低勒索病毒给企业带来的危害和损失。
根据我们处置勒索病毒的经验,可优先从以下几方面进行,包括:
和感染机器人员进行深入沟通,如什么时间发现异常,之前执行过哪些操作等,可帮助快速定位可能的病毒感染源;
通过任务管理器,查看CPU、内存、IO使用率高的可疑进程(特别是文件很多的机器,勒索病毒加密需要占用大量机器资源);
安装病毒查杀工具,快速查找病毒文件,如火绒、360、clamav、BitDefender等;
安装其它系统安全工具,包括微软提供的SysinternalsSuite安全工具(autoruns64.exe,procexp64.exe,procmon.exe,tcpview.exe等),PCHunter,火绒剑等进行分析;
通过以上操作,安全人员应该可以查找出勒索病毒文件和执行进程,可进一步通过在线病毒查杀引擎快速对病毒文件进行确认,如:www.virustotal.com, www.virscan.org等网站。
对确认为勒索病毒的可执行文件,可进一步通过在线沙盘快速进行行为分析,如s.threatbook.cn,app.any.run等,确认病毒行为特征。如通过微步云沙箱对某个伪装成svchost.com文件的勒索病毒分析结果:
确认勒索病毒行为特征后,可通过停止勒索病毒进程,新建文件并观察,启动勒索病毒进程,查看文件是否被加密,进一步确认勒索病毒。
3.5 根据病毒特征,全网筛查感染机器
通过提取的勒索病毒文件名、文件路径、文件大小、文件签名、md5值、进程路径和名称等特征,可通过域控、单机或专业桌面管理工具等进行操作,迅速进行全网排查。对存在感染勒索病毒特征的机器,进行断网隔离,并删除勒索病毒文件和进程,同时持续监控是否继续感染。
另外基于勒索病毒的网络行为特征,可进一步通过交换机镜像流量分析,查找网络内是否存在已感染机器。
3.6 已感染机器处置
已感染勒索病毒的机器,可通过停止勒索病毒进程,删除保护进程或文件的方法,禁止勒索病毒运行。同时通过U盘备份未加密文件。
文件备份后,统一重新安装操作系统,并按照安全基线进行加固和检测后,部署应用和恢复数据。
3.7 勒索病毒感染溯源
勒索病毒感染途径一般包括:外网服务器存在漏洞(如应用层漏洞,RCE高危补丁未更新,账号弱密码等),钓鱼邮件附件,长期隐藏存在的APT攻击等。
勒索病毒溯源可通过对最初感染机器的人员操作行为和操作系统日志分析,企业内网络设备和安全设备日志分析等,进一步追溯原始漏洞和入侵方式。
3.8 修复感染源漏洞
如果能够追溯到最初的感染源,可有针对性地进行安全加固。如果不能追溯到原始安全漏洞,也应根据勒索病毒传播方式进行安全加固,包括安全意识宣讲,外网安全漏洞扫描和渗透,防病毒软件安装、安全补丁更新等。
3.9 安全事件总结
根据勒索病毒溯源结果,IT或安全负责人应对勒索病毒感染源情况进行说明,对感染机器、数据损失、恢复情况、恢复时间和费用等进行说明。
3.10 制定后续安全加固方案
企业感染勒索病毒的根本原因必然是在安全技术或安全管理方面存在某些漏洞,如没有安装防病毒软件对勒索病毒文件进行查杀,非IT部门员工缺乏基础的信息安全意识,随意保存和打开勒索病毒可执行文件等。这些当前存在的和潜在的各种安全漏洞和安全风险需要及时处置,并最终在多层次、多阶段建立一个统一的纵深安全防御体系。
新钛云服可以基于安全最佳实践并结合企业安全现状,从远程办公、网络安全边界、终端准入、桌面管理、防病毒、数据防泄密、日常安全服务等多方面为企业提供合适的安全防护解决方案,同时也可以在安全规范、安全意识培训等方面提供帮助。
后记
勒索病毒越演越烈的背后原因主要还是利益驱动,针对的是企业最具价值的数据,危害的是数据的可用性。后续攻击者更有可能利用APT攻击,在秘密窃取企业敏感数据后,进一步加密数据进行勒索,从而最大化攻击者价值。
对传统企业领导者和IT管理者而言,应能够认识到企业信息化转型后的IT威胁和风险影响,从而在企业信息安全建设和数据安全方面,可以给予IT部门和安全部门需要的各类安全资源,包括选择专业的第三方安全服务厂商,进而可以从安全管理和安全技术多方面进行防范,减少和避免各类信息安全事件的发生。
作者:新钛云服 王爱华
勒索病毒应急响应自救手册-360威胁情报中心
勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索软件均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的Globelmposter、GandCrab、Crysis等勒索病毒,攻击者更是将攻击的矛头对准企业服务器,并形成产业化;而且勒索病毒的质量和数量的不断攀升,已经成为政企机构面临的最大的网络威胁之一。
为帮助更多的政企机构,在遭遇网络安全事件时,能够正确处置突发的勒索病毒,及时采取必要的自救措施,阻止损失扩大,为等待专业救援争取时间。360安服团队结合1000余次客户现场救援的实践经验,整理了《勒索病毒应急响应自救手册》,希望能对广大政企客户有所帮助。
第一章 常见勒索病毒种类介绍
自2017年“永恒之蓝”勒索事件之后,勒索病毒愈演愈烈,不同类型的变种勒索病毒层出不穷。
勒索病毒传播素以传播方式块,目标性强著称,传播方式多见于利用“永恒之蓝”漏洞、爆破、钓鱼邮件等方式传播。同时勒索病毒文件一旦被用户点击打开,进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。所以,加强对常见勒索病毒认知至关重要。如果在日常工作中,发现存在以下特征的文件,需务必谨慎。由于勒索病毒种类多至上百种,因此特整理了近期流行的勒索病毒种类、特征及常见传播方式,供大家参考了解:
一、 WannaCry勒索
2017年5月12日,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元。WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示需要支付相应赎金方可解密。
常见后缀:wncry
传播方式:永恒之蓝漏洞
特征: 启动时会连接一个不存在url
创建系统服务mssecsvc2.0
释放路径为Windows目录
二、 GlobeImposter勒索
2017年出现,2018年8月21日起,多地发生GlobeImposter勒索病毒事件,攻击目标主要是开始远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密多个版本更新,并常通过爆破RDP后手工投毒传播,暂无法解密。
常见后缀:auchentoshan、动物名 4444
传播方式:RDP爆破
垃圾邮件
捆绑软件
特征:释放在%appdata%或%localappdata%
三、 Crysis/Dharma勒索
最早出现在2016年,在2017年5月万能密钥被公布之后,消失了一段时间,但在2017年6月后开始继续更新。攻击方法同样是通过远程RDP爆力破解的方式,植入到用户的服务器进行攻击,其加密后的文件的后缀名为.java,由于CrySiS采用AES RSA的加密方式,最新版本无法解密。
常见后缀:【id】 勒索邮箱 特定后缀
传播方式:RDP爆破
特征:勒索信位置在startup目录
样本位置在%windir%System32
Startup目录
%appdata%目录
四、 GandCrab勒索
2018年年初面世,作者长时间多个大版本更新,仅仅半年的时候,就连续出现了V1.0,V2.0,V2.1,V3.0,V4.0等变种,病毒采用Salsa20和RSA-2048算法对文件进行加密,并修改文件后缀为.GDCB、.GRAB、.KRAB或5-10位随机字母,并将感染主机桌面背景替换为勒索信息图片。GandCrab5.1之前版本可解密,最新GandCrab5.2无法解密。
常见后缀:随机生成
传播方式:RDP爆破
钓鱼邮件
捆绑软件
僵尸网络
漏洞传播
……
特征:样本执行完毕后自删除
修改操作系统桌面背景
后缀-MANUAL.txt
后缀-DECRYPT.txt
五、 Satan勒索
撒旦(Satan)勒索病毒首次出现2017年1月份。该勒索进行Windows&Linux双平台攻击,最新版本攻击成功后,会加密文件并修改文件后缀为“evopro”。除了通过RDP爆破外,一般还通过多个漏洞传播。
常见后缀:evopro
sick
…
传播方式:永恒之蓝漏洞
RDP爆破
Jboss系列漏洞
Tomcat系列漏洞
Weblogic组件漏洞
……
特征:最新变种evopro暂时无法解密,老的变种可解密
六、 Sacrab勒索
Scarab(圣甲虫)恶意软件于2017年6月首次发现。此后,有多个版本的变种陆续产生并被发现。最流行的一个版本是通过Necurs僵尸网络进行分发,使用Visual C语言编写而成,又见于垃圾邮件和RDP爆破等方式。在针对多个变种进行脱壳之后,我们发现有一个2017年12月首次发现的变种Scarabey,其分发方式与其他变种不同,并且它的有效载荷代码也并不相同。
常见后缀:.krab
.Sacrab
.bomber
.Crash
……
传播方式:Necurs僵尸网络
RDP爆破
垃圾邮件
……
特征:样本释放%appdata%Roaming
七、 Matrix勒索
目前为止变种较多的一种勒索,该勒索病毒主要通过入侵远程桌面进行感染安装,黑客通过暴力枚举直接连入公网的远程桌面服务从而入侵服务器,获取权限后便会上传该勒索病毒进行感染,勒索病毒启动后会显示感染进度等信息,在过滤部分系统可执行文件类型和系统关键目录后,对其余文件进行加密,加密后的文件会被修改后缀名为其邮箱。
常见后缀:.GRHAN
.PRCP
.SPCT
.PEDANT
…
传播方式:RDP爆破
八、 STOP勒索
同Matrix勒索类似,Stop勒索病毒也是一个多变种的勒索木马,一般通过垃圾邮件、捆绑软件和RDP爆破进行传播,在某些特殊变种还会释放远控木马。
常见后缀:.TRO
.djvu
.puma
.pumas
.pumax
.djvuq
…
特征:样本释放在%appdata%local<随机名称>
可能会执行计划任务
九、 Paradise勒索
Paradise勒索最早出现在2018年7月下旬,最初版本会附加一个超长后缀如:(_V.0.0.0.1{yourencrypter@protonmail.ch}.dp)到原文件名末尾,在每个包含加密文件的文件夹都会生成一个勒索信如下:
而后续活跃及变种版本,采用了Crysis/Dharma勒索信样式图弹窗如:
勒索信如下样式
加密文件后缀:文件名_%ID字符串%_{勒索邮箱}.特定后缀
特征:将勒索弹窗和自身释放到Startup启动目录
第二章 如何判断病情
如何判断服务器中了勒索病毒呢?勒索病毒区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的收益极高,所以大家才称之为“勒索病毒”。
勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。
一、 业务系统无法访问
2018年以来,勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营;甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因,一旦遭到勒索攻击的直接后果就是生产线停产。
比如:2018年2月,某三甲医院遭遇勒索病毒,全院所有的医疗系统均无法正常使用,正常就医秩序受到严重影响;同年8月,台积电在台湾北、中、南三处重要生产基地,均因勒索病毒入侵导致生产停摆。
但是,当业务系统出现无法访问、生产线停产等现象时,并不能100%确定是服务器感染了勒索病毒,也有可能是遭到DDoS攻击或是中了其他病毒等原因所致,所以,还需要结合以下特征来判断。
二、 电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,通常提示信息英文较多,中文提示信息较少。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
三、 文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satan、sicck;Crysis家族的后缀有.ARROW、.arena等。
下面为电脑感染勒索病毒后,几种典型的文件后缀名被篡改或文件图标变为不可打开的示意图。
当我们看到上述三个现象的时候,说明服务器已经遭到勒索病毒的攻击,此时,如果我们仓促的进行不正确的处置,反而可能会进一步扩大自己的损失。
所以,请保持冷静不要惊慌失措,现在我们需要做的是如何最大化的减少损失,并阻止黑客继续去攻击其他服务器。具体操作步骤请见下一章。
第三章 如何进行自救
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主机相连的其他服务器也存在漏洞或是有缺陷,将有可能也被感染。所以,采取自救措施的目的是为了及时止损,将损失降到最低。
一、 正确处置方法
(一) 隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1) 物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2) 访问控制
访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
处置原理
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
(二) 排查业务系统
处置方法
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
处置原理
业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
(三) 联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
个人中招用户可以:通过360安全卫士的反勒索服务,联系专业人士。用户在进入“360安全卫士”-“反勒索服务”选项后,需要同时开启360文档保护和360反勒索服务。开启这两项服务后,若您被感染勒索病毒,点击“申请服务”按钮即可申请理赔。
政企机构中招客户可以联系:360企业安全集团,全国400应急热线:4008136 360 转2 转4。
二、 错误处置方法
(一) 使用移动存储设备
错误操作
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U 盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二) 读写中招主机上的磁盘文件
错误操作
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理
很多流行勒索病毒的基本加密过程为:
1)首先,将保存在磁盘上的文件读取到内存中;
2)其次,在内存中对文件进行加密;
3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
第四章 如何恢复系统
感染勒索病毒后,对于政企机构来说,最重要的就是怎么恢复被加密的文件了。一般来说,可以通过历史备份、解密工具或支付赎金来恢复被感染的系统。但是这三种操作都有一定的难度,因此,建议受害者不要自行操作。如果您想恢复系统,请联系专业的技术人员或安全厂商,确保赎金的支付和解密过程正确进行,避免其他不必要的损失。
政企机构中招客户可以联系:360企业安全集团,全国400应急热线:4008 136 360 转2 转4。
一、 历史备份还原
如果事前已经对文件进行了备份,那么我们将不会再担忧和烦恼。可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。
事先进行备份,既是最有效也是成本最低的恢复文件的方式。
二、 解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。
但是,对于以下三种情况,可以通过360提供的解密工具恢复感染文件。
1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法
2)勒索病毒的制造者主动发布了密钥或主密钥。
3)执法机构查获带有密钥的服务器,并进行了分享。
可以通过网站(http://lesuobingdu.360.cn/)查询哪些勒索病毒可以解密。例如:今年下半年大规模流行的GandCrab家族勒索病毒,GandCrabV5.0.3及以前的版本可以通过360解密大师进行解密。
需要注意的是:使用解密工具之前,务必要备份加密的文件,防止解密不成功导致无法恢复数据。
三、 专业人员代付
勒索病毒的赎金一般为比特币或其他数字货币,数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在:
1) 统计显示,95%以上的勒索病毒攻击者来自境外,由于语言不通,容易在沟通中产生误解,影响文件的解密。
2) 数字货币交付需要在特定的交易平台下进行,不熟悉数字货币交易时,容易人才两空。
所以,即使支付赎金可以解密,也不建议自行支付赎金。请联系专业的安全公司或数据恢复公司进行处理,以保证数据能成功恢复。
四、 重装系统
当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
第五章 如何加强防护
一、 终端用户安全建议
对于普通终端用户,我们给出以下建议,以帮助用户免遭勒索病毒的攻击:
养成良好的安全习惯
1) 电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2) 使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和IE、Flash等常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3) 对系统用户密码及时进行更改,并使用LastPass等密码管理器对相关密码进行加密存储,避免使用本地明文文本的方式进行存储。系统相关用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,8位以上尽量包含大小写字母、数字、特殊符号等的混合密码,加强运维人员安全意识,禁止密码重用的情况出现,并定期对密码进行更改。
4) 重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
1) 不要浏览来路不明的色情、赌博等不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
2) 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。
3) 不要轻易打开后缀名为js、vbs、wsf、bat等脚本文件和exe、scr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,应先扫毒后打开。
4) 电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
5) 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
采取及时的补救措施
1) 安装“360天擎”并开启“反勒索服务”,一旦电脑被勒索病毒感染,可以通过360反勒索服务申请赎金赔付,以尽可能的减小自身经济损失。
二、 政企用户安全建议
1)如用户处存在虚拟化环境,建议用户安装360网神虚拟化安全管理系统,进一步提升防恶意软件、防暴力破解等安全防护能力。
2)安装天擎等终端安全软件,及时给办公终端打补丁修复漏洞,包括操作系统以及第三方应用的补丁。
3) 针对政企用户的业务服务器,除了安装杀毒软件还需要部署安全加固软件,阻断黑客攻击。
4) 企业用户应采用足够复杂的登录密码登录办公系统或服务器,并定期更换密码,严格避免多台服务器共用同一个密码。
5) 限制内网主机可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口。
6) 对重要数据和核心文件及时进行备份,并且备份系统与原系统隔离,分别保存。
7) 部署天眼等安全设备,增加全流量威胁检测手段,实时监测威胁、事件。
8) 如果没有使用的必要,尽量关闭3389、445、139、135等不用的高危端口,建议内网部署堡垒机类似的设备,并只允许堡垒机IP访问服务器的远程管理端口(445、3389、22)。
9) 提高安全运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,如有远程家中办公电脑也需要定期进行病毒木马查杀。
10) 提升新兴威胁对抗能力
通过对抗式演习,从安全的技术、管理和运营等多个维度出发,对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验,持续提升企业对抗新兴威胁的能力。
第六章 附录:勒索病毒已知被利用漏洞合集
已知被利用漏洞
RDP协议弱口令爆破
Windows SMB远程代码执行漏洞MS17-010
Win32k提权漏洞CVE-2018-8120
Windows ALPC提权漏洞CVE-2018-8440
Windows内核信息泄露CVE-2018-0896
Weblogic反序列化漏洞CVE-2017-3248
WeblogicWLS组件漏洞CVE-2017-10271
Apache Struts2远程代码执行漏洞S2-057
Apache Struts2远程代码执行漏洞S2-045
Jboss默认配置漏洞(CVE-2010-0738)
Jboss反序列化漏洞(CVE-2013-4810)
JBOSS反序列化漏洞(CVE-2017-12149)
Tomcat web管理后台弱口令爆破
Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)
WINRAR代码执行漏洞(CVE-2018-20250)
Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)
2019年7月勒索病毒疫情分析
近些年来,随着电商购物、电竞游戏、日常追剧等休闲方式的持续风靡,越来越多的用户喜欢把茶余饭后的时间都交给这些“氪肝杀手”。而事实上,在获得新鲜体验的同时,用户所使用的计算机系统也在时刻经受着无比严峻的考验,一不小心就可能秒变为孵化病毒的温室。
据360安全大脑发布的《2019年7月勒索病毒疫情分析》数据,在刚刚过去的7月中,勒索病毒再度蔓延,29类不同家族病毒持续猖獗作恶。其中,GlobeImposter、phobos和Stop三大病毒家族表现最为活跃,以49.06%的总量占比盘踞榜单半壁江山。不难看出,伴随勒索病毒不断的“攻城略地”,计算机安全所面临的挑战愈显艰难,成为直接制约企业安全保障和用户体验提升的桎梏。因此,报告中也给出了对个人和企业用户防范勒索病毒的权威安全建议。
报告数据显示,7月勒索病毒类型多样化趋势明显,29种不同家族勒索病毒相继涌现。其中,GlobeImposter家族以21.21%的占比斩获榜单首位,与phobos、Stop两大家族共塑三家独霸局面。
如此局面导致反勒索服务反馈量较六月小有提升,Stop反馈量上演极速跃进。由于Stop本身的可定制化属性,传播者可以根据自己的喜好去设置被加密文件后缀和加密文件密钥,导致其迄今已有100余类变种出现。而在当月中,Stop勒索病毒家族再添format、bopador、masok等多样后缀,完美演绎病毒“海妖之歌”,让更多用户因此倍感迷惑。
被感染系统占比方面,Windows7、Windows10和Windows Server 2008成为攻击突破口。其中,Windows 7的占比攀升明显,一举从6月29.47%的占比上浮至7月的56.45%,成为当月“最易被感染对象”。
对于各大企业来说,服务器安全防护无疑是其最为关心的问题。报告中通过对2019年6月和7月的服务器防护数据进行对比分析发现,被攻击系统占比整体变动不大,小范围内略有浮动。另外,在两月的弱口令攻击数据对比中,未发现大规模弱口令攻击,呈现相对稳定趋势。
此外,360安全大脑监测显示,与之前几个月采集到的数据进行对比,被攻击系统所属IP地区排名和占比同样变化不大。但广州、浙江、江苏等数字经济发达地区仍是被攻击的主要对象,安全防护意识依旧不可掉以轻心。
值得一提的是,为全面防护企业及个人网络安全,360解密大师在7月新增针对LoopCipher勒索病毒家族的解密支持。同时,从360解密大师解密统计数据来看,本月解密量最大为GandCrab家族,而使用解密大师解密文件的用户数量最高则依次为Stop和GandCrab两大家族。
无论是勒索病毒家族的变种层出,还是病毒技术的升级迭代,无疑都将会对企业和用户安全造成重大威胁。其实,对于深受勒索病毒“迫害”的用户来说,除了更换电脑外,也并非别无对策。为全方位打造安全网络环境,维护保障多方利益,结合2019年7月勒索病毒疫情及变化趋势,360安全大脑给出以下建议:
1. 可及时前往weishi.360.cn下载安装360安全卫士,全面拦截各类勒索病毒攻击。
2. 企业服务器管理员不要为多台机器使用相同的账号和口令,确保登录口令复杂性,并做到定期更换。
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份;定期检测系统和软件中的安全漏洞,及时打上补丁。
4. 个人用户应从正规渠道下载安装软件,慎用各种激活工具;对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
5. 遇到陌生人发送的邮件,要谨慎查看,尽量避免下载附件。如需要下载,也要先用安全软件对附件进行检查。