中文版 Global
首页 > 安全资讯 > 正文

2019勒索病毒沉浮史

  • 2019-06-28 21:00:20

近日,佛罗里达州里维埃拉遭到灾难性的勒索软件攻击,各项市政工作停摆几周后,市政紧急会议投票决定支付价值将近60万美元的赎金。无独有偶,就在该城市作出这个决定之后短短一周内,佛罗里达另一个遭袭城市湖城也迫于无奈,选择向黑客支付价值近50万美元的比特币赎金。

近年来,勒索病毒入侵事件频频发生,攻击范围涵盖政企、个人,波及医疗、教育、交通、政府等各个领域零成本高回报”盈利模式的刺无数黑客选择加入到这个阵营中来,隐藏于网络世界各个角落伺机入侵,仅2019年上半年实施攻击的勒索病毒就数不胜数:年入20亿美金的“侠盗病毒”GandCrab、附身国内用户的“九尾狐”、瞄准政企的Globelmposter......他们凭借一个加密算法、一次桌面爆破、一个U盘蠕虫、一封垃圾邮件便颠倒乾坤锁定电脑数据,并以此向受害者索要赎金。

 GandCrab勒索病毒可以算得是勒索软件中势头最猛的“创业者”。从2018年到2019年,该病毒团伙不断喂养GandCrab新的加密算法和攻击手段,使其在短短一年的时间里便从v 1.0版本升级到了v 5.2。

 这期间,它借助漏洞工具包、U盘蠕虫、远程桌面爆破、垃圾邮件、钓鱼网站等方式攻击了不少政企、个人用户,目前获利资金已高达20亿美金,平均每周获利250万美元。

  针对该病毒攻击,360安全卫士全方位实施拦截,强力查杀GandCrab勒索病毒全系列攻击,且360解密大师已国内首家支持对GandCrab勒索病毒4.0/5.0/5.0.2/5.0.3/5.0.4/5.1/5.2全系列的解密,GandCrab勒索病毒全族终曲终于敲响。


Satan病毒对升级更新的狂热,那是出了名的。

只要你去网上搜一圈,就能发现无处不在的与Satan病毒更新有关的新闻,“勒索挖矿双开花”、“全新撒旦卷土重来”……

和其他勒索病毒不同,Satan坚决拥护“失败是成功之母”这一醒世名言,屡被破解又重头再来。

Satan在高端加密局中也算得上是个厉害角色。传播力MAX的“永恒之蓝”漏洞的加持,专门针对Window和Linux服务器的精准攻击战略,使得Satan勒索病毒拥有快速渗透能力和高额伤害技能,短时间内便可以在内网扩散中打出优势,硬刚企业用户疯狂输出,造成大量损失。

不管Satan多少新技能傍身,360安全卫士照样全面压制,一招控死, 经过360安全大脑的迅速攻关,360安全卫士已国内首家支持Satan 勒索病毒v1/v2/v4/v5版本的解密。


2019年3月10日,360安全大脑监测到并拦截了GlobeImposter勒索病毒家族发起的大规模攻击,此次医疗行业中多家大型医院受到不同程度的感染,并且大有全国蔓延爆发的趋势。

该勒索病毒主要通过RDP弱口令爆破入侵服务器。成功入侵一台设备之后,黑客会以这台设备做跳板,再次攻击内网其它设备。当拿下一定规模的机器后,黑客会再通过一些脚本和工具半自动的将勒索病毒投放到被拿下的机器中,因此GlobeImposter经常会出现成规模的集中爆发情况。

除此之外,GlobeImposter家族最值得一提的还是其强大的“变种能力”,若按后缀名区分变种,仅2018年我们收到的反馈中,该勒索病毒家族就有超过100个变种。由此看来,Globelmposter试图从变种、目标、加密算法等多个方面着手,鼎力打造勒索方阵,实现政企用户全垒打,一旦成其造成的影响堪比灭霸的清洗式种族策略

2019年初,Palentray勒索病毒势力衰微,已经无法再次有效加密文件勒索钱财。

3月,病毒作者卷土重来,打造了Palentray勒索病毒最新变种-“九尾狐”,该勒索病毒时常会变换加密文件的后缀名—.mira、.yum、.Pluto以及.Netptune等,各大文件后缀阵营之间合纵连横、东征西讨,一幕“附身”国内用户被加密文件并索要赎金的勒索大戏即将登上舞台。

听起来是充满戏剧性的王储之争,但在这条通往“九尾狐”王者宝座的路上,哪个变种阵营都没有成为最后的赢家,360解密大师国内首家支持针对该勒索家族全系列的解密,九尾狐勒索病毒全族覆没。

    2019年5月10日,一款新型病毒风靡勒索市场,其左手各类Web组件漏洞利用策略,右手cve-2018-8453 Windows内核提权漏洞操作手册,脚踩Weblogic服务器大陆,精准打击一众服务器后顺利提权,加密电脑文件并将受害电脑的桌面屏幕设置成为深蓝色留下勒索信向用户索要赎金。

     除此之外,360安全大脑还监测到传播该病毒的团伙曾大量分发GandCrab, 而后随着GandCrab攻击量的急剧下降,该团伙开始调转车头,奔向锁蓝勒索病毒的阵营。奈何出师不利,360安全卫士精准拦截,一举攻破,打碎了它的勒索梦。


如何在完美彰显出病毒作者在全球勒索圈领先地位的同时,传达出与众不同独树一帜的前卫先锋态度?

答案是,走高定路线。

包工头勒索病毒开发者利用生成器制作定制化病毒入侵单元,自由选择加密文件后缀、语种、密码输入尝试次数、加密方式、是否弹窗等,勒索留言更是任意发挥,甚至可以留下三行情书展示才情。



作为病毒界传奇先锋,该勒索病毒另类的开发方式不仅彰显了黑客的恶趣味,还加大了解密的难度。每次生成出来的病毒使用不一样的解密密钥并制造出大量病毒变种,这样的加密方式需要大量的密码碰撞才能破解。

 

纵使它有108种分身,360安全卫士“解密大师”照样精准识别,全盘通杀。目前360解密大师可完美破解该病毒全系列各个版本的秘钥,只要运行解密工具,无需密码碰撞即可帮助用户恢复所有被加密文件。


万物互联时代,信息化技术的不断发展给人们带来了便捷服务,同时也带来了巨大危机与挑战,大到国家政府关键机构、企业核心业务运转,小到个体日常工作、生活,勒索病毒都如影随形。

360安全大脑在此提醒广大管理员,针对服务器的勒索攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,个人电脑用户也更要做好防御措施以抵御勒索病毒攻击:

1. 前往www.360.cn,下载并安装360安全卫士,有效拦截各类勒索病毒的攻击;

2. 多台机器,不要使用相同的账号和口令;

3. 登录口令要有足够的长度和复杂性,并定期更换;

4. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份;

5. 定期检测系统和软件中的安全漏洞,及时打上补丁;

6. 定期到服务器检查是否存在异常。查看范围包括是否新增账户,Guest是否被启用,Windows系统日志是否存在异常,及杀毒软件是否存在异常拦截情况。


了解更多安全资讯或咨询安全问题,请关注以下微信公众号

360安全卫士

热点排行

用户
反馈 返回
顶部