盤點七大可怕的勒索軟體家族
今年2月份,美國舊金山好萊塢某醫療中心遭黑客攻擊,並使用勒索軟體鎖定了其中的文件,導致不能查看電子病歷,甚至連郵件都無法接收,黑客索要340萬美元才會提供代碼解鎖,3月18日Methodist醫院同樣遭受勒索軟體攻擊,一次又一次的勒索軟體案例不禁讓人唏噓,更讓人們意識到勒索軟體的威力。古人云談虎色變,現在談到勒索軟體也會讓人變臉,因為很多人中了勒索軟體後都束手無策,只能乖乖支付贖金解鎖重新獲取系統控制權。
其實,自2005年起,勒索軟體便成為了最普遍的網路威脅。公開信息統計,過去11年來,勒索軟體感染數量比數據泄露事件數量還多,分別是7694件和6013起。而據美國聯邦調查局統計,從2016年1月1日-6月30日已接收到1308件勒索軟體投訴,損失金額攻擊約268.53萬美元。
趨勢科技網路安全總監Ed Cabrera表示,勒索軟體網路犯罪方面的「業務」還在不斷增加,他的研究小組去年跟蹤了29個勒索軟體家族,到今年已經演變出100多個變體。
Cabrera說:「這些勒索軟體攻擊與傳統的數據泄漏有很大的不同,它們不像過去一樣將數據滲漏並出售給其他犯罪分子。」大多數的這些勒索軟體變體通過加密鎖定個人設備,隨後嘗試索要贖金,金額通常在幾百美元左右。令安全經理夜不能寐的是這些勒索軟體已經能夠侵入他們的企業。今年2月份的好萊塢長老會醫院的勒索事件就為我們敲響了警鐘。但是目前存在的新型變種已經能夠攻擊整個資料庫和伺服器,它們現在使用大家熟悉的聊天功能方便受害者交納贖金。
據悉第一款勒索軟體出現於1989年,哈佛大學畢業的Joseph L.Popp創建,名為「艾滋病信息木馬」(AIDS Trojan)。這款勒索軟體使用對稱加密,解密工具沒花多少時間就修復了文件名,但這一舉動激發了隨後近乎30年的勒索軟體工具。
而今天,作為對本季度的警示,以下總結7款最可怕的勒索軟體變體。以下內容根據採訪趨勢科技的安全總裁Cabrera,Invincea公司的首席安全官Chris Day以及Palo Alto Networks Unit 42 威脅情報分析師Bryan Lee總結而成。希望了解這些勒索軟體的行為特徵後,能夠幫助大家在對抗勒索軟體的鬥爭中佔據主動。
1. Locky
作惡手法:RSA-2048和AES-128演算法批量加密上百種後綴文件,並留下勒索信息;
入侵手段:欺騙性郵件、網站插件劫持、中小型甚至大型軟體劫持、windows漏洞、密碼侵入、潛伏木馬等;
病毒特徵:所有文件文件名都被改為一個32為串碼(前16位是個人ID,而擴展名都被改為.Locky)並留下一封勒索信,如help_instraction.txt,howdo.html形式的文件生成在中毒者的電腦中。
Locky勒索軟體出現於2016年年初,作為勒索軟體家族的新成員,它的力量主要來自其改變創新的能力。Locky使用多個開發套件,包括Angler和Neutrino等,還可以通過RSA-2048和AES-128演算法對100多種文件類型進行加密。Locky通過漏洞工具包或包含JS、WSF、 HTA或LNK文件的釣魚電子郵件傳播。6月27日,最新變種為ZEPTO後綴,9月28日最新變種為Odin,10月25日再次變種為thor,此次為Locky的第四次變種。
2. Cerber
在2015年9月的一個深入研究中,研究人員在研究Neutrino exploit kit時發現了一個可疑文件的樣本,從而發現了Cerber。這有可能是最早被發現的Cerber勒索軟體樣本。
從發現至今,Cerbe已經成為當今勒索威脅界最活躍、最臭名昭著的勒索軟體之一,它可以針對294種不同的文件拓展名進行加密,包括.doc(典型的Microsoft Word文檔)、.ppt(通常的Microsoft PowerPoint幻燈片)、.jpg和其他圖像文件。它同樣針對金融文件格式,例如.ibank(用於某些個人金融管理軟體)和.wallet(用於比特幣)。該病毒就一直在進行持續不斷地更新,並且直至現在也沒有任何人能夠提供出一個免費的解密軟體。
特別危險的是,Cerber可以運用多種手段,包括運用一些非典型的勒索軟體行為(如DDOS攻擊)對雲平台和Windows腳本實施攻擊。Cerber除了可以攻擊個人設備外,還被發現可以加密整個企業的資料庫,這一行為也引發安全管理人員的深深擔憂。
此外,Cerber還可以利用計算機揚聲器向受害者說出語音消息,它通過產生一個VBScript腳本文件,名為「# DECRYPT MY FILES #.vbs」,具備讓計算機將勒索消息說給受害者聽的能力。它只能說英語,但其解密網站卻有12種語言可選。它的語音消息是:「注意!注意!注意!你的文檔、照片、資料庫和其他重要文件已經被加密了!」
3. Jigsaw
Jigsaw勒索軟體一般會給受害者帶來雙重考驗。首先,它會加密受害者數據;其次,它會竊取這些數據,所以受害者面臨著雙重敲詐勒索。
此外,Jigsaw的勒索通告使用了《電鋸驚魂》系列電影里的Jigsaw角色(拼圖殺人狂)。如果150美元的贖金未被支付,它將會每60分鐘刪除一份加密文件,即使贖金支付後用另一種方法解密,也無法恢復。另外,如果受害者試圖終止該進程,或者重啟機器登錄windows系統,該惡意軟體就會馬上刪除1000份文件。通過這種方式,增強用戶支付贖金的緊迫感。
4. Crysis
Crysis勒索軟體的可怕之處在於其使用暴力攻擊手段,任何一個技能嫻熟的黑客都可以使用多種特權升級技術來獲取系統的管理許可權,尋找到更多的伺服器和加密數據來索取贖金。
5. TorrentLocker
中小企業要小心了!研究人員發現,該勒索軟體開發人員已經從攻擊個人轉變為攻擊中小型企業。中小型企業之所以成為目標是因為他們通常沒有專業的IT人員以及不會部署最佳的安全實踐策略。研究人員已經發現了多起針對中小型企業使用TorrentLocker勒索軟體的攻擊案例。垃圾郵件通常會在早上9點鐘,人們開始上班的時段進行發送,內容通常為偽造的求職者簡歷或是申請護照等信息。
2016年5月,網路犯罪分子就模擬電信巨頭Telia在歐洲和亞洲的業務,運用TorrentLocker勒索軟體進行了新一輪的攻擊。攻擊者精心設計電子郵件,索要贖金票據等一系列活動。在這種攻擊中,受害者接收到來自值得信賴的電信公司Telia的發票。隨後攻擊者要求受害人進入到勒索信中提到的指定TOR地址的網站支付贖金,受害人支付約1.15比特幣才能解密文件。這次襲擊的主要目標是在瑞典,但更多的活動將緊緊跟隨,複製相同的模型。
6. CryptMIC
CryptMIC是一款「山寨」(copycat)勒索軟體,主要藉助了CryptXXX勒索軟體的成功。兩種惡意軟體都通過Neutrino exploit kit部署,使用相同的subversion ID/botID格式和導出函數名。不同且又令人不安的一點是,CryptMIC並不會延長其加密文件的拓展名,這使得安全管理人員很難分辨哪些文件已經被索要贖金。CryptMIC和CryptXXX勒索軟體都可以在移動和網路驅動器上加密文件。
7. HDDCryptor
HDDCryptor是一個可以加密感染主機上的文件並且要求用戶以支付的方式解密的木馬程序。它不僅會針對網路分享的資源,如通過伺服器訊息區塊(SMB)分享的磁碟、文件夾、檔案、印表機和序列埠,還會鎖住磁碟本身。這種破壞性做法使得該勒索軟體成為家庭用戶和企業嚴重而真實的威脅。影響平台包括Windows2000/7/8/95 /98/Me/NT/Server 2003/Server 2008/Vista/XP等。
HDDCryptor可能是通過無意間從惡意網站下載或是經由其他惡意軟體所帶來的方式感染系統。這個勒索軟體的安裝方式是將整個組件(正常或惡意的都有)植入系統的根目錄:
1. dll(偵測為Ransom_HDDCRYPTOR.A)2. exe(用來加密磁碟)3. sys4. txt(惡意軟體活動日誌)5. EXE(掃描掛載中的網路磁碟和加密存儲在上面的檔案)6. exe(用來掃描之前存取過的網路文件夾)7. txt(用來存儲掛載網路磁碟的信息)8. txt(用來存儲使用者密碼)
它還會加入一個名為Defragment Service的服務並且通過命令行加以執行,好持續存活在系統內部。
專家預測,2017年還將繼續見證更多新變種的誕生。這些變種中,有可能只有少數,會在其作者和網路黑幫的努力下帶來嚴重影響。勒索軟體的作者在延續開發周期,升級已有變種,或製作新變種的同時,加強軟體彈性和駐留能力的額外功能也將成為勒索軟體的標配。
帶有這些功能的變種,如果結合廣泛的基礎設施和匿名網路及支付服務,將會是全球噩夢。隨著威脅行為人試圖確保花費較少精力卻帶來更多收入,不遠的將來還將包含進繁殖技術絲毫不出乎預料。近期的變種開始利用加殼器加密自身源碼就昭示著,勒索軟體作者已經知道有研究人員試圖逆向他們的「作品」了。這些逆向工程和分析的結果將有助於勒索軟體開發者改進他們自己的勒索軟體變種。
似乎離線加密,那些不需要C2基礎設施來創建、維護和分發私鑰、公鑰的勒索軟體變種,將會繼續在基於Windows的勒索軟體中看到,攻擊者們會大量利用微軟的內置功能。
勒索軟體的威脅性不容小覷,本文僅介紹7種最為可怕的勒索軟體群組,希望大家在了解這些軟體的行為模式後,能夠很好的防範勒索軟體威脅,在對抗勒索軟體的鬥爭中佔據主動。
註:本文參考來源於darkreading
推薦閱讀:
※求推薦國外的一些安全論壇或者黑客論壇,或者導航類黑客學習網站?謝謝!
TAG:软件安全 |