勒索病毒
- 某公司中了勒索病毒,竟然花了197万赎金购买解密密钥?
- 勒索病毒再次活跃,多家企业被感染!
- 盘点2019年十大勒索病毒攻击事件
- 勒索病毒不可小觑,上市公司一夜损失50万
- 十二主神勒索病毒GlobeImposter全新升级,多家企业
- 勒索病毒不断刷新存在感,我们如何防范病毒和保障数据安全?
- 全国各地均有三甲医院遭遇勒索病毒攻击
- 全球勒索病毒事件频繁爆发,巨头企业损失惨重!
- 全球勒索病毒事件频繁爆发,巨头企业损失惨重!
- 未来勒索病毒在全球造成的损失共计1930亿美元?
- Buran勒索病毒来袭,谨慎打开不明邮件
- 勒索病毒发生变种,其波及范围甚广
- 2019年那些令人窒息的勒索病毒攻击
- 那几年企业经历过的十种常见勒索病毒!
- 高中辍学95后制造勒索病毒获刑6年半
那几年企业经历过的十种常见勒索病毒!
勒索病毒在早期的称谓是勒索软件或勒索程序,是一种木马,不是病毒,木马和病毒是两种不同的威胁。而近几年,勒索病毒事件层出不穷,威胁态势日益迅猛,让所有IT管理者闻之色变,给不少政府机构及企业带来难以估量的损失。那么,面对不断变种的勒索病毒,我们应该怎么防御呢?远数科技专家认为,要做好防御措施,首要要了解勒索病毒种类,我们一起来看看这几年企业经历过的十种常见勒索病毒。
GandCrab
GandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。
2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。
2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。
2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。
GlobeImposter
2017年5月,勒索病毒Globelmposter首次在国内出现。2018年2月全国各大医院受Globelmposter勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务。Globelmposter攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。
Crysis
Crysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。
Sodinokibi
Sodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。
WananCry
WannaCry于2017年5月12日在全球范围大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注,由于当前网络中仍有部分机器未修复漏洞,所以该病毒仍然有较强活力(大部分加密功能失效)。
Stop
Stop勒索病毒家族在国内主要通过软件捆绑、垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。
加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;
通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站;
因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;
释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制;
下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码。
Paradise
Paradise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索说明文档。
Clop
Clop勒索病毒使用RSA+RC4的方式对文件进行加密,与其他勒索病毒不同的是,Clop勒索病毒部分情况下携带了有效的数字签名,数字签名滥用,冒用以往情况下多数发生在流氓软件,窃密类木马程序中。勒索病毒携带有效签名的情况极为少见,这意味着该病毒在部分拦截场景下更容易获取到安全软件的信任,进而感染成功,对企业造成无法逆转的损失。
SCarab
Scarab索病毒主要利用Necurs僵尸网络进行传播,在国内也有发现通过RDP过口令爆破后投毒。该家族变种较多,部分变种感染后外观展现形态差异较大,例如今年3月份我国部分企业感染的ImmortalLock(不死锁)病毒则为Scarab家族在国内活跃的一个变种。
Maze
Maze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是自称根据染毒机器的价值来确认勒索所需的具体金额。
面对来势汹汹的勒索病毒,远数科技团队提出三大安全建议:
1、加强企业网络安全保护,及时下载并更新Windows系统补丁以及修复各类安全漏洞。
2、企业服务器须使用高强度且无规律密码,避免使用弱口令,定期更换密码,以防遭不法黑客暴力破解。
3、安装杀毒软件。可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
以上则是远数科技安全团队给大家介绍的关于近几年企业经历过的十种常见勒索病毒,如您需了解更多关于勒索病毒信息或需解密勒索病毒文件,可随时与我们联系。远数科技安全团队对勒索病毒解密及数据库修复具有丰富的经验,掌握多种针对勒索病毒破坏的整机文件及数据库修复手法,目前通过我们初步确认过的勒索病毒加密的文件成功解密概率接近100%。我们严格遵守合约条款,收费合理,并签署保密协议,保障资金数据安全,重要数据不泄漏,让客户安心、放心、省心。
