2017年5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”在世界范围内爆发。据报道包括美国、英国、中国、俄罗斯、西班牙等全球至少150个国家、30万名用户中招,金融、能源、医疗等众多行业受到波及,造成损失达80亿美元。
在国内,有部分大型企业的应用系统和数据库文件被加密后无法正常工作,损失巨大;大量实验室数据和毕业论文被锁定加密。WannaCry之后,勒索病毒开始全面进入大众的视野。之后,安全软件与勒索病毒的技术对抗不断升级,勒索病毒的攻击也日益呈现出技术手段更成熟,攻击目标更精准,产业分工更具体的特性。
回顾勒索病毒的发展史,分析2018年至今的勒索病毒感染数据,了解勒索病毒的攻击特点和发展趋势,有助于政企单位加强对勒索病毒的认知和防御,将其危害控制到最低。

一、勒索病毒概述一、勒索病毒概述

勒索病毒是一类利用各种手段拒绝用户访问其电脑或者电脑中数据,并以此要求用户支付赎金的一类恶意软件。随着匿名货币为人熟知,以及漏洞利用工具包的工程化利用,勒索病毒已经成为当今网络安全的“网红级”威胁之一,而我国也是受勒索病毒攻击最严重的国家之一。
勒索病毒大致可分为两类:一种是通过技术手段,锁定用户机器。这类Android手机中较为常见;另一类则是直接使用强加密算法直接加密用户的高价值文件(文档,图片,设计图纸,模型等),同时不破坏用户系统的正常功能。目前在PC中流行的主要为这一类。


二、勒索病毒发展史


勒索病毒的发展大致可以分为三个阶段

1.萌芽期

1989年,AIDS trojan是世界上第一个被载入史册的勒索病毒,从而开启了勒索病毒的时代。
早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。

2.成型期

2013下半年开始,是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密,使破解几乎不可能。同时要求用户使用虚拟货币支付,以防其交易过程被跟踪。

这个时期典型的勒索病毒有CryptoLocker,CTBLocker等。直至WannaCry勒索蠕虫大规模爆发,此类恶意程序大多散在发生,大多数情况下,这些恶意软件本身并不具有主动扩散的能力。

3.产业化

自2016年开始,然而随着漏洞利用工具包的流行,尤其是 “The Shadow Brokers” (影子经纪人)公布方程式黑客组织的工具后,其中的漏洞攻击工具被黑客广泛应用。勒索病毒也借此广泛传播。典型的例子,就是WannaCry勒索蠕虫病毒的大发作,两年前的这起遍布全球的病毒大破坏,是破坏性病毒和蠕虫传播的联合行动,其目的不在于勒索钱财,而是制造影响全球的大规模破坏行动。

在此阶段,勒索病毒已呈现产业化、家族化持续运营。在整个链条中,各环节分工明确,完整的一次勒索攻击流程可能涉及勒索病毒作者,勒索实施者,传播渠道商,代理。

4.多样化

自2018年开始,常规的勒索木马技术日益成熟。已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。

越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1889”勒索病毒,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。

同时,腾讯御见威胁情报中心在2018年陆续接收到多起该类型勒索用户反馈。勒索者通过大量群发诈骗邮件,当命中收件人隐私信息后,利用收件人的恐慌心理实施敲诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。而实际上,受害者既没有真的发生信息泄露,也没有遭遇病毒攻击,受害者只是被吓坏了。

三、勒索病毒感染数据

1.2018年至今勒索病毒活跃趋势

2.勒索病毒19年一季度行业分布情况

四、活跃勒索病毒家族


伴随着数字货币过去两年的高速发展,在巨大的利益诱惑,以GandCrab,GlobeImposter,Crysis等为代表的勒索家族依然高度活跃,以下为2019年Q1季度最具代表性的10个勒索病毒家族排行榜。


下面为活跃家族的信息情况:

1.GandCrab

GandCrab最早出现于2018年1月,是首个使用达世币(DASH)作为赎金的勒索病毒,也是2019年Q1季度最为活跃的病毒之一。GandCrab传播方式多种多样,主要有弱口令爆破,恶意邮件,网页挂马传播,移动存储设备传播,软件供应链感染传播。该病毒更新速度极快,在1年时间内经历了5个大版本,数各小版本更新,目前最新版本为5.2(截止2019年3底),该版本也是国内当前最为最活跃版本。

2.GlobleImposter

2017年5月,勒索病毒Globelmposter首次在国内出现;2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务;2018.12月Globelmposter勒索病毒再次爆发且已经更新到4.0变种。Globelmposter从1.0到4.0的攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。

3.Crysis

2017年5月,勒索病毒Globelmposter首次在国内出现;2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务;2018.12月Globelmposter勒索病毒再次爆发且已经更新到4.0变种。Globelmposter从1.0到4.0的攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。

4.Paradise

Paradise(天堂)勒索病毒最早出现在2018年七月份左右,该勒索病毒运行后将会加密所有找到的文件,但不会加密系统以及部分浏览器文件夹下的文件。在加密完成文件后,还会添加一个超长后缀(_V.0.0.0.1{yourencrypter@protonmail.ch}.dp)至原文件名末尾,并且在每个包含加密文件的文件夹中都会生成一份“勒索声明”,声明中附上了自己的邮箱,还有一个自动生成的用户ID,以此来作为用户要求解密的凭证。

5.Stop

该家族病毒不仅加密文件,还会静默安装修改后的TeamViwer进而导致中毒电脑被攻击者远程控制,同时修改Host文件,阻止受害者访问安全厂商的网站,禁用Windows Defender开机启动,实时监测功能,令电脑失去保护。为防止加密文件造成的CPU占用卡顿,还会释放专门的模块伪装Windows补丁更新状态。

6.Satan

撒旦(Satan)勒索病毒在2017年初被外媒曝光,该病毒由于文件加密算法和密钥生成算法的缺陷,导致多个病毒版本被破解,加密文件可解密。但撒旦(Satan)勒索病毒并没有停止攻击的脚步,反而不断进行升级优化,跟安全软件做持久性的对抗。该病毒利用JBoss、Tomcat、Weblogic,Apache Struts2等多个组件漏洞以及永恒之蓝漏洞进行攻击感染传播。

7.WannaCry

WannaCry于2017年5月12日在全球范围大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注,由于当前网络中仍有部分机器未修复漏洞,所以该病毒仍然有较强活力(大部分加密功能失效)。

8.Scarab

Scarab恶意软件最早发现于2017年6月份,从那时开始,便有大量新的Scarab变种不断被发现。其中,影响范围最广的一个版本是使用Visual C编译并由Necurs僵尸网络传播的。跟大多数勒索病毒一样,Scarabey在感染并加密了目标系统的文件之后,会要求用户支付比特币。之前版本的Scarab是通过Necurs恶意邮件来传播的,但Scarabey主要通过RDP+人工感染的方式来实现传播,并且针对的是俄罗斯用户。

9.Cerber2019(xorist)

Xorist系列勒索病毒最早可追溯到2012年,Cerber2019是该家族2019年发现的在国内首个感染变种,该勒索病毒疑似通过生成器自定义生成。与其他勒索病毒不同的是,该病毒除加密常见文件类型外,还会把其他勒索病毒(如:WannaCry, Crysis)加密过的文件再次加密。勒索文档要求受害者24小时内支付1比特币解密,超过36小时则销毁文件加密密钥国。经腾讯安全专家分析发现,CerBer2019勒索病毒加密的文件可以解密成功。

10.FilesLocker

FilesLocker勒索病毒在2018年10月出现,并在网上大量招募传播代理。在经过一系列迭代升级到2.1版本后,该病毒通过换皮方式进一步传播Gorgon变种。最新Gorgon变种加密文件完成后会添加.[buy-decryptor@pm.me]扩展后缀。该病毒由于加密完成后使用弹窗告知受害者勒索信息,所以病毒进程未退出情况下有极大概率可通过内存查找到文件加密密钥进而解密。

五、主要攻击特征

1.针对企业用户定向攻击

勒索病毒在2016年爆发时,主要通过钓鱼邮件、挂马等攻击方式撒网式传播,导致普通用户深受其害。但随后黑客发现普通用户的数据价值相对更低,并不会缴纳高额赎金进行数据恢复,相反企业用户的资料数据一旦丢失,将会极大地影响公司业务的正常运转,因此企业用户往往会缴纳赎金来挽回数据。因此现在黑客基本针对企业用户定向攻击,以勒索更多的赎金。

2.以RDP爆破为主

通过腾讯安全御见威胁情报中心的数据统计,目前勒索攻击主要以RDP爆破为主(包括企业内网渗透),典型家族有GlobeImposter和Crysis,也有其他家族的勒索病毒陆续加入端口爆破攻击方式。RDP爆破成功后,黑客可以远程登录终端进行操作,这样即使终端上有安全软件的防护也会被黑客退出,攻击成功率高,因此备受黑客喜爱。

3.更多使用漏洞攻击

以往勒索病毒更多的使用钓鱼邮件、水坑攻击等方式进行传播,但随着用户的安全教育普及,社工型的攻击成功率越来越低。因此勒索病毒现在更多的使用漏洞进行攻击,漏洞攻击往往用户没有感知、并且成功率高。部分企业没有及时修复终端的高危漏洞,这就给了黑客可趁之机。

4.入侵企业内网后横向渗透

大多企业通过内外网隔离,来提高黑客的攻击门槛,但是一旦前置机有可利用漏洞,黑客依然可以入侵到企业内网。入侵成功之后,黑客往往会利用端口爆破、永恒之蓝漏洞等进行横向传播,来达到加密更多的文件、勒索更高额赎金的目的。

六、重点勒索事件回顾

1.GandCrab V5.2冒充某政府机关进行鱼叉邮件攻击

腾讯御见威胁情报中心检测到,不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,包含“Min,Gap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar"。由于该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。

2.Globelmposter变种来袭,多家企业中招

2019年3月初,Globelmposter勒索病毒再次发起大规模攻击,此次攻击主要以国内公共机构服务器为主要攻击对象,该病毒通过暴力破解弱口令入侵受害服务器,运行后会加密磁盘空间中除Windows目录和.***4444后缀外的常见文件类型,导致关键数据库或程序无法访问,导致多家医疗机构受到不同程度的感染,对业务连续性造成了极其严重的影响。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

3.“天堂”伸出恶魔之手?Paradise勒索病毒再度席卷

2019年3月下旬,国内安全厂商接到客户反馈其主机被加密勒索,经过跟踪分析,确认入侵样本为Paradise勒索病毒变种。此次的变种借用了CrySiS家族的勒索信息,代码结构也与早期版本有了很大的区别。

七、勒索病毒未来趋势


1、未来一段时间,PC电脑上价值最高的依然为用户数据,故勒索病毒依然为用户面临的主要安全威胁之一
2、企业用户数据价值较高,且内网环境复杂,依然是勒索病毒的重点攻击对象;
3、随着技术的普及、勒索病毒产业链的成熟,黑客加入勒索病毒的门槛越来越低,因此勒索病毒有可能变得更多样、更新更频繁;
4、目前受到的勒索病毒攻击主要是windows系统,但是管家也陆续发现了MacOS、Android等平台的勒索病毒,随着windows的防范措施完善,将来黑客也可能转向攻击其他平台。
5、由于勒索病毒和挖矿木马的攻击方式和传播渠道几乎完全一样,目前已有不法黑客,如Satan病毒团伙,同时采用勒索病毒和挖矿木马双重攻击,给用户带来更大的损失。

八、勒索病毒应急处置手册

事前防护

1. 定期进行安全培训,日常安全管理可参考“三不三要”(三不:不上钩、不打开、不点击;三要:要备份、要确认、要更新)思路。
2. 全网安装专业终端安全管理软件,例如御见终端安全管理系统,腾讯御界高级威胁检测系统等。
3. 由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁;
4. 定期备份数据,重要数据多重备份。

事中应急

建议联系专业安全厂商处理,同时在专业安全人员到达之前,可采取正确的自救措施,以便控制影响范围。
1. 物理,网络隔离染毒机器;
2. 对于内网其他未中毒电脑,排查系统安全隐患:
a) 系统和软件是否存在漏洞
b) 是否开启了共享及风险服务或端口
c) 检查机器ipc空连接及默认共享是否开启
d) 检查是否使用了统一登录密码或者弱密码

事后处理

在无法直接获得安全专业人员支持的情况下,可考虑如下措施:
1. 通过管家勒索病毒搜索引擎搜索,获取病毒相关信息。搜索引擎地址(https://guanjia.qq.com/pr/ls/#navi_0)
2. 若支持解密,可直接点击下载工具对文件进行解密

3. 中毒前若已经安装腾讯电脑管家或者御点终端安全管理系统,并开启了文档守护者功能,可通过该系统进行文件恢复

详细处置方案参见:https://s.tencent.com/research/report/588.html

主要攻击特征