一、背景
2018年4月份,针对服务器的勒索病毒攻击呈整体走高趋势。此类型攻击中不法黑客大多利用弱口令漏洞、系统漏洞等方式获取目标机器的远程登录用户名和密码,之后通过RDP(远程桌面协议)远程登录目标服务器运行勒索病毒。而企业服务器上的数据文件一旦被加密,将严重威胁到公司的正常运转,迫使企业向黑客交付赎金。
(通过Web服务器进行内网渗透,攻击内网各个服务器)
二、典型攻击回顾
4月份,瞄准服务器攻击的主要有GlobeImposter、Crysis、Satan等勒索病毒家族。
1. GlobeImposter勒索病毒家族
GlobeImposter是勒索病毒家族中的“年长者”,初期主要通过钓鱼邮件攻击个人用户,如今或许是为了更高的收益,也将重点攻击目标转向了服务器。GlobeImposter主要通过RDP远程桌面协议传播,即使服务器上安装了相关安全软件,也会被黑客手动退出。
GlobeImposter加密文件后,有多种文件后缀名,近期较为常见的有:TRUE、ALCO1+、RESERVE、CHAK、FREEMAN、SEXY等。不少GlobeImposter变种会在后缀名后再加一个“+”号。具体勒索的赎金金额需要受害者自行联系黑客。
2. Crysis勒索病毒家族
Crysis家族最早可以追溯到2016年3月,进入2017年后开始针对windows服务器发起持续攻击。Crysis勒索病毒家族的攻击模式主要为黑客通过爆破远程登录后,手动传播勒索病毒并执行。
Crysis家族变种也有多种,近期较为流行的加密后缀多为.arena、.arrow等,并且附加上的后缀中还会带有受害者id和勒索者联系邮箱,如:1.txt.id-EE5106A8.[decrypthelp@qq.com].arrow。赎金金额需要受害者自行联系黑客。
3. Satan勒索病毒家族
Satan勒索病毒首次出现在2017年1月份,Satan的开发者通过网站允许用户生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本。但Satan在很长时间内仅有小范围传播。今年4月份,腾讯御见情报中心监测到Satan勒索病毒利用NSA工具大规模感染存在“永恒之蓝”漏洞的机器,并且针对服务器数据库进行加密。
Satan加密文件后,以“.satan”作为后缀,会勒索0.3个比特币作为解密赎金。
三、行业影响
1. 地域分布
对受攻击企业所在地域进行分析,发现江苏和广东被攻击的企业最多,之后分别是山东和北京。
2. 行业分布
通过分析受攻击的企业用户,发现遭到服务器勒索攻击的行业主要为传统行业,分别为政府机关、工业和医疗行业等。根据分析,传统行业在信息安全上往往投入较少,比如服务器没有及时修复高危漏洞,企业内部缺少良好的安全规范等。
此外,4月份还发现了多例Matrix家族变种,以及6例新勒索病毒。
1) Matrix勒索病毒变种
4月初发现多例Matrix勒索病毒变种,该变种加密文件后,会将文件修改为随机名,并用邮箱作为后缀,例:RfAYPUEo-7AJapOft.[Files4463@tuta.io] 。Matrix勒索病毒同样以服务器为攻击目标,通过RDP传播。
此外,其他变种涉及到的邮箱有:
RestoreFile@tunanota.com
RestoreFile@protonmail.com
RestoreFile@qq.com
2) WHITEROSE(白玫瑰)勒索病毒
4月1日发现WHITEROSE(白玫瑰)勒索病毒,该勒索病毒加密文件后,将文件名修改为随机名,以“WHITEROSE”作为后缀,例:EYSsBa2BpHdacVha_ENCRYPTED_BY.WHITEROSE。在勒索提示信息上,作者特意用字符画出了一朵玫瑰,勒索信息中附带一首关于白玫瑰的诗。
3) Cypren勒索病毒
4月3日,发现Cypren勒索病毒,加密文件后,以“.ENCRYPTED”作为后缀。根据提示,受害者需要在一周内缴纳0.1个比特币,否则黑客会删除密钥文件,导致文件永远无法解密。
4) Spartacus勒索病毒
4月9日,发现Spartacus勒索病毒,该勒索病毒加密文件后以[MastersRecovery@protonmail.com].Spartacus 作为后缀,赎金金额需要受害者自行联系黑客。此外,联系黑客可免费解密一个10M以内的文件。
5) 恶搞“吃鸡”勒索病毒
4月11日,发现一恶搞勒索病毒,加密文件后,要求受害者玩一个小时的“吃鸡”游戏才能解密。不过该勒索病毒也给出了解密密钥,用户直接在界面中输入提示的字符串即可解密。
6) Tron勒索病毒
4月18日,发现Tron勒索病毒,加密文件后,以“.tron”作为后缀,要求用户在10天内缴纳0.5个比特币赎金才可解密。
7) Xorist勒索病毒变种
4月24日,发现Xorist勒索病毒变种。该病毒作者为了向受害者传递24小时内必须缴纳解密赎金否则撕票的信息,在完成文件加密后,对所有加密文件添加了长达137个字符的后缀,可以说是有史以来勒索病毒的“最长加密后缀”。后缀名为
(.PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment)。此外,该病毒还会尝试加密用户机器上.exe,.dll.,sys后缀的文件,导致部分系统文件被加密,进而引发操作系统异常。
四、解决方案
腾讯御见威胁情报中心建议:
1、 不要点击来源不明的邮件附件。
2、 及时打补丁,修复系统或第三方软件中存在的安全漏洞。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 推荐个人用户使用“文档守护者”对重要文件和数据(数据库等数据)进行定期备份。
个人用户打开电脑管家【工具箱】-【文档】-【文档守护者】,全面保护文档安全。
5、推荐企业用户使用腾讯御点终端安全管理系统(下载地址:https://s.tencent.com/product/yd/index.html),有效防御企业内网终端的病毒木马攻击。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
6、 推荐企业用户使用御界高级威胁检测系统(https://s.tencent.com/product/gjwxjc/index.html)。凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。
