0x1 概况
2018年7-8月,勒索病毒继上半年以来,呈持续活跃态势。此外,相对于7月份,8月份勒索病毒的传播趋势得到进一步强化。
从被勒索攻击的地域上看,被攻击的地域主要有广东、江苏、北京、浙江等地。
从7-8月勒索病毒家族分布上看,针对服务器攻击的GlobeImposter和Crysis依然是最活跃的勒索病毒家族。撒网式水坑攻击依然是GandCrab勒索病毒的主要传播方式,此外腾讯智慧安全在7月份还新发现了GandCrab通过RDP爆破远程入侵的案例。
进入8月下旬以来,GlobeImposter勒索病毒迎来新一轮爆发。从端口爆破趋势上看,3389端口爆破在8月中下旬也出现明显上升趋势。
0x2 勒索病毒详情
腾讯智慧安全监测发现7-8月期间出现的新勒索病毒,主要有:
1. Crysis新变种cmb和combo
该两例变种加密文件后会分别将文件后缀改为.cmb和.combo,传播方式上依然通过RDP爆破,远程登录到受害者机器上传播。
2. Locky勒索病毒
7月28日,发现新勒索病毒会将文件后缀改为.locky。这让人想起曾经在全球范围内大肆传播的Locky勒索病毒家族。不过暂未发现本次捕获的Locky勒索病毒与Locky勒索病毒家族有所关联,推测是Locky家族的追随者。
3. Matrix勒索病毒变种ann
7月31日,发现Matrix勒索病毒变种ann。该变种加密文件后,会将后缀改为.ANN,使用的联系邮箱为AskHelp@protonmail.com。
4. Xiaoba变种XIAOBA 2.0 Ransomware
7月26日,发现国产勒索病毒Xiaoba变种XIAOBA 2.0 Ransomware,加密文件后会将文件后缀改为.XIAOBA,勒索0.5个比特币作为赎金。该变种通过伪装成Flash安装包传播。
5. “戏精”勒索病毒Xorist
7月9日,发现“戏精”勒索病毒Xorist,加密文件后会将文件名附加上长达149字符的后缀:
.DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED,提示需要在24小时内联系黑客缴纳赎金,否则会永久失去文档数据。
6. GandCrab勒索病毒
GandCrab勒索病毒,在7-8月也更新频繁。首先在7月初,发布了GandCrab4,加密文件后,后缀修改为.krab。传播渠道上,依然主要是水坑攻击。
此外,加密算法也换成了Salsa20,甚至还在代码中调侃了Salsa20算法的发明者Daniel J. Bernstein。
但是,在GandCrab随后的版本中,发现GandCrab会在用户机器上释放一个lock空文件文件,文件名为本地生成的ID,例如6F36E2CB.lock。当GandCrab发现机器上有该lock文件时,便不会加密。
对此,国外安全厂商AhnLab发布了GandCrab勒索病毒免疫工具。但该免疫工具仅针对GandCrab4.1.2有效,在随后的更新中便修复了这个问题。此外在GandCrab4.3里,勒索病毒作者加入了针对AhnLab安全软件的拒绝服务攻击的代码。
0x3 安全建议
针对个人用户:
1. 不要点击来源不明的邮件附件,当一个文件用docx(Word文档)作图标,却是EXE可执行文件时,显然属于恶意程序伪装,一定不要打开。
2. 不使用外挂、破解补丁等容易传播病毒的软件。
3. 保持腾讯电脑管家等安全软件的运行状态,及时修复系统漏洞,实时拦截病毒风险。
4. 推荐使用“文档守护者”对重要文件和数据(数据库等数据)进行定期备份。打开电脑管家【工具箱】-【文档】-【文档守护者】,全面保护文档安全。
针对企业用户:
1、 尽量关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的IP连接登录。
2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 对重要文件和数据(数据库等数据)进行定期非本地备份。
6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
8、 推荐企业用户使用御界高级威胁检测系统检测未知威胁,通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。(详情链接:https://s.tencent.com/product/gjwxjc/index.html)
0x4 勒索自救
如有用户文档不幸被勒索病毒加密,可使用腾讯电脑管家勒索病毒搜索引擎寻找已知的自救流程,电脑管家搜索引擎覆盖收集国内外超过280余种勒索病毒家族的相关信息,可解密超过百余种勒索病毒。受害者被加密的文件,部分可以尝试解密。网址:https://guanjia.qq.com/pr/ls/