据腾讯智慧安全御见威胁情报中心监测,2018年9-10月份,勒索病毒攻击主要由GandCrab,Crysis,GlobleImposter三大家族发起,Satan,Rapid家族等也有一定程度的活跃,以PyLocky,FilesLocker为代表的新兴勒索病毒开始流入国内。
9月上旬勒索攻击攻击趋势有明显上升,10月中旬开始有所下降,但波谷波峰差值较大,勒索病毒整体攻击态势仍有随时爆发的可能。受勒索攻击地域中,上海,广东,浙江,最为严重,其它各地均遭受不同程度的攻击。
9,10月勒索病毒攻击趋势图
9,10月勒索病毒攻击地域分布
GandCrab
GandCrab 勒索病毒在9月末完成了从4.0到5.0系列的大版本升级,在过去9,10两个月内攻击趋势有明显上升,成为过去两个月内最活跃的勒索病毒之一。
10月中旬,一位叙利亚受害者的电脑被GandCrab勒索病毒加密,这位受害者在推特上说,病毒加密了他的电脑,他无法再查看儿子的照片,他的儿子在战争中丧生。随后,GandCrab勒索病毒在黑客论坛上向这位受害者道歉,并公布了叙利亚地区之前版本的加密密钥,然后迅速发布GandCrab勒索病毒的5.0.5版,自该版本起,叙利亚不再列入感染破坏清单中。
前最新迭代版本病毒加密文件完成后会添加随机5-10字符的扩展后缀,且无法解密。GandCrab勒索病毒已造成很大破坏,多家医疗机构关键数据被加密。
Satan
Satan勒索病毒利用一系列高危漏洞进行传播,腾讯智慧安全团队于10.19日捕获到该病毒的4.2最新迭代版本,通过技术分析确认,撒旦(Satan)勒索病毒加密的文件可以被解密。10.30日腾讯智慧安全团队接受到广东省某上市企业安全求助,该企业内某服务器由于未部署成熟的安全解决方案,导致所有文件被病毒攻击加密添加.sicck扩展后缀,腾讯智慧安全团队一时间对数据进行抢救,成功恢复了服务器内的重要数据,并获得了该企业内对接同事的高度认可和感谢。
Crysis
Crysis勒索家族主要通过Rdp爆破的方式进入用户机器,该病毒在9月中旬开始使用.gamma加密文件扩展后缀。目前活跃病毒版本加密文件完成后的扩展后缀通常为combo,gamma。
Rapid
Rapid勒索病毒家族在2017年出现,加密文件完成后会添加.Rapid扩展后缀。2018年10月下旬,腾讯智慧安全团队发现其最新变种在国内开始出现活动。最新版本变种加密文件完成后会添加.no_more_ransom扩展后缀,并在加密文件目录下释放名为How Recovery Files.txt的勒索提示说明文件。
PyLocky
腾讯智慧安全团队在9月上旬还捕获到了使用Python编写的PyLocky勒索病毒,该病毒伪装为DOCX文档图标诱惑受害者点击,病毒感染后会把机器中大部分重要的数据文件加密添加.lockedfile扩展后缀。与其它病毒不同的是,该勒索病毒还携带了正规的数字签名证书,签名滥用、盗用、冒用等情况在以往发现的案例中多为流氓软件或木马程序,勒索病毒使用白签名的情况还实属罕见。勒索病毒一旦拥有了合法证书,极易被安全软件放行,严重影响网络安全,一旦病毒攻击成功,将会给企业带来不可逆的严重损失。
FilesLocker
FilesLocker使用C#编写,勒索病毒本身和其他勒索病毒相比并无特别之处,该病毒加密文件完成后添加locked扩展后缀,并留下中美两种语言的勒索提示文本信息。目前该病毒的感染量较为有限,病毒传播渠道也不甚明确,显然是个新手。但危险的是,该病毒作者正在大量招募病毒传播代理,一旦FilesLocker勒索病毒具备足够丰富的传播渠道,将会成为企业和个人数据安全的灾难。
Suri
Suri勒索病毒出现在9月上旬,该病毒加密文件完成后会添加.SLAV的扩展后缀,并弹窗使用意大利语言展示勒索提示信息。为了威胁被攻击者尽快缴纳赎金。病毒作者还在弹窗信息上添加了一个360分钟的倒计时(360=60h),看来病毒作者需要重新复习下小学数学......
CommonRansom
CommonRansom最新变种出现在10月底,该病毒加密文件完成后会添加.CommonRansom 的扩展后缀。病毒最为奇葩的是,对于受害者,病毒作者要求其开启远程桌面服务进一步由病毒作者远程登录机器进行文件解密。这毫无疑问是极为危险的,因为一旦病毒作者通过RDP远程登录成功后,受害者设备则完处于病毒作者的控制中,极有可能会带来更大的灾难。
安全建议
企业用户:
1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登录。
2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 对重要文件和数据(数据库等数据)进行定期非本地备份。
6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、 开启电脑管家,减少使用外挂、盗版破解软件。
2、 打开文档守护者功能,防止重要数据在遭遇勒索病毒破坏时造成不可挽回的损失。
勒索病毒加密文件后的自救
如有用户文档不幸被勒索病毒加密,可使用腾讯电脑管家勒索病毒搜索引擎寻找已知的自救流程,电脑管家搜索引擎覆盖收集国内外超过280余种勒索病毒家族的相关信息,可解密超过百余种勒索病毒。受害者被加密的文件,部分可以尝试解密。网址:https://guanjia.qq.com/pr/ls/