本文目录一览:
- 1、2021勒索病毒大盘点
- 2、Makop 勒索病毒分析
- 3、勒索病毒是什么?
- 4、什么是勒索病毒
- 5、勒索病毒是啥,求解
- 6、什么是勒索病毒wannacry
2021勒索病毒大盘点
2021年,新冠肺炎仍然在全球范围内肆虐,各行业除了应对疫情的持续冲击外,还面临着一种形态多样、高频化的“流行病”-- 勒索病毒 。它们加密并窃取数据,甚至威胁破坏或泄漏数据,以此胁迫受害者缴纳高昂赎金,获得“暴利”。勒索病毒为何有这么大的能量,让所有行业“谈虎色变”?面对勒索病毒,难道只能“躺平”?接下来,我们就来盘一盘。
从1989年出现世界上第一个已知的勒索病毒“AIDS Trojan”,到2006年中国大陆出现首个勒索软件“Redplus”,全球范围内一直都在遭受着勒索攻击。尤其是近年来勒索攻击形势更加严峻,国际知名企业被勒索病毒攻击的事件层出不穷,并且赎金持续刷新记录。勒索病毒俨然成为了全球网络安全面临的头号威胁,那么,勒索病毒主要有哪几类?
以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金。该类勒索病毒已经成为当前勒索病毒的主要类型,以WannaCry为代表。今年WannaCry再度复苏,最常被攻击的主要是 政府、军方单位,其次为制造业、银行、金融与医疗系统。
通常采用多种加密算法加密用户数据,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。2021年3月,知名电脑制造商宏碁遭遇REvil勒索软件威胁攻击,攻击者索要5000万美元赎金(约3.3亿人民币),否则就公开被窃取和加密的数据。2021年5月,FBI称Conti勒索软件袭击了16个美国健康和紧急服务机构,影响了超过400个全球组织。
通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密。以2016年首次发现的Petya勒索病毒为代表。
全屏锁定用户设备的屏幕,并显示包含勒索信息的图像、文字,或伪装成系统出现蓝屏错误,直接导致用户无法登陆和使用设备(系统组件同时会被禁用),进而勒索用户支付赎金。该类勒索攻击还存在于移动端。比如2017年发现的Leatherlocker。
免费领取学习资料
2021年全套网络安全资料包及最新面试题
(渗透工具,环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)
通过对近年来勒索事件的分析,可以看到勒索软件不仅从“加密数据”演化到“三重勒索”、从“散装攻击”演化到“定向攻击”,还对特定的行业、地域具有明显的针对性。
勒索病毒攻击的目标从个人用户转向支付赎金能力更高,对数据依赖性更强的政企用户。比如高校由于大量设备疏于安全加固和漏洞修复,受WannaCry感染严重。能源、医疗等承载重要数据资源的行业由于对业务连续性要求高,也成为勒索病毒攻击的“高价值”目标。另外,重要政府部门/机构、军队单位以及关系民生的关基设施与工控系统面临的攻击风险也在加剧。
经济利益驱动运作模式升级,初步形成勒索病毒黑产链条。近些年较为活跃的提供勒索即服务RaaS (Ransomware-as-a-service)平台服务的家族DopplePaymer、Egregor、Netwalker、REvil/Sodinokibi、DarkSide、Ryuk,以及今年7月首次出现的BlackMatter,都具有较高的威胁能力。
2021年7月,黑客发起了一场全球勒索软件攻击,共袭击了超过1000多家公司,并迫使瑞典最大连锁超市之一的Coop关闭了数百家门店。在这场似乎是迄今为止规模最大的供应链黑客攻击事件中,黑客将目标锁定在了IT管理软件供应商Kaseya上,并且再次揭示出勒索软件即服务(RaaS)大流行的趋势正在蔓延。
2021年7月,LockFile利用Exchange服务器的ProxyShell漏洞入侵企业内部网络,已经攻击了至少10个组织或企业,其攻击目标主要为美国和亚洲。
由于勒索病毒加密信息难以恢复、攻击来源难以溯源,一旦遭遇勒索攻击,不仅会带来赎金损失、停产损失、赔偿和罚款以及数据重新上线费用等直接损失,还包括可能因为停产或服务中断带来的社会损失。比如赎金损失,据Censuswide的调研报告显示,在遭遇勒索攻击后,会有相当一部分企业会选择支付赎金。但是,
2021年3月,美国最大的保险公司之一CAN Financial遭到黑客组织Phoenix的勒索软件攻击,约15000台设备被加密,不计其数的客户资料受到泄漏的风险。CNA Financial在试图恢复文件无果之后,开始与攻击者谈判,黑客最初索要 6,000 万美元,谈判后向黑客支付了 4,000 万美元,创下了历史上最高的已支付赎金金额的记录。
2021年5月,美国最大的成品油的管道运输商Colonial Pipeline遭到“Darkside”黑客组织的勒索病毒攻击,美国东部沿海的燃油网络陷入瘫痪。同月,美国东部17个州和首都所在的华盛顿特区进入紧急状态。
图源网络
2021年,LockBit升级为2.0版本,加密数据的速度能达到373MB/s,在不到20分钟内便可以从受感染设备上盗取并加密100GB的数据,是普通勒索病毒加密速度的3倍以上。8月,全球IT咨询巨头埃森哲遭受来自LockBit团伙的攻击,LockBit勒索团队声称窃取了超过6TB的数据,并勒索5000万美元(约3.2亿人民币)赎金。
Makop 勒索病毒分析
从2020年2月起,发生了多起国内医疗机构感染 Makop 勒索病毒的事件。这些机构遭受服务器加密,导致业务瘫痪,影响巨大。
黑客倾向于医疗行业最主要的原因是,医疗卫生行业具有很大的业务紧迫性,尤其在当下防治新冠病毒的紧要关头。医疗机构一旦受到勒索,将发生业务中断的情况,造成的损失不可估量。这个行业的受害者为了快速恢复业务,很大可能性会选择给黑客支付赎金的方式。此外,境外黑客势力并不会顾及行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。
1.文件被以如下格式重新命名,并加密:
2.收到勒索信息(病毒曾用过的信息文件名称:readme-warning.txt):
目前已知的 Makop 勒索病毒名称:Makop_nowin.exe;SHA1 Hash值:“
d81da1cb795f291447246dc7e269c636f705e8de”。
Makop 专门攻击中小企业,由于它发起攻击的数量较大,仍然是获利最多的勒索病毒之一。据相关数据分析,Makop 根据被攻击组织的规模及类型来确定赎金的多少。
Makop 主要通过对不安全的远程桌面协议端口进行暴力攻击或字典式攻击,以实现对受害组织的病毒攻击。到目前为止,尚未发现 Makop 窃取被攻击者的数据,但勒索病毒手段多变,并不能确定该病毒将来的路线。
- 该勒索病毒主要传播途径为远程桌面协议端口,建议使用强密码。另外钓鱼邮件也是勒索病毒常用手段,不要轻易打开不明邮件。
- 建议安装终端防护软件,以阻挡勒索病毒的执行,避免数据遭受加密和损失。
- 及时备份重要文件,或完善文件备份机制,且备份服务器与业务服务器隔离。
- 及时安装操作系统补丁、更新应用版本号,减少漏洞攻击面。
- 避免使用弱口令账户,降低系统和应用遭到暴力破解成功的可能性。
- 关闭服务器上无用的调试服务、端口,严格使用防火墙控制网络访问权限。
- 若遇到勒索病毒攻击,建议不要断电,马上断网,并保留现场等待安全专家对服务器进行排查。
勒索病毒是什么?
勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,进以加密硬盘上的文档乃至整个硬盘,之后向受害者索要数额不等的赎金后才予以解密。
勒索病毒的形式
1.修改电脑开机密码、登录密码等对锁定电脑。
敲竹杠木马:通常伪装为外挂软件的方式潜入用户电脑,对用户登录名及密码进行修改并实施锁定勒索,但一般不会破坏系统文件或用户文件。杀毒软件在正常运作情况下会对这类木马进行拦截,这也就是为什么很多外挂都要求用户关闭或卸载杀毒软件的原因。
2.伪装为安全机构恐吓用户。
Reveton敲诈者病毒:根据用户所处地域伪装成用户所在地的执法机构,声称用户计算机受到攻击并被用于非法活动,用户需要支付罚款才能解锁系统。已有一位名叫约瑟夫·爱德华兹的17岁中学生因电脑感染了Reveton勒索病毒而自杀。
3.加密用户用户文件和数据。
WannaCry:采用对称加密算法和非对称加密算法对电脑文档进行加密,用户一旦中招则无法恢复数据,除非给黑客交赎金购买解密密钥。此次WannaCry利用NSA泄露的危险漏洞“永恒之蓝”进行传播,致使大面积电脑用户遭到勒索病毒攻击。此外还有CryptoLocker、VirLock、Locky等敲诈者病毒也都是这个类型。
4.篡改磁盘MBR,加密电脑整个磁盘。
Petya敲诈者病毒:感染电脑系统,覆盖整个硬盘的MBR,使Windows崩溃并显示蓝屏,而当用户重启计算机时,已修改的MBR会阻止Windows的正常加载,加密整个磁盘,之后显示一个ASCII骷髅图像,提示支付一定数量的比特币,否则将失去文件和计算机的访问权限。
中病毒的原因
1.垃圾邮件:不法分子通过伪造邮箱的方式向目标发送邮件,这些邮件中会包含带有病毒的附件或在邮件正文中加入钓鱼网址链接。
2.坑式攻击:不法分子将恶意软件植入到企业或个人经常访问的网站之中,一旦访问了这些网站,恶意程序会利用漏洞对其进行感染。(网页挂马)
3.捆绑传播:捆绑正常的软件或恶意软件上进行传播,用户在下载安装了这些软件同时激活了恶意软件,致使感染病毒。(尤其是游戏外挂)
4.借助移动存储传播:通过感染U盘、移动硬盘、闪存卡等可移动存储介质传播使接入设备感染。(伊朗核设施就是这么中招的)
归根到底,大多数用户中病毒的原因是缺乏网络威胁防范意识,轻易地相信了邮件信息,软件内容。很多不法分子就是利用用户贪小便宜的心理伪装淘宝京东发送打折邮件,欺骗用户点击。还有很多是通过游戏外挂传播,为了满足自己的虚荣心使用外挂却不知道中了不法黑客的圈套,招致勒索。
什么是勒索病毒
勒索病毒属于敲诈类木马病毒,目前wanacry勒索病毒席卷全球。
WannaCry(想哭,又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。
该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。
2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Window操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称,美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,最终带来了这一次攻击了150个国家的勒索病毒。
勒索病毒是啥,求解
勒索病毒是啥
勒索病毒,是一种新型电脑病毒,主要以邮件和恶链木马的形式进行传播。主要通过邮件附件、钓鱼邮件群发下载网址链接、用户在恶意站点下载病毒文件以及网页挂马后进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用系统内部的加密处理,而且是一种不可逆的加密,必须拿到解密的秘钥才有几率破解。
2017年5月12日,全球爆发电脑勒索病毒WannaCry,波及150多个国家7.5万台电脑被感染,有99个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利等。2017年5月17日,国家计算机病毒应急处理中心与亚信科技(中国)有限公司联合监测发现一种名为“UIWIX”的勒索病毒新变种在国外出现,提醒国内用户提高警惕,小心谨防。
什么是勒索病毒wannacry
wanacry勒索病毒是由“影子经纪人”专业犯罪集团编写的蠕虫类带有勒索性质的计算机病毒。
因wanacry勒索病毒利用Windows-445系列端口漏洞ms17-010进行攻击,覆盖了Windows所有版本,受众数量特别庞大。wanacry攻击计算机后会大量加密用户的文档/数据/文件/照片等并要求支付比特币赎金才能解锁。
Windows用户不幸遭受wanacry勒索病毒攻击目前解决办法如下:(无论如何切勿支付赎金,有大量证据表明即使支付赎金文件也无法解密。)
Windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。
个人用户可以联系国内外安全厂商例如:奇虎360,金山毒霸,卡巴斯基,麦克菲尔,腾讯安全管家等安全中心寻求协助恢复重要数据。
利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版,并将文件拷贝至安全、无毒的U盘;再将指定电脑在关闭WiFi,拔掉网线,断网状态下开机,并尽快备份重要文件;然后通过U盘使用“勒索病毒免疫工具”离线版,进行一键修复漏洞;联网即可正常使用电脑。
利用“文件恢复工具”进行恢复。已经中了病毒的用户,可以使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复您的文档。
注意:也可持续关注相关安全厂商的处理办法,等待更加优越的完美解锁。