时至年末,勒索事件爆发的频次越来越高,重大安全事件也层出不穷,给个人和组织都带来了重大的安全威胁,本篇文章将基于此背景一步步揭开勒索病毒的神秘面纱并给出一些列的处置建议和防护措置以供个人或企业作为参考
勒索病毒是一种极具破坏性、传播性的恶意软件,主要利用多种加密算法加密用户数据,之后勒索用户高额赎金,故而勒索病毒也被称为是当前黑客最有效的"变现"方式
勒索病毒文件在本地运行后会利用本地的互联网访问权限连接至黑客的C2服务器,进而上传本机信息并下载加密公钥,之后利用加密公钥对当前主机中的重要文件进行加密,由于勒索病毒大多使用的加密算法属于非对称加密算法,所以除非是拥有解密私钥的攻击者本人,其他人是几乎不可能解密,加密完成后通常还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金,勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性,攻击样本以exe、js、wsf、vbe等类型为主,勒索病毒的勒索过程如下:
加密勒索软件主要以加密个人文件和文件夹(文档、电子表格、图片和视频)为主,受影响的文件一旦加密就会被删除,用户通常会在与现在无法访问的文件同名的文件夹中遇到带有付款说明的文本文件,当文件扩展名被自动更改时用户可能会察觉到勒索软件所带来的影响
锁定屏幕类勒索软件会锁定计算机屏幕并要求付款,同时它会显示一个全屏图像阻止所有其他窗口,有一个特点就是它不会加密任何个人文件
主启动记录(MBR)是计算机硬盘驱动器中允许操作系统启动的部分,MBR通过更改计算机的MBR以便中断正常的启动过程,赎金要求显示在屏幕上并且防止操作系统的启动
Web服务器加密勒索以Web服务器为目标并加密其上的许多文件,它通过利用内容管理系统中的已知漏洞在Web服务上部署勒索软件
在计算机上广泛应用于文件加密的技术可分为以下四种类型:
基础加密是指以一种极其简单的运算方式来修改原始文件的数据,而没有特定数学算法参与,比较典型的方式比如异或运算、加法运算、减法运算或者结合起来使用,最初的勒索软件由于技术水平不成熟,加密算法技术未普及等诸多原因会使用这种运算符操作数据的方式修改文件的数据,解密这样的文件只需要进行运算符暴力枚举,文件数据碰撞或者逆向勒索软件运算时使用的密钥就能直接对数据内容进行还原
随着技术的更新和发展勒索软件开始重视加密算法的应用,早期勒索软件开始使用一些对称式的加密算法,对称式加密算法其特点是有一个密钥,由于加密和解密使用相同的密钥且加密和解密的运算逻辑往往相同,对称加密算法的密钥十分容易泄露,文件或HASH碰撞的方式仍然有机会解密以反推正确的密钥或者通过逆向勒索软件运行时密钥的来源以此获得密钥就能够解密被对称算法加密的文件
稍微聪明的攻击者会将对称密钥通过网络传输的方式发送回攻击者的服务器,然后销毁本地密钥痕迹,这样一来如果不能从攻击者服务器获取到算法密钥那么解密文件的过程必然会非常繁琐困难,但是这样一来攻击者的服务器就会暴露在大众视野之下对他们来说这是很不安全的,被勒索软件广泛应用的对称加密算法有:AES,DES,3DES,RC4,Salsa20,TEA
非对称加密算法也称为开放密钥算法或称为公钥加密算法,与对称算法不同的是它需要两个密钥:一个是公有密钥,另一个是私有密钥,顾名思义公有密钥公开公布主要作为加密信息时使用的加密密钥,而私有密钥并不能随意公布且仅用来解密与之对应公钥加密的信息时才能使用的,攻击者仅需要将公钥嵌入到勒索软件代码中并在适当的时机通过导入公钥来加密那些文件信息,而私钥被攻击者严加保管,在这样的情况下加密的文件信息如果没有攻击者的私钥,往往难以被解密
对称加密算法的特点是加密速度快而非对称算法加密速度慢,因此黑客在勒索软件中会采用两种算法相结合的方式来锁定用户文件,他们使用对称算法快速地加密文件,仅仅使用非对称算法去加密对称算法的密钥,这样一来整个加密逻辑能够做到既安全又高效,是当今勒索软件彼此心照不宣的加密方案,目前被勒索软件广泛应用的非对称加密算法有:RSA,ECC
现代勒索软件不会使用单一加密手段对文件进行直接加密,那样的方式要么是效率十分低下,要么是安全性不足,在这种情况下混合加密成为了勒索软件主流的运用手法,以GandCrab的RSA+Salsa20为例,RSA公钥用于加密第一个salsa20的Key和Iv ,之后使用第一个salsa20加密程序生成的RSA私钥
使用程序RSA公钥加密第二个salsa20的Key和Iv,之后使用第二个Salsa20算法来加密磁盘文件
被加密的文件隐藏着能够解密文件的salsa20密钥,但是这将需要作者的RSA私钥才能够进行解密,使用两次RSA的好处是作者不需要暴露自己的私钥,交给用户一个程序生成的RSA私钥来针对不同的受害机器执行单独解密的操作
STOP勒索病毒最早出现在2018年2月份左右,从2018年8月份开始在全球范围内活跃,主要通过捆绑其它破解软件、广告类软件包等渠道进行感染传播,最近一两年STOP勒索病毒捆绑过KMS激活工具进行传播,甚至还捆绑过其他防毒软件,到目前为止此勒索病毒一共有160多个变种,虽然此前Emsisoft公司已经发布过它的解密工具可以解密140多个变种,但最新的一批STOP勒索病毒仍然无法解密
常见后缀:.TRO .djvu .puma .pumas .pumax .djvuq .litrar…
勒索特征:样本释放在%appdata%\local<随机名称>
撒旦(Satan)勒索病毒首次出现2017年1月份,最新版本攻击成功后会加密文件并修改文件后缀为"evopro",除了通过RDP爆 破外还通过多个漏洞传播
常见后缀:evopro sick …
传播方式:永恒之蓝漏洞、RDP爆破、JBOSS系列漏洞、Tomcat系列漏洞、Weblogic组件漏洞等
勒索特征:最新变种evopro暂时无法解密,老的变种可解密
Ryuk勒索病毒最早在2018年8月由国外某安全公司发现并报道,此勒索病毒多根据企业规模进行定制性攻击,攻击目标多为大型企业与政府机构,攻击成功后索要赎金数额巨大,该勒索使用RSA+AES算法对文件进行加密,在没有相应RSA私钥的情况下无法解密
传播方式:垃圾邮件或漏洞利用工具包、Trickbot银行木马
勒索特征:勒索信名称多为"RyukReadMe.html"或"RyukReadMe.txt"
常见后缀:.ryk
Maze(迷宫)勒索病毒又称Chacha勒索病毒,最早于2019年5月份由Malwarebytes安全研究员首次发现,此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo,伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播,最近的一段时间里,Proofpoint的安全研究人员发现一个新型的黑客组织TA2101,通过垃圾邮件的方式对德国、意大利、美国发起网络攻击,传播Maze(迷宫)勒索病毒
传播方式:垃圾邮件、网站挂马等
勒索特征:勒索信中的关键字"maze"
常见后缀:不规则
2019年5月Buran勒索病毒首次出现,该勒索病毒是一款新型的基于RaaS模式进行传播的新型勒索病毒,在一个著名的俄罗斯论坛中进行销售与其他基于RaaS勒索病毒(如GandCrab)获得30%-40%的收入不同,Buran勒索病毒的作者仅占感染产生的25%的收入,安全研究人员认为Buran是Jumper勒索病毒的变种样本,同时VegaLocker勒索病毒是该家族最初的起源,由于其丰厚的利润使其迅速开始在全球范围内传播感染,Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包进行传播,其利用了Internet Explorer的一个比较严重的漏洞CVE-2018-8174
传播方式:漏洞利用工具包 WEB类安全漏洞
勒索特征:勒索信"!!!ALL YOUR FILES ARE ENCRYPTED !!!"
常见后缀:不规则
Scarab(圣甲虫)恶意软件于2017年6月首次发现,此后有多个版本的变种陆续产生并被发现,最流行的一个版本是通过Necurs僵尸网络进行分发,使用Visual C语言编写而成
常见后缀:.krab .Sacrab .bomber .Crash ……
传播方式:Necurs僵尸网络RDP爆破 垃圾邮件 ……
勒索特征:样本释放%appdata%\Roaming
目前为止变种较多的一种勒索,该勒索病毒主要通过入侵远程桌面进行感染安装,黑客通过暴力枚举直接连入公网的远程桌面服务从而入侵服务器,获取权限后便会上传该勒索病毒进行感染,勒索病毒启动后会显示感染进度等信息,在过滤部分系统可执行文件类型和系统关键目录后对其余文件进行加密,加密后的文件会被修改后缀名为其邮箱
常见后缀:.GRHAN .PRCP .SPCT .PEDANT …
传播方式:RDP爆破
勒索特征:
Paradise勒索病毒翻译成中文是"天堂勒索",最早出现在2018年7月,最初版本会附加一个超长后缀如(V.0. 0.0.1{yourencrypter@protonmail.ch}.dp)到原文件名末尾,在每个包含加密文件的文件夹都会生成一个勒索信
常见后缀:文件名%ID 字符串%_{勒索邮箱}.特定后缀
勒索特征:将勒索弹窗和自身释放到 Startup 启动目录
Phobos勒索病毒复用了Crysis的部分代码,与Crysis高度相似(文件后缀与勒索信),该勒索病毒多通过RDP弱口令进行传播,使用RSA+AES算法加密文件,在没有相应RSA私 钥的情况下无法解密
传播方式:RDP弱口令
勒索特征:勒索信名称为"info.txt"、"info.hta"
常见后缀:.Banta、.phobos、.actin、.PISCA、. caleb…
2017年5月12日,WannaCry勒索病毒全球大爆发,至少有150个国家、30万名用户中招,造成损失达80亿美元。WannaCry蠕虫主要通过MS17-010漏洞在全球范围传播,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密,受害者电脑被黑客锁定后病毒会提示需要支付相应赎金方可解密
常见后缀:wncry
传播方式:永恒之蓝漏洞
勒索特征:
GlobeImposter最早是在2017年出现,在2018年8月21日起多地发生GlobeImposter勒索病毒事件,攻击目标主要是开始远程桌面服务的服务器,攻击者通过暴力破解服务器密码对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密多个版本更新,并常通过爆破RDP后手工投毒传播
常见后缀:auchentoshan、十二生肖英文名称+4444
传播方式:RDP爆破 垃圾邮件 捆绑软件
勒索特征:释放在%appdata%或%localappdata%
MedusaLocker勒索早期勒索信与GlobeImposter非常相似,曾被认为是GlobeImposter的变种,该勒索病毒使用RSA+AES算法对文件进行加密,在没有相应RSA私钥的情况下 无法解密
传播方式:RDP 弱口令
勒索特征:勒索信名称为"RECOVER_INSTRUCTIONS.html"、"INSTRUCTIONS.html"
常见后缀:".ReadTheInstructions",".READINSTRUCTIONS"
发现日期:2019 年
简要描述:LockBit于19年出现至今共诞生出三个版本,在2.0增加了StealBit窃密木马,而最新的LockBit 3.0提升了安全软件对抗能力
入侵手法:通常利用RDP弱口令爆破的方式渗透到目标计算机中
加密方式:RSA+AES
赎金类型:虚拟货币(比特币)
发现日期:2022年
简要描述:作为新兴勒索软件针对企业用户的Windows系统以及Linux服务器运行的VMware ESXi虚拟机
入侵手法:通过僵尸网络传播
加密方式:RSA+ChaCha20
赎金类型:虚拟货币(比特币)
简要描述:lockbit3.0时lockbit的第三个版本,它主要采用强大的AES-256和RSA-2048两种复杂算法加密用户数据并尝试使用PSExec在受害者网络环境中执行横向移动和远程执行,加密强度极高,攻击范围广泛
加密方式:AES-256+RSA-2048两种复杂算法加密用户数据
主要特征:
简要描述:Xollam是Mallox勒索病毒家族的8月份新变种,名称颠倒,它会对系统中的文件进行加密操作,主要特征是将".xollam"扩展名附加到文件名,.xollam勒索病毒以其先进的加密技术而著称。一旦成功感染计算机系统,它会迅速搜寻用户的数据文件,如文档、照片、视频等,然后使用强大的加密算法将这些文件锁定。加密后,用户无法访问这些文件,而.xollam勒索病毒会弹出勒索信息,要求用户支付一定数量的加密货币以获取解密密钥。这种敲诈手段使受害者在经济和隐私层面双重受创
传播方式:.xollam勒索病毒采用多种方式进行传播,其中包括远程桌面爆破、弱口令攻击、恶意电子邮件、恶意下载链接、漏洞利用等。恶意电子邮件可能伪装成合法的通知、发票或文件分享,引诱用户点击附件或链接。一旦用户中招,病毒便能迅速感染系统并展开加密攻击。此外,.xollam勒索病毒还可能利用系统和应用程序的漏洞,通过网络攻击渗透进入目标系统
主要特征:
简要描述:.babyk是勒索病毒家族中的一员,它以其狡猾和具有挑战性的加密算法而著称,一旦感染了受害者的计算机系统,.babyk会在其文件中施加强大的加密,将它们变成一堆看似毫无规律的字符,只有支付赎金才能解开这个谜题
传播方式:通过社交工程、恶意电子邮件附件或伪装成合法软件的下载链接来传播
主要特征:
目前勒索病毒常见的攻击手法主要有以下几种:
用户被勒索病毒勒索时可以根据勒索病毒的特征(例如;加密文件的后缀、勒索信中的关键词等)检测合识别勒索病毒,当然这些必须基于对勒索病毒的特征和家族特别熟悉的基础之上,本篇文章将介绍几种通过勒索病毒搜索引擎快速查找勒索病毒相关信息的方法
【360】 勒索病毒搜索引擎:https://lesuobingdu.360.cn/
【腾讯】 勒索病毒搜索引擎:https://guanjia.qq.com/pr/ls/
【奇安信】勒索病毒搜索引擎:https://lesuobingdu.qianxin.com/
【ransomware】勒索病毒识别:https://id-ransomware.malwarehunterteam.com/
目前勒索病毒领域甚至兴起了一种RaaS模式(勒索即软件服务),与此同时也出现了多家安全企业专门研究并提供勒索软件解密服务,常见的解密渠道有以下三种:
【腾讯哈勃】勒索软件专杀工具:https://habo.qq.com/tool/index
【nomoreransom】勒索软件解密工具集:https://www.nomoreransom.org/zh/index.html
【瑞星】解密工具下载:http://it.rising.com.cn/fanglesuo/index.html
【卡巴斯基】免费勒索解密器:https://noransom.kaspersky.com/
【Avast】免费勒索软件解密工具:https://www.avast.com/zh-cn/ransomware-decryption-tools
【Emsisoft】免费勒索软件解密工具:https://www.emsisoft.com/ransomware-decryption-tools/free-download
目前有很多的安全厂商提供了勒索解密服务,在解密时只需要提供一定的解密服务费用即可,这里不做任何推广,有兴趣的可以自行百度即可,但是这种解密可能并不彻底也难以规避数据全部丢失,需要多方面考虑
勒索解密主要是指受害者通过勒索信息联系攻击者并支付高额的资金获取解密服务,根据以往案例依旧有部分受害者在支付完后并未获得完全解密,更有甚者被进行二次勒索导致高额损失,勒索解密发生在一些重要的基础设施场景(例如:医院、银行等)且勒索病毒为新型勒索病毒时可以采用以快速恢复业务,当然具体情况还得具体分析
隔离已感染主机后应尽快排查业务系统与备份系统是否受到影响,确定病毒影响范围,如果存在备份系统且备份系统是安全的就可以将损失降到最低也可以最快的恢复业务
勒索病毒清除查杀比较常见的方法有两种:
主机感染病毒一般都是由未修复的系统漏洞、未修复的应用漏洞或者弱口令导致的,所以在已知局域网内已有主机感染并将之隔离后应检测其他主机是否有上述的问题存在
数据备份还原的前提是有做数据的备份,同时数据备份必须是异地、异介质备份,本地备份无效(因为勒索病毒同样会加密此类文件),同时在进行备份还原前要确保原主机上病毒已彻底清除,日常进行合理的数据备份是最有效的灾难恢复方法
数据解密处理是一个可选项,如果在上面的第三步是采用了重装系统的方法,那么此步骤是多余的,如果采用了杀软进行查杀或者通过分析手法对病毒进行了清除,那么此时可以尝试对关键数据进行解密处理,主要的方式如下:
勒索攻击事件发生之后我们需要针对事件进行详细的分析,比如对感染的深度和广度进行调查,更重要的是要分析受感染用户是通过什么方式感染的,以确定应该从哪些方面入手对问题进行解决,防止类似的事件再次发生,另外也要对勒索软件行为进行分析,确定勒索软件攻击的指示器并将这些分析结果用于改进检测防范和防御方法,提升整体安全防护能力
目前勒索病毒领域甚至兴起了一种RaaS(Ransomware as a Service,勒索即软件服务)的模式,在RaaS模式下恶意软件开发者或犯罪团伙将勒索病毒作为一项服务提供给其他恶意用户,这些用户通常被称为"合作伙伴"或"分销商",RaaS模式的运作方式通常如下:
故强烈建议个人、企业做好事前防范准备,并时常开展内部资产排查梳理与内部应急拉练~