安全研究 >> 安全研究详情

美创安全实验室发布-4月勒索病毒报告

作者: 美创科技安全实验室发布日期: 05月01日

四月勒索状况概述


2020年4月,美创安全实验室针对勒索病毒进行多方位监控,分析显示:本月病毒事件主要集中在医疗、教育、制造、制造等行业,南京、广州、杭州、北京、上海、成都、深圳依然是勒索病毒攻击的重点。总体而言,新的勒索病毒不断涌现,旧的勒索病毒不断变种,安全形势依然不容乐观。

1受害者所在地区分布
美创安全实验室威胁平台显示,4月份国内遭受勒索病毒的攻击中,南京、北京、上海、浙江、广东、重庆最为严重,其它省份也有遭受到不同程度攻击。

2受害者所在城市分布
美创安全实验室威胁平台显示,4月份中招者排名前八的地区中南京地区占比高达23%,其次是广州占16%,北京占14%,上海占9%。


3勒索病毒家族分布
下图是美创安全实验室对勒索病毒监测后所计算出的4月份勒索病毒家族流行度占比分布图,Phobos、Globeimposter、Hermes这三大勒索病毒家族的受害者占比最多,合计占到了62%。


4勒索病毒传播方式
下图为勒索病毒传播的各种方式的占比情况。可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。




本月大型勒索事件回顾
1Hermes勒索软件攻击上海某企业导致部分业务暂停
4月7日,上海某企业遭到Hermes勒索软件攻击,导致部分业务暂停。据了解,该企业共有6台服务器中招,存储在服务器上的所有文件都被加密,加密的后缀为“.voyager”。Hermes勒索病毒擅长使用钓鱼邮件,RDP(远程桌面)爆破攻击,软件供应链劫持等方式进行传播。Hermes勒索病毒运行后,首先判断当前系统为x86或x64,释放运行不同的勒索模块,这样的做将有利于病毒实施后续的注入逻辑,同时也进一步提高了病毒的运行效率。几分钟后,存储在计算机上的所有文件都被加密,该病毒使用RSA+AES的加密方式。

在线点评:

❶Hermes勒索病毒从2017年6月开始在国内进行传播,该勒索病毒主要通过爆破远程桌面,拿到密码后手动投毒。
❷Hermes勒索病毒不对俄罗斯,白俄罗斯和乌克兰进行感染,研究人员怀疑该病毒的作者是其中一个国家的公民,或者蓄意栽赃这三个国家。除此以外,系统目录如文件夹包含Windows,microsoft,Program,All Users,Default,$Recycle.Bin字样的目录不进行感染,只有文件后缀满足需求的才进行加密,并且同时针对同一个文件不会进行重复加密,加密文件的后缀共有6330种。

❸多个报告证明Hermes勒索病毒近期非常活跃,该病毒也在不断出现新变种,需要谨防此病毒。

2Dharma勒索病毒针对教育企业进行攻击
4月23日,上海某教育企业遭到Dharma勒索病毒攻击,加密了1台服务器。据了解,该服务器上的所有文件被加密,使得文件无法再打开,并将文件扩展名“.id-xxxxxxxx.[bitcoin@email.tg].ncov”附加到每个加密文件中。Dharma勒索软件主要是通过垃圾邮件感染受害者的,这些邮件中嵌入了欺骗性消息,例如伪装成发票和其他假文件类型的附件。Dharma勒索病毒运行后首先删除文件的卷影副本,以防止受害者通过这些备份还原其文件。接着,采用高强度的AES算法对存储在计算机上的所有文件进行加密。然后,勒索软件会放下简短的勒索便条,要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件。加密后,加密文件如下图所示:


在线点评:

❶ Dharma勒索病毒又称CrySiS, 首次出现是在2016年,Dharma的主要攻击方式有三种:①通过带有恶意文件的垃圾邮件进行传播;②攻击可正常下载的程序和安装包以传播勒索软件③对远程桌面协议(RDP)展开针对性攻击。

❷ Dharma勒索病毒在近期异常活跃,变种已经达到一百多个,最新的该病毒变种使用NET语言编写。

3位于source目录下的install.wim
4月24日,安徽某科技公司遭到Globeimposter勒索病毒连续攻击,6台服务器内的核心数据被加密。据了解,这6台服务器上的所有核心数据都无法再打开,加密文件的扩展名为“.Globeimposter-Beta865qqz”。GlobeImposter勒索病毒是目前非常流行的勒索病毒,它主要通过RDP爆破入侵用户计算机,之后进行手动投毒。然后,勒索软件会在桌面留下勒索信息文件,要求受害者支付巨额的赎金以恢复其加密文件。

在线点评:

❶ Globeimposter勒索病毒在近期非常活跃,其加密后缀也在不断变化,在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的文件。

❷ 国内各行业饱受Globelmposter勒索病毒的侵害,涉及行业有医疗、政府、能源、贸易等,其中,对医疗行业危害最大。美创安全实验室提醒广大用户,警防此病毒攻击!

4重庆某企业遭数据库勒索病毒攻击
4月25日,美创安全实验室接到重庆某企业反馈,数据库遭勒索病毒攻击,导致1-4月份的数据库数据丢失。中毒后的数据库应用界面会弹出如下图所示的异常信息。根据测信息,美创安全实验室确认该病毒是RushQL数据库勒索病毒,是由于下载使用了破解版PL/SQL导致的。

在线点评:

❶ RushQL数据库勒索病毒是由“SQL RUSH Team”组织发起,因此该病毒被命名为RushQL。此病毒早在2016年11月就已出现,期间沉寂了1年多,现该病毒已呈现出死灰复燃之势。

❷ 建议加强信息安全管理,拒绝使用盗版软件,定期巡检,以及做好数据库容灾和备份管理工作。



勒索病毒攻击趋势

1从普通用户转向中大型政企
现在的勒索病毒,从广泛而浅层的普通用户,明显转向了中大型政企机构、行业组织。很多企业系统因为管理的原因,或系统版本较低,不能及时安装补丁等客观因素,导致企业网络更容易被入侵,而企业数据的高价值,这便导致企业受害者倾向于支付赎金挽回数据。

2勒索赎金定制化
随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。

3勒索病毒传播场景多样化
过去勒索病毒传播主要以钓鱼邮件、RDP口令爆破为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等非常专业的黑客攻击方式传播,乃至通过软件供应链传播,大大提高了入侵成功率和病毒影响面。

4威胁公开机密数据成为勒索攻击新手段
当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁公开受害者的机密文件来勒索。下图为Maze病毒团伙在数据加密勒索企业失败后,公开放出了被攻击企业2GB私密数据。

Sodinokibi勒索团伙也在黑客论坛发声,称如果被攻击者拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。

5勒索病毒多平台扩散
目前受到的勒索病毒攻击主要是windows系统,但也陆续出现了针对MacOS、Linux等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增加。

6中文定制化
中国作为拥有10亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。


7伪勒索,数据破坏

有些勒索家族在感染目标中不断搜寻敏感信息,包括军事机密、银行信息、欺诈、刑事调查文件,行动举止完全不像为了图财。此外,有些“勒索病毒”会对文件玩了命似的多次加密,甚至对文件进行无法修复的破坏,完全断了收赎金的后路。



防御方法面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染。

1针对个人用户的安全建议
❶养成良好的安全习惯

1)使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。

2)重要的文档、数据定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。

3)使用高强度且无规律的密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码。不使用弱口令,以防止攻击者破解。

4)安装具有主动防御的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易才去放行操作。

5)及时给电脑打补丁,修复漏洞,防止攻击者通过漏洞入侵系统。

6)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被攻击的风险。

❷减少危险的上网操作

7)浏览网页时提高警惕,不浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。

8)不要点击来源不明的邮件附件,不从不明网站下载软件,警惕伪装为浏览器更新或者flash更新的病毒。

9)电脑连接移动存储设备(如U盘、移动硬盘)时,应首先使用安全软件检测其安全性。

2针对企业用户的安全建议
1)及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。

2)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

3)不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。

4)企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。

5)对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。

6)尽量关闭不必要的文件共享。

7)提高安全运维人员职业素养,定期进行木马病毒查杀。

8)安装诺亚防勒索软件,防御未知勒索病毒。



美创诺亚防勒索防护能力介绍为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。 美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下:在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加“.198-89F-E84”加密后缀,并且无法正常打开。


开启诺亚防勒索的情况下:双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。


查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下:为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。 运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。





转自杭州美创科技有限公司公众号,如需二次转载,请联系marketing@mchz.com.cn

服务热线:400-811-3777
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1