勒索病*是什么?
勒索病*,是一种新型电脑病*,主要以邮件、程序木马、网页挂马的形式进行传播。该病*性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
攻击的样本以exe、js、wsf、vbe等类型为主,勒索病*文件进入本地后,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病*会利用本地的互联网访问权限连接至勒索者的CC服务器,进而上传本机信息并下载加密私钥与公钥,文件会被以AES+RSA位的算法加密。除了病*开发者本人,其他人是几乎不可能解密的。
加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金,即必须支付勒索资金,才能拿到解密的私钥,或者选择丢失文件。勒索病*变种类型非常快,对常规的杀*软件都具有免疫性。
据公开资料显示,全球最早的勒索病*雏形诞生于年,由JosephPopp编写,该木马程序以“艾滋病信息引导盘”的形式进入系统。
中国大陆第一个勒索软件——Redplus勒索木马(Trojan/Win32.Pluder)出现在年,该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。
年勒索病*事件
年应该是勒索病*针对企业攻击爆发的一年,这一年全球各地仿佛都在被“勒索”,每天全球各地都有不同的*府、企业、组织机构被勒索病*攻击的新闻被曝光,包括医疗信息,帐户凭证,公司电子邮件和机密敏感的数据被盗。
下面我们来盘点部分年全球勒索病*事件。
3月,在挪威,全球最大铝制品生产商之一NorskHydro遭遇勒索软件LockerGoga攻击,全球整个网络都宕机,影响所有的生产系统以及办事处运营,公司被迫关闭多条自动化生产线,震荡全球铝制品交易市场。
5月,中国某网约车平台遭勒索软件定向打击,服务器核心数据惨遭加密,攻击者索要巨额比特币赎金,无奈之下向公安机关报警求助。
5月,美国佛罗里达州里维埃拉,遭到勒索软件攻击,各项市*工作停摆几周,市*紧急会议决定支付60万美元的赎金。
6月,全球最大飞机零件供应商ASCO,在比利时的工厂遭遇勒索病*攻击,生产环境系统瘫痪,大约名工人停工,在德国、加拿大和美国的工厂也被迫停工。
10月,全球最大的助听器制造商Demant,遭勒索软件入侵,直接经济损失高达万美元。
10月,全球知名航运和电子商务巨头PitneyBowes遭受勒索软件攻击,攻击者加密公司系统数据,破坏其在线服务系统,超九成财富全球强合作企业受波及。
10月,法国最大商业电视台M6Group惨遭勒索软件洗劫,公司电话、电子邮件、办公及管理工具全部中断,集体被迫“罢工”。
......
年五大勒索病*
1GandCrab勒索病*
年GandCrab首次出现,经过5次版本迭代,波及罗纳尼亚、巴西、印度等数十国家地区,全球累计超过万用户受到感染。在很多人看来,GandCrab勒索病*绝对是年最传奇的角色。
今年6月,GandCrab勒索软件团队高调宣布,仅一年半的时间里,团队已赚进超过20亿美金,人均年入账1.5亿美金,所以决定停止更新这个恶意程序,风光隐退。
2Sodinokibi勒索病*
Sodinokibi又称REvil勒索病*,与GandCrab有着明显的代码重叠,因此很多人推测,GandCrab的部分成员不愿收手,另起炉灶而运营的Sodinokibi。
Sodinokibi的部分变种会将受害者屏幕变成深蓝色,并且以2-0美金不等的赎金全球撒网,在不到半年时间,该勒索病*已非法获利数百万美元。
3GlobeImposter勒索病*
谈起的勒索病*,就必须要提到GlobeImposter。该勒索病*又称“十二生肖”病*,因为它攻入计算机内部后,会以“十二生肖英文名+”的文件后缀,对文件进行加密。而GlobeImposter自年5月首发至今,已经历八个版本迭代,并且后缀也从“十二生肖”,变身希腊“十二主神”。
GlobeImposter病*主要通过rdp远程桌面弱口令进行攻击,去年山东10市不动产系统遭到它的攻击,今年国内又有多家企业、医院等机构中招。
4Stop勒索病*
Stop勒索病*,也被称作djvu勒索病*,是年最为活跃的病*家族之一。相比于动辄百万、千万美金的勒索软件,Stop走薄利多销的敛财路线,解密赎金需要美元,并且72小时联系软件作者还可享五折优惠。
该病*主要利用木马站点,通过伪装成软件破解工具或捆绑在激活软件进行传播,用户中招率奇高。
5Phobos勒索病*
Phobos是一款非常棘手的勒索病*,它采用RDP暴力破解+人工投放双重方式传播,并且可以轻松加密受害者PC上的每个文件,把它们全部变成无法打开的.phobos。
Phobos病*可能与Dharma病*(又名CrySis)属于同一组织,并且该病*在运行过程中会进行自复制,和在注册表添加自启动项,如果没有把系统残留的病*体清理干净,很可能会遭遇二次加密。
预防勒索病*措施
1、登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度,同时添加限制登录失败次数的安全策略并定期更换登录口令。
2、多台机器不要使用相同或类似的登录口令,以免出现一台沦陷,全网瘫痪的惨状。
3、及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
4、关闭非必要的服务和端口如、、、等高危端口。
5、严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
6、提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。
7、安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。
8、业务数据一定要定期备份。对于重要、机密的文件数据甚至需要做容灾备份处理,到达异地数据实时备份与恢复标准。
通过观察勒索病*攻击趋势,它已经从广泛而浅层的普通用户,明显转向了中大型*企机构、行业组织。有安全报告表明,自年6月以来,全球针对ToB的勒索攻击增加了%。
同时,勒索病*变种极快,传播途径增多,解密赎金也在疯涨,这些特点导致杀*软件升级速度无法及时跟上病*变种速度,解密工具无法有效应对被勒索后的数据解密,对企业、*府、单位来说,一旦感染勒索病*,带来的影响不可估量。
针对各种预防勒索病*措施,不难总结出,数据备份才是应对勒索病*的最终有效手段,在发生勒索事件前定期或者实时备份重要的业务数据,在发生勒索事件后,快速恢复备份数据,拉起业务运行,无需放弃被加密数据,也无需支付勒索赎金。
云祺针对勒索病*的的应对措施
1有效监测勒索病*,源头预防事件发生
自动检查文件的合法性,当文件类型被修改或文件被加密时能够及时发现,不会同步变化数据到备份服务器,从而有效防止勒索病*再入侵。
2按需灵活备份业务数据
云祺虚拟机备份与恢复系统(VinchinBackupRecovery)提供灵活的备份模式和时间备份策略,在勒索病*来临前,按需设置备份任务,即可拥有有效备份数据。
3验证备份数据可用性,保证随时可用
能在虚拟机感染勒索病*后,将云环境中数据及应用快速恢复至可用状态,并可根据需求将备份数据快速恢复到之前的任意时间点。
4实时备份实现RPO=0
云祺容灾备份系统(VINCHINDR)支持实时备份,实时监控每一次IO变化,并通过增量方式记录变化数据,无备份时间窗口,真正实现数据零丢失,备份恢复至被勒索病*感染的前一刻,最小备份恢复力度可达毫秒级。
5构建异地容灾备份系统,本地异地双重保护
云祺数据解决方案可帮助用户建设异地容灾系统,异地备份系统与生产环境相互隔离,副本任务独立,且不会对主备份产成影响。即使本地业务系统因勒索病*导致业务暂时中断,也可在异地拉起业务,实现业务接管。
在网络安全威胁事件递增、扩散、高发的现当下,不论选择怎样的方式进行预防、解决,提高网络完全意识是第一步。没有绝对安全的互联网环境,但可以选择尽量避免意外的发生、减少意外带来的损失,相对的安全也变得越发可贵。