勒索病毒究竟是什么？我們要怎么預(yù)防？中了勒索病毒還有的救嗎？

勒索病毒究竟是什么？我們要怎么預(yù)防？中了勒索病毒還有的救嗎？

　　一、概述
　　勒索病毒并不是什么新鮮事物，已經(jīng)零零散散存在了很多年，一直被當(dāng)作偶發(fā)性破壞性強的破壞性程序記錄在案，直到WannaCry勒索蠕蟲病毒爆發(fā)，給所有人上了一課：喪心病狂的破壞者可以把勒索病毒與蠕蟲病毒有機結(jié)合起來，制造大面積的災(zāi)難性后果。之后，安全軟件與勒索病毒的技術(shù)對抗即不斷升級，勒索病毒的攻擊也日益呈現(xiàn)出技術(shù)手段更成熟，攻擊目標更精準，產(chǎn)業(yè)分工更具體的特性。
　　回顧2018年勒索病毒的感染數(shù)據(jù)，會注意到整體上升趨勢較為明顯。

　　勒索病毒感染地域分布和行業(yè)分布

　　觀察2018年勒索病毒攻擊地域分布可知，勒索病毒在全國各地均有分布，其中廣東，浙江，山東，河南等地最為嚴重。勒索病毒攻擊行業(yè)中以傳統(tǒng)行業(yè)，教育，互聯(lián)網(wǎng)行業(yè)最為嚴重，醫(yī)療，政府機構(gòu)緊隨其后。分析可知，勒索病毒影響到事關(guān)國計民生的各個行業(yè)，一旦社會長期依賴的基礎(chǔ)涉及遭受攻擊，將帶來難以估計，且不可逆轉(zhuǎn)的損失。
　　二、勒索類型
　　1.使用正規(guī)加密工具：
　　該勒索方式不同于傳統(tǒng)的勒索病毒攻擊流程，黑客通過入侵服務(wù)器成功后，使用正規(guī)的磁盤加密保護軟件對受害者機器數(shù)據(jù)進行攻擊。例如BestCrypt Volume Encryption軟件，BestCrypt Volume Encryption是一款專業(yè)加密軟件廠商開發(fā)的磁盤保護軟件，能將整個分區(qū)加密，加密后除非有加密時候設(shè)置的口令，否則難以通過第三方去恢復(fù)解密。黑客通過利用專業(yè)加密軟件對服務(wù)器上的磁盤進行加密，并要求繳納大量贖金方式進一步提供文件解密恢復(fù)服務(wù)。
　　2.病毒加密：
　　該類勒索為最常見的病毒類型攻擊手法，主要分為兩類，一是劫持操作系統(tǒng)引導(dǎo)區(qū)禁止用戶正常登錄系統(tǒng)，二是使用高強度的加密算法加密用戶磁盤上的所有數(shù)據(jù)文件，兩種方式可能存在相互引用。病毒由于使用高強度的對稱或非對稱加密算法對數(shù)據(jù)進行了加密，當(dāng)無法拿到文件解密密鑰的情況下，解密恢復(fù)文件的可能性極低。這也是勒索病毒攻擊者能一次次得手的技術(shù)前提。
　　3.虛假勒索詐騙郵件：
　　此勒索類嚴格意義上來講不屬于病毒，但由于該類型勒索巧妙利用了人性的弱點：通過電子郵件威脅、恐嚇，欺騙受害人向某個加密錢包轉(zhuǎn)帳，這一作法在2018相當(dāng)流行。安全局在2018年陸續(xù)接收到多起該類型勒索用戶反饋。勒索者通過大量群發(fā)詐騙郵件，當(dāng)命中收件人隱私信息后，利用收件人的恐慌心里，進而成功實施欺詐勒索。勒索過程中，受害者由于擔(dān)心自己隱私信息遭受進一步的泄漏，極容易陷入勒索者的圈套，從而受騙繳納贖金。
　　三、勒索病毒產(chǎn)業(yè)鏈
　　勒索病毒在經(jīng)過爆發(fā)式的增長后，產(chǎn)業(yè)鏈條化較為明顯，各角色分工明確，完整的一次勒索攻擊流程可能涉及勒索病毒作者，勒索實施者，傳播渠道商，代理，受害者5個角色，各角色具體分工如下：
　　勒索病毒作者：負責(zé)勒索病毒編寫制作，與安全軟件免殺對抗。通過在“暗網(wǎng)”或其它地下平臺販賣病毒代碼，接受病毒定制，或出售病毒生成器的方式，與勒索者進行合作拿取分成。
　　勒索實施者：從病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序，通過自定義病毒勒索信息后得到自己的專屬病毒，與勒索病毒作者進行收入分成。
　　傳播渠道商：幫助勒索者傳播勒索病毒，最為熟悉的則是僵尸網(wǎng)絡(luò)，例Necurs、Gamut，全球有97%的釣魚郵件由該兩個僵尸網(wǎng)絡(luò)發(fā)送。
　　代理：向受害者假稱自己能夠解密各勒索病毒加密的文件，并且是勒索者提出贖金的50%甚至更低，但實際上與勒索者進行合作，從中賺取差價。代理常通過搜索關(guān)鍵字廣告推廣。
　　受害者：通過勒索病毒各種傳播渠道不幸中招的受害者，如有重要文件被加密，則向代理或勒索者聯(lián)系繳納贖金解密文件。
　　眾所周知，除非勒索病毒存在邏輯漏洞，或者取得解密密鑰，以當(dāng)前的計算機算力去解密幾乎不可能，而通過搜索引擎可發(fā)現(xiàn)大量號稱可解密多種主流勒索病毒的公司，該類部分解密公司，實際上是勒索者在國內(nèi)的代理，利用國內(nèi)用戶不方便買數(shù)字貨幣以及相對更加便宜的價格，吸引受害者聯(lián)系解密，在整個過程中賺取差價。根據(jù)某解密公司官網(wǎng)上公開的記錄，一家解密公司靠做勒索中間代理一個月收入可達300W人民幣。
　　四、勒索病毒2018典型攻擊事件

　　觀察分析2018年典型勒索攻擊事件不難發(fā)現(xiàn)，勒索病毒團伙為了提高收益，已將攻擊目標從最初的大面積撒網(wǎng)無差別攻擊，轉(zhuǎn)向精準攻擊高價值目標。比如直接攻擊醫(yī)療行業(yè)，企事業(yè)單位、政府機關(guān)服務(wù)器，包括制造業(yè)在內(nèi)的傳統(tǒng)企業(yè)面臨著日益嚴峻的安全形勢。
　　盡管WannaCry大范圍攻擊已過去一年多，但依然引起多次大型攻擊事件。安全局監(jiān)測發(fā)現(xiàn)，直到現(xiàn)在依然有部分企業(yè)、機構(gòu)存在電腦未修復(fù)該高危漏洞。一年前爆發(fā)流行的WannaCry勒索病毒仍然在某些企業(yè)、機關(guān)、事業(yè)單位內(nèi)網(wǎng)出現(xiàn)。以醫(yī)療行業(yè)安全性相對較高的三甲醫(yī)院為例，42%三甲醫(yī)院內(nèi)依然有PC電腦存在永恒之藍漏洞未修復(fù)。平均每天有7家三甲醫(yī)院被檢出WannaCry勒索病毒(所幸多為加密功能失效的病毒版本)
　　制造業(yè)正迎來「工業(yè)4.0」的重大歷史契機，面對需要將無處不在的傳感器、嵌入式系統(tǒng)、智能控制系統(tǒng)和產(chǎn)品數(shù)據(jù)、設(shè)備數(shù)據(jù)、研發(fā)數(shù)據(jù)、運營管理數(shù)據(jù)緊密互聯(lián)成一個智能網(wǎng)絡(luò)的新模式，一個全新的安全需求正在產(chǎn)生。
　　騰訊高級副總裁丁珂曾經(jīng)指出：數(shù)字經(jīng)濟時代信息安全已不只是一種基礎(chǔ)能力，還是產(chǎn)業(yè)發(fā)展升級的驅(qū)動力之一;安全是所有0前面的1，沒有了1，所有0都失去了意義。
　　五、勒索病毒家族活躍TOP榜

　　伴隨著數(shù)字貨幣過去兩年的高速發(fā)展，在巨大的利益誘惑，以GandCrab，GlobeImposter，Crysis等為代表的勒索家族依然高度活躍，以上為2018年最具代表性的10個勒索病毒家族，下面通過簡單介紹讓大家了解當(dāng)前流行的勒索病毒。
　　1. GandCrab：
　　GandCrab最早出現(xiàn)于2018年1月，是首個使用達世幣(DASH)作為贖金的勒索病毒，也是2018年也是最為活躍的病毒之一。GandCrab傳播方式多種多樣，主要有弱口令爆破，惡意郵件，網(wǎng)頁掛馬傳播，移動存儲設(shè)備傳播，軟件供應(yīng)鏈感染傳播。該病毒更新速度極快，在1年時間內(nèi)經(jīng)歷了5個大版本，數(shù)各小版本更新，目前最新版本為5.1.6(截止2018年底)，國內(nèi)最為最活躍版本為5.0.4。
　　2. GlobeImposter：
　　GlobeImposter出現(xiàn)于2017年12月，該病毒發(fā)展到今天已有4個大版本，該病毒加密文件完成后添加擴展后綴較多，主要有以下類型，目前最活躍版本病毒加密文件完成后會添加.*4444的擴展后綴
　　(GOTHAM .YAYA .CHAK .GRANNY .SKUNK .SEXY .MAKGR .TRUE .BIG1 .LIN .BIIT .BUNNY .FREEMAN .reserve .DREAM .CHIEF.WALKER .Ox4444 .booty .YOYO .BIG3 .xx .BIG2 .sexy2 .sexy1 .China4444 .Help4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444)
　　3. Crysis：
　　Crysis勒索病毒加密文件完成后通常會添加“ID+郵箱+指定后綴”格式的擴展后綴，例：“id-編號.[gracey1c6rwhite@aol.com].bip，id-編號.[stopencrypt@qq.com].bip”。
　　該病毒通常使用弱口令爆破的方式入侵企業(yè)服務(wù)器，安全意識薄弱的企業(yè)由于多臺機器使用同一弱密碼，面對該病毒極容易引起企業(yè)內(nèi)服務(wù)器的大面積感染，進而造成業(yè)務(wù)系統(tǒng)癱瘓。
　　4. WannaCry：
　　WannaCry于2017年5月12日在全球范圍大爆發(fā)，引爆了互聯(lián)網(wǎng)行業(yè)的“生化危機”。借助“永恒之藍”高危漏洞傳播的WannaCry在短時間內(nèi)影響近150個國家，致使多個國家政府、教育、醫(yī)院、能源、通信、交通、制造等諸多關(guān)鍵信息基礎(chǔ)設(shè)施遭受前所未有的破壞，勒索病毒也由此事件受到空前的關(guān)注，由于當(dāng)前網(wǎng)絡(luò)中仍有部分機器未修復(fù)漏洞，所以該病毒仍然有較強活力(大部分加密功能失效)。
　　5. Satan:
　　撒旦(Satan)勒索病毒在2017年初被外媒曝光，被曝光后，撒旦(Satan)勒索病毒并沒有停止攻擊的腳步，反而不斷進行升級優(yōu)化，跟安全軟件做持久性的對抗。該病毒利用JBoss、Tomcat、Weblogic，Apache Struts2等多個組件漏洞以及永恒之藍漏洞進行攻擊感染傳播。
　　6. Hermes:
　　Hermes勒索病毒首次活躍于2017年11月，加密文件完成后會在文件名后添加.HRM擴展后綴。該家族擅長使用釣魚郵件，RDP(遠程桌面管理)爆破攻擊，軟件供應(yīng)鏈劫持等方式進行傳播，使用RSA+AES的加密方式，在沒有拿到病毒作者手中私鑰情況下，文件無法解密。
　　7. Stop：
　　該家族病毒不僅加密文件，還會靜默安裝修改后的TeamViwer進而導(dǎo)致中毒電腦被攻擊者遠程控制，同時修改Host文件，阻止受害者訪問安全廠商的網(wǎng)站，禁用Windows Defender開機啟動，實時監(jiān)測功能，令電腦失去保護。為防止加密文件造成的CPU占用卡頓，還會釋放專門的模塊偽裝Windows補丁更新狀態(tài)。
　　8. Rapid:
　　Rapid勒索病毒在2017開始有過活躍，該病毒主要通過弱口令爆破，惡意郵件、網(wǎng)站掛馬等方式進行傳播，目前國內(nèi)活躍版本加密完成后會添加no_more_ransom的擴展后綴。病毒加密文件后無法解密。
　　9. FilesLocker:
　　FilesLocker勒索病毒在2018年10月出現(xiàn)，并在網(wǎng)上大量招募傳播代理。目前已升級到2.0版本，加密文件后會添加[fileslocker@pm.me]的擴展后綴。該病毒由于加密完成后使用彈窗告知受害者勒索信息，所以病毒進程未退出情況下有極大概率可通過內(nèi)存查找到文件加密密鑰進而解密。
　　10. Py-Locker:
　　該勒索病毒家族使用Python語言編寫，令人驚訝的是捕獲到的個別樣本攜帶了正規(guī)的數(shù)字簽名，簽名人名稱為LA CREM LTD，具有正規(guī)數(shù)字簽名的文件極易被安全軟件放行。根據(jù)勒索信息，受害者若想解密受損文件，必須使用tor瀏覽器訪問境外網(wǎng)站(暗網(wǎng))購買解密工具。
　　六、勒索病毒未來趨勢
　　1、勒索病毒與安全軟件的對抗加劇
　　隨著安全軟件對勒索病毒的解決方案成熟完善，勒索病毒更加難以成功入侵用戶電腦，病毒傳播者會不斷升級對抗技術(shù)方案。
　　2、勒索病毒傳播場景多樣化
　　過去勒索病毒傳播主要以釣魚郵件為主，現(xiàn)在勒索病毒更多利用了高危漏洞(如永恒之藍)、魚叉郵件攻擊，或水坑攻擊等方式傳播，大大提高了入侵成功率。
　　3、勒索病毒攻擊目標轉(zhuǎn)向企業(yè)用戶
　　個人電腦大多能夠使用安全軟件完成漏洞修補，在遭遇勒索病毒攻擊時，個人用戶往往會放棄數(shù)據(jù)，恢復(fù)系統(tǒng)。而企業(yè)用戶在沒有及時備份的情況下，會傾向于支付贖金，挽回數(shù)據(jù)。因此，已發(fā)現(xiàn)越來越多攻擊目標是政府機關(guān)、企業(yè)、醫(yī)院、學(xué)校。
　　4、勒索病毒更新迭代加快
　　以GandCrab為例，當(dāng)?shù)谝淮暮笈_被安全公司入侵之后，隨后在一周內(nèi)便發(fā)布了GandCrab2，該病毒在短短一年時間內(nèi)，已經(jīng)升級了5個大版本，無數(shù)個小版本。
　　5、勒索贖金提高
　　隨著用戶安全意識提高、安全軟件防御能力提升，勒索病毒入侵成本越來越高，贖金也有可能隨之提高。上半年某例公司被勒索病毒入侵后，竟被勒索9.5個比特幣。如今勒索病毒的攻擊目標也更加明確，或許接下來在贖金上勒索者會趁火打劫，提高勒索贖金。
　　6、勒索病毒加密對象升級
　　傳統(tǒng)的勒索病毒加密目標基本以文件文檔為主，現(xiàn)在越來越多的勒索病毒會嘗試加密數(shù)據(jù)庫文件，加密磁盤備份文件，甚至加密磁盤引導(dǎo)區(qū)。一旦加密后用戶將無法訪問系統(tǒng)，相對加密而言危害更大，也有可能迫使用戶支付贖金。
　　7、勒索病毒開發(fā)門檻降低
　　觀察近期勒索病毒開發(fā)語言類型可知，越來越多基于腳本語言開發(fā)出的勒索病毒開始涌現(xiàn)，甚至開始出現(xiàn)使用中文編程“易語言”開發(fā)的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒，易語言供應(yīng)鏈傳播鬧的沸沸揚揚的“unname1889”勒索病毒，門檻低意味著將有更多的黑產(chǎn)人群進入勒索產(chǎn)業(yè)這個領(lǐng)域，也意味著該病毒將持續(xù)發(fā)展泛濫。
　　8、勒索病毒產(chǎn)業(yè)化
　　隨著勒索病毒的不斷涌現(xiàn)，安全局情報中心甚至觀察到一類特殊的產(chǎn)業(yè)誕生：勒索代理業(yè)務(wù)。當(dāng)企業(yè)遭遇勒索病毒攻擊，關(guān)鍵業(yè)務(wù)數(shù)據(jù)被加密，而理論上根本無法解密時，而勒索代理機構(gòu)，承接了受害者和攻擊者之間談判交易恢復(fù)數(shù)據(jù)的業(yè)務(wù)。
　　9、勒索病毒感染趨勢上升
　　隨著虛擬貨幣的迅速發(fā)展，各類型病毒木馬盈利模式一致，各類型病毒均有可能隨時附加勒索屬性。蠕蟲，感染，僵尸網(wǎng)絡(luò)，挖礦木馬，在充分榨干感染目標剩余價值后，都極有可能下發(fā)勒索功能進行最后一步敲詐，這一點觀察GandCrab勒索病毒發(fā)展趨勢已有明顯的體現(xiàn)，預(yù)測未來勒索病毒攻擊將持續(xù)上升。
　　七、勒索病毒預(yù)防措施
　　1. 定期進行安全培訓(xùn)，日常安全管理可參考“三不三要”思路
　　1) 不上鉤：標題吸引人的未知郵件不要點開
　　2) 不打開：不隨便打開電子郵件附件
　　3) 不點擊：不隨意點擊電子郵件中附帶網(wǎng)址
　　4) 要備份：重要資料要備份
　　5) 要確認：開啟電子郵件前確認發(fā)件人可信
　　6) 要更新：系統(tǒng)補丁/安全軟件病毒庫保持實時更新
　　2. 全網(wǎng)安裝專業(yè)的終端安全管理軟件，由管理員批量殺毒和安裝補丁，后續(xù)定期更新各類系統(tǒng)高危補丁。
　　3. 部署流量監(jiān)測/阻斷類設(shè)備/軟件，便于事前發(fā)現(xiàn),事中阻斷和事后回溯。
　　4. 建議由于其他原因不能及時安裝補丁的系統(tǒng)，考慮在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴格的訪問控制策略，以保證網(wǎng)絡(luò)的動態(tài)安全。
　　5. 建議對于存在弱口令的系統(tǒng)，需在加強使用者安全意識的前提下，督促其修改密碼，或者使用策略來強制限制密碼長度和復(fù)雜性。
　　6. 建議對于存在弱口令或是空口令的服務(wù)，在一些關(guān)鍵服務(wù)上，應(yīng)加強口令強度，同時需使用加密傳輸方式，對于一些可關(guān)閉的服務(wù)來說，建議關(guān)閉不要的服務(wù)端口以達到安全目的。不使用相同口令管理多臺關(guān)鍵服務(wù)器。
　　7. 建議網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員關(guān)注安全信息、安全動態(tài)及最新的嚴重漏洞，攻與防的循環(huán)，伴隨每個主流操作系統(tǒng)、應(yīng)用服務(wù)的生命周期。
　　8. 建議對數(shù)據(jù)庫賬戶密碼策略建議進行配置，對最大錯誤登錄次數(shù)、超過有效次數(shù)進行鎖定、密碼有效期、到期后的寬限時間、密碼重用等策略進行加固設(shè)置。
　　9. 建議對數(shù)據(jù)庫的管理訪問節(jié)點地址進行嚴格限制，只允許特定管理主機IP進行遠程登錄數(shù)據(jù)庫。
　　做好安全災(zāi)備方案，可按數(shù)據(jù)備份三二一原則來指導(dǎo)實施
　　1. 至少準備三份：重要數(shù)據(jù)保證至少有兩個備份。
　　2. 兩種不同形式：將數(shù)據(jù)備份在兩種不同的存儲類型，如服務(wù)器/移動硬盤/云端/光盤等。
　　3. 一份異地備份：至少一份備份存儲在異地，當(dāng)發(fā)生意外時保證有一份備份數(shù)據(jù)安全。
病毒知識相關(guān)文章：

1.電腦病毒知識

2.計算機病毒知識

3.電腦病毒防范常識

4.有關(guān)電腦病毒和進程的七點知識

5.殺死電腦病毒

6.世界上最神秘的病毒有哪些