勒索病毒是什么?
勒索病毒,是一种新型电脑病毒,主要以邮件、程序***、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
***的样本以exe、js、wsf、vbe等类型为主,勒索病毒文件进入本地后,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒会利用本地的互联网访问权限连接至勒索者的C&C服务器,进而上传本机信息并下载加密私钥与公钥,文件会被以AES+RSA4096位的算法加密。除了病毒开发者本人,其他人是几乎不可能解密的。
加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金,即必须支付勒索资金,才能拿到解密的私钥,或者选择丢失文件。勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性。
据公开资料显示,全球最早的勒索病毒雏形诞生于1989年,由Joseph Popp编写,该***程序以“艾滋病信息引导盘”的形式进入系统。
中国大陆第一个勒索软件——Redplus勒索***(Trojan/Win32.Pluder)出现在2006年,该***会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。
2019年勒索病毒事件
2019年应该是勒索病毒针对企业***爆发的一年,这一年全球各地仿佛都在被“勒索”,每天全球各地都有不同的政府、企业、组织机构被勒索病毒***的新闻被曝光,包括医疗信息,帐户凭证,公司电子邮件和机密敏感的数据被盗。
下面我们来盘点部分2019年全球勒索病毒事件。
3月,在挪威,全球最大铝制品生产商之一 Norsk Hydro遭遇勒索软件LockerGoga***,全球整个网络都宕机,影响所有的生产系统以及办事处运营,公司被迫关闭多条自动化生产线,震荡全球铝制品交易市场。
5月,中国某网约车平台遭勒索软件定向打击,服务器核心数据惨遭加密,***者索要巨额比特币赎金,无奈之下向公安机关报警求助。
5月,美国佛罗里达州里维埃拉,遭到勒索软件***,各项市政工作停摆几周,市政紧急会议决定支付60万美元的赎金。
6月,全球最大飞机零件供应商ASCO,在比利时的工厂遭遇勒索病毒***,生产环境系统瘫痪,大约1000名工人停工,在德国、加拿大和美国的工厂也被迫停工。
10月,全球最大的助听器制造商Demant,遭勒索软件***,直接经济损失高达9500万美元。
10月,全球知名航运和电子商务巨头Pitney Bowes遭受勒索软件***,***者加密公司系统数据,破坏其在线服务系统,超九成财富全球500强合作企业受波及。
10月,法国最大商业电视台M6 Group惨遭勒索软件洗劫,公司电话、电子邮件、办公及管理工具全部中断,集体被迫“罢工”。
......
2019年五大勒索病毒
1 GandCrab勒索病毒
2018年GandCrab首次出现,经过5次版本迭代,波及罗纳尼亚、巴西、印度等数十国家地区,全球累计超过150万用户受到感染。在很多人看来,GandCrab勒索病毒绝对是2019年最传奇的角色。
今年6月,GandCrab勒索软件团队高调宣布,仅一年半的时间里,团队已赚进超过20亿美金,人均年入账1.5亿美金,所以决定停止更新这个恶意程序,风光隐退。
2 Sodinokibi勒索病毒
Sodinokibi又称REvil勒索病毒,与GandCrab有着明显的代码重叠,因此很多人推测,GandCrab的部分成员不愿收手,另起炉灶而运营的Sodinokibi。
Sodinokibi的部分变种会将受害者屏幕变成深蓝色,并且以2500-5000美金不等的赎金全球撒网,在不到半年时间,该勒索病毒已非法获利数百万美元。
3 GlobeImposter勒索病毒
谈起2019的勒索病毒,就必须要提到GlobeImposter。该勒索病毒又称“十二生肖”病毒,因为它攻入计算机内部后,会以“十二生肖英文名+4444”的文件后缀,对文件进行加密。而GlobeImposter自2017年5月首发至今,已经历八个版本迭代,并且后缀也从“十二生肖”,变身希腊“十二主神”。
GlobeImposter病毒主要通过rdp远程桌面弱口令进行***,去年山东10市不动产系统遭到它的***,今年国内又有多家企业、医院等机构中招。
4 Stop勒索病毒
Stop勒索病毒,也被称作djvu勒索病毒,是2019年最为活跃的病毒家族之一。相比于动辄百万、千万美金的勒索软件,Stop走薄利多销的敛财路线,解密赎金需要980美元,并且72小时联系软件作者还可享五折优惠。
该病毒主要利用***站点,通过伪装成软件破解工具或捆绑在激活软件进行传播,用户中招率奇高。
5 Phobos勒索病毒
Phobos是一款非常棘手的勒索病毒,它采用RDP暴力破解+人工投放双重方式传播,并且可以轻松加密受害者PC上的每个文件,把它们全部变成无法打开的.phobos。
Phobos病毒可能与Dharma病毒(又名CrySis)属于同一组织,并且该病毒在运行过程中会进行自复制,和在注册表添加自启动项,如果没有把系统残留的病毒体清理干净,很可能会遭遇二次加密。
预防勒索病毒措施
1、登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度,同时添加限制登录失败次数的安全策略并定期更换登录口令。
2、多台机器不要使用相同或类似的登录口令,以免出现"一台沦陷,全网瘫痪"的惨状。
3、及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
4、关闭非必要的服务和端口如135、139、445、3389等高危端口。
5、严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
6、提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。
7、安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。
8、业务数据一定要定期备份。对于重要、机密的文件数据甚至需要做容灾备份处理,到达异地数据实时备份与恢复标准。
通过观察勒索病毒***趋势,它已经从广泛而浅层的普通用户,明显转向了中大型政企机构、行业组织。有安全报告表明,自2018年6月以来,全球针对To B的勒索***增加了363%。
同时,勒索病毒变种极快,传播途径增多,解密赎金也在疯涨,这些特点导致杀毒软件升级速度无法及时跟上病毒变种速度,解密工具无法有效应对被勒索后的数据解密,对企业、政府、单位来说,一旦感染勒索病毒,带来的影响不可估量。
针对各种预防勒索病毒措施,不难总结出,数据备份才是应对勒索病毒的最终有效手段,在发生勒索事件前定期或者实时备份重要的业务数据,在发生勒索事件后,快速恢复备份数据,拉起业务运行,无需放弃被加密数据,也无需支付勒索赎金。
云祺针对勒索病毒的的应对措施
1 有效监测勒索病毒,源头预防事件发生
自动检查文件的合法性,当文件类型被修改或文件被加密时能够及时发现,不会同步变化数据到备份服务器,从而有效防止勒索病毒再***。
2 按需灵活备份业务数据
云祺虚拟机备份与恢复系统(Vinchin Backup & Recovery)提供灵活的备份模式和时间备份策略,在勒索病毒来临前,按需设置备份任务,即可拥有有效备份数据。
3 验证备份数据可用性,保证随时可用
能在虚拟机感染勒索病毒后,将云环境中数据及应用快速恢复至可用状态,并可根据需求将备份数据快速恢复到之前的任意时间点。
4 实时备份实现RPO=0
云祺容灾备份系统(VINCHIN DR)支持实时备份,实时监控每一次 IO 变化,并通过增量方式记录变化数据,无备份时间窗口,真正实现数据零丢失,备份恢复至被勒索病毒感染的前一刻,最小备份恢复力度可达毫秒级。
5 构建异地容灾备份系统,本地异地双重保护
云祺数据解决方案可帮助用户建设异地容灾系统,异地备份系统与生产环境相互隔离,副本任务独立,且不会对主备份产成影响。即使本地业务系统因勒索病毒导致业务暂时中断,也可在异地拉起业务,实现业务接管。
在网络安全威胁事件递增、扩散、高发的现当下,不论选择怎样的方式进行预防、解决,提高网络完全意识是第一步。没有绝对安全的互联网环境,但可以选择尽量避免意外的发生、减少意外带来的损失,相对的安全也变得越发可贵。
关于更多预防勒索病毒的数据解决方案可拔打云祺客服热线400-9955-698,或者官网(www.vinchin.com)了解详情。
来源:51CTO
作者:vinchin
链接:https://blog.51cto.com/10989517/2474743