2019年勒索病毒事件大盤點

2021-02-13 雲祺

勒索病毒,是一種新型電腦病毒,主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。

攻擊的樣本以exe、js、wsf、vbe等類型為主,勒索病毒文件進入本地後,就會自動運行,同時刪除勒索軟體樣本,以躲避查殺和分析。接下來,勒索病毒會利用本地的網際網路訪問權限連接至黑客的C&C伺服器,進而上傳本機信息並下載加密私鑰與公鑰,文件會被以AES+RSA4096位的算法加密。除了病毒開發者本人,其他人是幾乎不可能解密的。

 

加密完成後,還會修改壁紙,在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金,即必須支付勒索資金,才能拿到解密的私鑰,或者選擇丟失文件。勒索病毒變種類型非常快,對常規的殺毒軟體都具有免疫性。

 

據公開資料顯示,全球最早的勒索病毒雛形誕生於1989年,由Joseph Popp編寫,該木馬程序以「愛滋病信息引導盤」的形式進入系統。

 

中國大陸第一個勒索軟體——Redplus勒索木馬(Trojan/Win32.Pluder)出現在2006年,該木馬會隱藏用戶文檔和包裹文件,然後彈出窗口要求用戶將贖金匯入指定銀行帳號。

 

2019年應該是勒索病毒針對企業攻擊爆發的一年,這一年全球各地仿佛都在被「勒索」,每天全球各地都有不同的政府、企業、組織機構被勒索病毒攻擊的新聞被曝光,包括醫療信息,帳戶憑證,公司電子郵件和機密敏感的數據被盜。

 

下面我們來盤點部分2019年全球勒索病毒事件。

 

2018年GandCrab首次出現,經過5次版本迭代,波及羅納尼亞、巴西、印度等數十國家地區,全球累計超過150萬用戶受到感染。在很多人看來,GandCrab勒索病毒絕對是2019年最傳奇的角色。

今年6月,GandCrab勒索軟體團隊高調宣布,僅一年半的時間裡,團隊已賺進超過20億美金,人均年入帳1.5億美金,所以決定停止更新這個惡意程序,風光隱退。

 

Sodinokibi又稱REvil勒索病毒,與GandCrab有著明顯的代碼重疊,因此很多人推測,GandCrab的部分成員不願收手,另起爐灶而運營的Sodinokibi。

Sodinokibi的部分變種會將受害者屏幕變成深藍色,並且以2500-5000美金不等的贖金全球撒網,在不到半年時間,該勒索病毒已非法獲利數百萬美元。

談起2019的勒索病毒,就必須要提到GlobeImposter。該勒索病毒又稱「十二生肖」病毒,因為它攻入計算機內部後,會以「十二生肖英文名+4444」的文件後綴,對文件進行加密。而GlobeImposter自2017年5月首發至今,已經歷八個版本迭代,並且後綴也從「十二生肖」,變身希臘「十二主神」。

GlobeImposter病毒主要通過rdp遠程桌面弱口令進行攻擊,去年山東10市不動產系統遭到它的攻擊,今年國內又有多家企業、醫院等機構中招。

Stop勒索病毒,也被稱作djvu勒索病毒,是2019年最為活躍的病毒家族之一。相比於動輒百萬、千萬美金的勒索軟體,Stop走薄利多銷的斂財路線,解密贖金需要980美元,並且72小時聯繫軟體作者還可享五折優惠。

該病毒主要利用木馬站點,通過偽裝成軟體破解工具或捆綁在激活軟體進行傳播,用戶中招率奇高。

Phobos是一款非常棘手的勒索病毒,它採用RDP暴力破解+人工投放雙重方式傳播,並且可以輕鬆加密受害者PC上的每個文件,把它們全部變成無法打開的.phobos。

Phobos病毒可能與Dharma病毒(又名CrySis)屬於同一組織,並且該病毒在運行過程中會進行自複製,和在註冊表添加自啟動項,如果沒有把系統殘留的病毒體清理乾淨,很可能會遭遇二次加密。

 

勒索病毒已經成為了網絡安全最大的威脅,利用勒索病毒進行攻擊的網絡犯罪活動也是全球危害最大的網絡犯罪組織活動,勒索病毒成為了地下黑客論壇最流行、討論最熱門的惡意軟體。

 

❶  登錄口令儘量採用大小寫字母、數字、特殊符號混用的組合方式,並且保持口令足夠的長度,同時添加限制登錄失敗次數的安全策略並定期更換登錄口令。

❷ 多臺機器不要使用相同或類似的登錄口令,以免出現"一臺淪陷,全網癱瘓"的慘狀。

❸ 及時修補系統漏洞,同時不要忽略各種常用服務的安全補丁。

❹ 關閉非必要的服務和埠如135、139、445、3389等高危埠。

❺ 嚴格控制共享文件夾權限,在需要共享數據的部分,儘可能的多採取雲協作的方式。

❻ 提高安全意識,不隨意點擊陌生連結、來源不明的郵件附件、陌生人通過即時通訊軟體發送的文件,在點擊或運行前進行安全掃描,儘量從安全可信的渠道下載和安裝軟體。

❼ 安裝專業的安全防護軟體並確保安全監控正常開啟並運行,及時對安全軟體進行更新。

❽ 業務數據一定要定期備份。對於重要、機密的文件數據甚至需要做容災備份處理,到達異地數據實時備份與恢復標準。

 

通過觀察勒索病毒攻擊趨勢,它已經從廣泛而淺層的普通用戶,明顯轉向了中大型政企機構、行業組織。有安全報告表明,自2018年6月以來,全球針對To B的勒索攻擊增加了363%。

 

同時,勒索病毒變種極快,傳播途徑增多,解密贖金也在瘋漲,這些特點導致殺毒軟體升級速度無法及時跟上病毒變種速度,解密工具無法有效應對被勒索後的數據解密,對企業、政府、單位來說,一旦感染勒索病毒,帶來的影響不可估量。

 

針對各種預防勒索病毒措施,不難總結出,數據備份才是應對勒索病毒的最終有效手段,在發生勒索事件前定期或者實時備份重要的業務數據,在發生勒索事件後,快速恢復備份數據,拉起業務運行,無需放棄被加密數據,也無需支付勒索贖金。

 

自動檢查文件的合法性,當文件類型被修改或文件被加密時能夠及時發現,不會同步變化數據到備份伺服器,從而有效防止勒索病毒再入侵。

雲祺虛擬機備份與恢復系統(Vinchin Backup & Recovery)提供靈活的備份模式和時間備份策略,在勒索病毒來臨前,按需設置備份任務,即可擁有有效備份數據。

 

能在虛擬機感染勒索病毒後,將雲環境中數據及應用快速恢復至可用狀態,並可根據需求將備份數據快速恢復到之前的任意時間點。

雲祺容災備份系統(VINCHIN DR)支持實時備份,實時監控每一次 IO 變化,並通過增量方式記錄變化數據,無備份時間窗口,真正實現數據零丟失,備份恢復至被勒索病毒感染的前一刻,最小備份恢復力度可達毫秒級。

雲祺數據解決方案可幫助用戶建設異地容災系統,異地備份系統與生產環境相互隔離,副本任務獨立,且不會對主備份產成影響。即使本地業務系統因勒索病毒導致業務暫時中斷,也可在異地拉起業務,實現業務接管。

 

在網絡安全威脅事件遞增、擴散、高發的現當下,不論選擇怎樣的方式進行預防、解決,提高網絡完全意識是第一步。沒有絕對安全的網際網路環境,但可以選擇儘量避免意外的發生、減少意外帶來的損失,相對的安全也變得越發可貴。

 

(以上內容綜合自網絡,相關權益歸原作者所有,如有侵權,請聯繫工作人員)

 

關於雲祺

成都雲祺科技有限公司是全球專業的雲計算容災備份解決方案提供商。多年深耕於容災備份領域,為企業級用戶提供雲計算環境下的數據備份、恢復、遷移、災難恢復演練等產品與解決方案。

Vinchin Backup & Recovery 支持對市面上主流的虛擬化平臺提供數據保護,包括VMware vSphere、Microsoft Hyper-V、Citrix XenServer、Redhat RHV、Ovirt、H3C CAS、Openstack、華為 FusionSphere、中科睿光 SVM、深信服 HCI、雲宏CNware、浪潮 InCloud Sphere、中標麒麟高級伺服器虛擬化、噢易伺服器虛擬化等。

點擊「閱讀原文」申請免費試用

相關焦點

  • 盤點:2019年勒索病毒災難事件
    網絡攻擊千千萬,勒索病毒佔一半。今天我們就來盤一盤,2019年那些令人窒息的勒索病毒攻擊。
  • 盤點丨2019年勒索病毒災難事件
    網絡攻擊千千萬,勒索病毒佔一半。今天我們就來盤一盤,2019年那些令人窒息的勒索病毒攻擊。;10月16日,法國最大商業電視臺M6 Group慘遭勒索軟體洗劫,公司電話、電子郵件、辦公及管理工具全部中斷,集體被迫「罷.工」;要命的是,距離2019年結束還有兩個多月,但勒索病毒的攻勢可能還未觸頂。
  • 2020年勒索病毒事件盤點及未來發展趨勢
    2020年,註定是要被歷史銘記的一年,除了肆虐全球的新冠病毒,網絡「疫情」也沒有消停,各種新型勒索病毒不斷湧現,黑客組織陸續壯大,
  • 2019上半年勒索病毒專題報告
    二、上半年勒索病毒攻擊的一些數據觀察2019年勒索病毒感染的地域分布,勒索病毒在全國各地均有不同程度傳播,以廣東,山東,河南,四川,江蘇等地受害最為嚴重。四、國內活躍的勒索病毒排行榜觀察2019上半年勒索家族整體活躍趨勢,GandCrab依然是最活躍的病毒,該家族在2019年6月1日宣布停止運營,但在之後幾周時間內依然有部分餘毒擴散。GandCrab勒索病毒以出道16個月,非法獲利20億美元結束了它的勒索生涯。
  • 2019勒索病毒沉浮史
    近年來,勒索病毒入侵事件頻頻發生,攻擊範圍涵蓋政企、個人,波及醫療、教育、交通、政府等各個領域。在「零成本高回報」盈利模式的刺激下,無數黑客選擇加入到這個陣營中來,隱藏於網絡世界各個角落伺機入侵,僅2019年上半年實施攻擊的勒索病毒就數不勝數:年入20億美金的「俠盜病毒」GandCrab、附身國內用戶的「九尾狐」、瞄準政企的Globelmposter.他們憑藉一個加密算法、一次桌面爆破、一個U盤蠕蟲、一封垃圾郵件便顛倒乾坤鎖定電腦數據,並以此向受害者索要贖金。
  • 2019年勒索病毒黑名單(上)
    2019年已經過去了一半。半年中,勒索病毒仍然威脅著世界各地的數據和系統。那麼,這半年中有哪些勒索病毒爆發了呢?
  • 2019年7月勒索病毒疫情分析
    對比2019年6月與7月被感染系統情況,本月個人系統佔比有較大上升。個人系統從69%上升至本月的86%。這與本月Stop、Sodinokibi兩個勒索病毒家族的異常活躍緊密相關。360安全大腦監控到,Sodinokibi勒索病毒在7月21號,有一次較大規模的釣魚郵件傳播。勒索病毒傳播者冒充DHL(告知用戶快遞被無限期延遲,具體原因查看附件)、網警(告知用戶使用過的圖片造成侵權將受到罰款,具體情況查看附件)向用戶發送垃圾郵件,誘惑用戶下載運行郵件附件從而加密。這次攻擊事件,也造成很多計算機被攻擊中招。
  • 2019年全球十大流行勒索病毒
    二二、GandCrab勒索病毒GandCrab勒索病毒於2018年1月首次被觀察到感染了韓國公司,隨後GandCrab在全球迅速擴大,包括2018年初的美國受害者,至少8個關鍵基礎設施部門受到此勒索病毒的影響
  • 《2020勒索病毒大盤點》
    ,後開始出現以虛擬貨幣為支付贖金的勒索病毒,中招用戶數量不斷上升。2020年隨著疫情大爆發,企業紛紛開始線上辦公,數位化進程不斷加速,諸如「網絡疫情」的勒索病毒也借勢層出不窮,各類新型病毒不斷湧現,舊病毒不斷變種,攻擊對象也從以往個人為主到企業新市場。據相關數據顯示,2020年超過1000家大中型企業被勒索病毒攻擊。
  • WannaCry勒索病毒事件分析報告
    目前國內主流的幾個網絡安全公司都針對此次WannaCry勒索病毒爆發事件,推出了自己的查殺工具。有的側重於檢測,有的側重於發現,有的側重於滅活,有的側重於被刪除文件的數據恢復。以下列出目前各公司推出的各自針對網絡安全的工具及系統:1)騰訊面對WannaCry勒索病毒在全網絡進行的快速的擴散傳播和造成的巨大的損失,騰訊電腦管家推出了「勒索病毒免疫工具」。
  • 2021年勒索病毒呈現七大趨勢
    為什麼英特爾會將「勒索軟體檢測功能」作為一項亮點發布呢? 原因很簡單,勒索病毒威脅再次領跑了2020年最熱門的網絡安全話題。據亞信安全數據統計,2020年截獲的勒索病毒攻擊事件與2019年相比翻了一番。 隨著勒索病毒的攻擊技術、商業化模式愈發成熟,2021年勒索病毒又將呈現哪些新的趨勢?
  • 壞兔子勒索病毒事件基本分析報告
    根據監測,目前中國地區基本不受「壞兔子」勒索病毒影響。        本文是360CERT對「壞兔子」事件的初步分析。0x01 事件影響面1、影響面         經過360CERT分析,「壞兔子」事件屬于勒索病毒行為,需要重點關注其傳播途徑和危害:·      主要通過入侵某合法新聞媒體網站,該媒體在烏克蘭,土耳其,保加利亞,俄羅斯均有分網站。
  • 趨勢科技2019年攔截了超過6100萬次勒索病毒攻擊
    趨勢科技昨日發表了2019年度信息安全總評報告。此份報告詳細分析了當今信息安全威脅情勢當中最重要的一些問題和變化,讓企業了解該採取什麼樣的最佳實務原則和策略來保護自己的基礎構架,防範當前及未來的新興威脅。        去年,勒索病毒依然是網絡信息安全威脅的主要支撐。
  • 最新發布 | 2020年上半年勒索病毒疫情分析報告
    《2020年上半年勒索病毒疫情分析報告》分為前言、上半年勒索病毒攻擊事件、勒索病毒攻擊態勢、典型勒索病毒疫情分析、病毒發展趨勢分析、安全建議等六大版塊闡述。報告內容涵蓋勒索病毒感染趨勢、病毒家族分布、病毒傳播方式、贖金要求、攻擊地域分布、受感染系統分布、受害者所屬行業分布、威脅處置情況、病毒發展趨勢,以及相應的安全建議等方面。
  • 常見勒索病毒介紹
    事件表明,勒索病毒攻擊正在趨於專業化、團隊化、常態化,目前已迅速蔓延並危及企業、學校、醫院和其他機構。因此特整理了近期流行的勒索病毒種類、特徵及常見傳播方式, 供大家參考了解。常見勒索病毒介紹一、WannaCry勒索2017年5月12日,WannaCry勒索病毒全球大爆發,至少150個國家、30萬名用戶中招,造成損失達80億美元。
  • 勒索病毒防治策略淺析
    關鍵詞:沙箱技術,蜜罐技術,仿真誘捕技術,勒索病毒,防禦策略 前言   近幾年來,勒索病毒事件在各個行業可謂層出不窮。在公共運輸方面,2018年2月,SamSam勒索軟體感染科羅拉多州交通部,科羅拉多州當局最終為清除該感染花費了150萬美元費用;2018年12月,莫斯科新纜車的計算機系統遭遇勒索病毒入侵。
  • 勒索病毒應急措施及防護方案
    1.2019上半年勒索病毒攻擊態勢2019 年上半年共監控到受勒索病毒攻擊的計算機 225.6 萬臺,處理反勒索申訴案件超過 1500 例。4.常見的勒索病毒GandCrabGandCrab勒索病毒首次出現於2018年1月,是國內首個使用達世幣(DASH)作為贖金的勒索病毒,也是
  • 勒索病毒事件回顧:無論是否中招都要注意這些!
    2017年5月12日,全球突發比特幣病毒瘋狂襲擊公共和商業系統事件!英國各地超過40家醫院遭到大範圍網絡黑客攻擊,國家醫療服務系統(NHS)陷入一片混亂。中國多個高校校園網也集體淪陷。全球有接近150個國家超過30萬臺電腦受到嚴重攻擊。
  • 病毒預警|挪威海德魯公司遭到LockerGoga勒索病毒攻擊
    海德魯公司成立於1905 年,在全球 40多 個國家擁有 35,000 名員工,業務覆蓋鋁相關全產業鏈,2017年收入約128億美元。此次事件暫未造成人身傷亡事故,但已造成嚴重經濟和商譽影響。據海德魯公司透露,此次網絡攻擊由一種名為「LockerGoga」的勒索軟體造成,該勒索軟體能夠對目標計算機所有文件進行加密,然後要求受害者支付勒索贖金。
  • 2018勒索病毒白皮書(政企篇)
    在政企單位所遭遇的勒索病毒攻擊事件中,單日單次攻擊事件僅針對一臺終端的比例佔到攻擊事件總量的79.8%,僅有0.6%的攻擊事件針對的終端總數超過50臺。360終端安全實驗室預計,2019年勒索病毒威脅仍將在病毒威脅排行榜上執牛耳領跑眾毒。以下是從不同的側面對未來勒索病毒發展趨勢的預測分析。