《云智信安网络安全术语》 第6期 勒索病毒 YX 2022-0006

《云智信安 网络安全术语》

第6期

勒 索 病 毒

简介：勒索软件是一种来自加密病毒学的恶意软件，以受害者的个人数据或永久阻止对其访问做威胁要求支付赎金的一类恶意软件。一些简单的勒索软件可能会在不损坏任何文件的情况下锁定系统，高级的恶意软件使用一种称为加密病毒勒索的技术，加密受害者的文件，使其无法访问，并要求支付赎金作为解密数据的筹码。在正确实施的加密病毒勒索攻击中，在没有解密密钥的情况下恢复文件是一个棘手的问题，并且使用难以追踪Paysafecard或比特币等数字货币和其他加密货币作为赎金，使得追踪和起诉肇事者变得困难。

勒索软件的工作原理：勒索软件需要访问目标系统，加密目标文件，并向受害者索要赎金。实施细节因勒索软件变体而异，但都共享相同的核心三个阶段：

步骤 1.感染和传播媒介

与任何恶意软件一样，勒索软件可以通过多种不同方式访问组织的系统。勒索软件运营者往往更喜欢一些特定的感染媒介。其中之一是网络钓鱼电子邮件。恶意电子邮件可能包含指向托管恶意下载的网站的链接或具有内置下载器功能的附件。如果电子邮件收件人陷入网络钓鱼，则勒索软件将被下载并在其计算机上执行。另一种流行的勒索软件感染媒介利用远程桌面协议 (RDP) 等服务。使用 RDP，窃取或猜测员工登录凭据的攻击者可以对企业网络中的计算机进行身份验证和远程访问。通过这种访问，攻击者可以直接下载恶意软件并在他们控制的机器上执行。其他人可能会尝试直接感染系统，例如 WannaCry 如何利用 EternalBlue 漏洞。大多数勒索软件变种都有多个感染媒介。

步骤 2. 数据加密

在勒索软件获得对系统的访问权后，可以开始加密其文件。由于加密功能内置在操作系统中，仅涉及访问文件，使用攻击者控制的密钥对其进行加密，并用加密版本替换原始文件。大多数勒索软件变种在选择要加密的文件以确保系统稳定性时都非常谨慎。一些变体还将采取措施删除文件的备份和卷影副本，以使没有解密密钥的恢复更加困难。

步骤 3. 赎金要求

一旦文件加密完成，勒索软件就准备提出勒索要求。不同的勒索软件变体以多种方式实现，但将显示背景更改为勒索记录或放置在包含勒索记录的每个加密目录中的文本文件。通常，勒索者需要一定数量的加密货币来换取对受害者文件的访问。如果支付赎金，勒索者将提供用于保护对称加密密钥的私钥副本或对称加密密钥本身的副本，可以输入到解密程序（也由网络犯罪分子提供）中，来解密加密并恢复对用户文件的访问。

虽然这三个核心步骤存在于所有勒索软件变体中，不同的勒索软件可能包括不同的实现或附加步骤。例如，像 Maze勒索软件变种会在数据加密之前执行文件扫描、注册表信息和数据盗窃，而 WannaCry 勒索软件会扫描其他易受攻击的设备以感染和加密。

防范勒索软件

1.网络意识培训和教育：勒索软件通常使用网络钓鱼电子邮件传播。用户安全意识培训至关重要，应培训用户如何识别和避免潜在的勒索软件攻击。由于当前的许多网络攻击都是从甚至不包含恶意软件的有针对性的电子邮件开始的，鼓励用户点击恶意链接的社会工程消息，因此用户安全意识培训通常被认为是最重要的防御措施之一。

2.持续的数据备份：勒索软件的定义是一种恶意软件，旨在使支付赎金成为恢复对加密数据的访问权限的唯一方法。自动化的、受保护的数据备份使组织能够从攻击中恢复，同时将数据丢失降至最低，最终免于支付赎金。作为例行程序维护数据的定期备份是防止数据丢失以及在发生损坏或磁盘硬件故障时能够恢复数据的非常重要的做法。功能备份同样可以帮助组织从勒索软件攻击中恢复数据，降低风险。

3.补丁：补丁是防御勒索软件攻击的关键组成部分，因为网络犯罪分子通常会在可用的补丁中寻找最新发现的漏洞，然后瞄准尚未打补丁的设备或系统。因此，组织必须确保所有系统都应用最新的补丁程序，因为这可以减少企业内被攻击者利用的潜在漏洞的数量。

4.用户身份验证：使用被盗用户凭据访问 RDP 等服务是勒索软件攻击者最喜欢的技术。使用强用户身份验证可以使攻击者更难使用猜测或窃取的密码

减轻主动勒索软件感染

许多成功的勒索软件攻击只有在数据加密完成并且在受感染计算机的屏幕上显示勒索说明后才能被检测到。此时，加密文件可能无法恢复，但应立即采取一些步骤：

1.隔离机器：一些勒索软件变种会尝试传播到连接的驱动器和其他机器，进行横向攻击。通过删除对其他潜在目标的访问来限制恶意软件的传播。

2.让计算机保持开机状态：文件加密可能会使计算机不稳定，关闭计算机可能会导致易失性内存丢失。保持计算机开机以最大限度地提高恢复的可能性。

3.创建备份：无需支付赎金即可解密某些勒索软件变体的文件。在可移动媒体上制作加密文件的副本，以防将来有解决方案可用或解密失败会损坏文件。

4.检查解密器：检查 No More Ransom Project 以查看是否有免费的解密器可用。在加密数据的副本上运行以查看它是否可以恢复文件。

5.寻求帮助：计算机有时会存储存储在其上的文件的备份副本。如果这些副本未被恶意软件删除，数字取证专家可能能够恢复这些副本。

6.擦除和恢复：从干净的备份或操作系统安装中恢复机器。可确保从设备中完全删除恶意软件

知名勒索软件：

Reveton：2012 年，一种名为 Reveton 的大型勒索软件木马开始传播。基于 Citadel木马（它本身就是基于Zeus木马），其负载显示一个据称来自执法机构的警告，声称该计算机已被用于非法活动，例如下载未经许可的软件或儿童色情。由于这种行为通常被称为“警察木马”。警告通知用户，要解锁其系统，必须使用来自匿名预付现金服务（如Ukash或paysafecard ）的凭证支付罚款. 为了增加计算机被执法部门跟踪的错觉，屏幕还显示计算机的IP 地址，而某些版本显示来自受害者网络摄像头的镜头，给人一种用户正在被记录的错觉。

CryptoLocker：该加密勒索软件于2013年9月再次出现，其中一种名为CryptoLocker的木马生成了一个2048位RSA密钥对并依次上传到命令和控制服务器，并用于使用特定文件扩展名的白名单加密文件。如果在感染后3天内未支付比特币或预付现金券，恶意软件威胁要删除私钥。由于其使用的密钥非常大，分析师和受木马影响的人认为CryptoLocker极难修复。即使在截止日期过去后，仍然可以使用在线工具获得私钥，但价格将上涨至 10 BTC，在2013年11月比特币价位尚不高，其成本约为2300 美元。

CryptoLocker.F 和 TorrentLocker：2014年9月，一波勒索软件木马浮出水面，首先针对澳大利亚的用户，名称为CryptoWall和CryptoLocker（与CryptoLocker 2.0 一样，与原始 CryptoLocker 无关）。木马通过声称是澳大利亚邮政包裹递送失败通知的欺诈性电子邮件进行传播，为了逃避跟踪页面上所有链接以扫描恶意软件的自动电子邮件扫描程序的检测，此变体旨在要求用户在实际下载有效负载之前访问网页并输入验证码，从而防止此类自动化过程能够扫描有效载荷。赛门铁克确定这些新变体（它标识为CryptoLocker.F）操作存在差异与原始CryptoLocker无关。该勒索软件的一个著名受害者是澳大利亚广播公司，由于其悉尼工作室的计算机感染了 CryptoWall ，其电视新闻频道 ABC News 24的直播节目中断了半小时，并转移到墨尔本工作室。

CryptoWall：Windows 的主要勒索软件 CryptoWall 于 2014 年首次出现。2014 年9 月下旬Zedo广告网络上针对几个主要网站的恶意广告活动中分发了一种 CryptoWall 病毒；广告重定向到使用浏览器插件漏洞下载有效负载的流氓网站。Barracuda Networks的一位研究人员还指出，有效载荷是用数字签名进行签名的，目的是为了让安全软件看起来值得信赖。CryptoWall 3.0 使用用JavaScript编写的有效负载作为电子邮件附件的一部分，下载伪装成JPG的可执行文件图片。为了进一步逃避检测，恶意软件会创建explorer.exe和svchost.exe的新实例以与其服务器进行通信。在加密文件时，恶意软件还会删除卷影副本并安装窃取密码和比特币钱包的间谍软件。

WannaCry：人们真正认识勒索软件的危害，来自于2017年5月，WannaCry 勒索软件攻击通过互联网传播，使用名为EternalBlue的漏洞利用向量，据称该漏洞是从美国国家安全局泄露的。勒索软件攻击规模空前，感染了150 多个国家的超过 230,000 台计算机，使用 20 种不同的语言向使用比特币加密货币的用户索要资金。WannaCry 要求每台计算机 300 美元。袭击影响了西班牙电信和西班牙的其他几家大公司，以及英国国家卫生局的部分部门(NHS)，至少有 16 家医院不得不拒绝病人或取消预定的手术，联邦快递、德国铁路、本田、雷诺，以及俄罗斯内政部和俄罗斯电信MegaFon，在我国则以教育行业为重灾区。攻击者从计算机被感染之日起给受害者一个 7 天的期限，之后将删除加密的文件。

Petya：Petya于2016年3月首次被发现与其他形式的加密勒索软件不同，旨在感染主引导记录，安装一个有效载荷，在受感染的系统下次启动时加密NTFS文件系统的文件表，从而完全阻止系统启动进入 Windows，直到已支付赎金。2017 年 6 月 27 日，Petya 的一个经过大量修改的版本被用于主要针对乌克兰的全球网络攻击（但影响到许多国家）。此版本已被修改为使用 WannaCry 使用的相同 EternalBlue 漏洞进行传播。由于另一个设计更改，支付赎金后也无法真正解锁系统；这导致安全分析师推测，这次攻击并非旨在产生非法利润，而只是为了造成破坏。

Bad Rabbit：2017 年 10 月 24 日，俄罗斯和乌克兰的一些用户报告了一种名为“Bad Rabbit”的新勒索软件攻击，该攻击与 WannaCry 和 Petya 类似，通过加密用户的文件表，然后要求支付比特币来解密它们。受勒索软件影响的机构包括：国际文传电讯社、敖德萨国际机场、基辅地铁和乌克兰基础设施部。由于它使用企业网络结构进行传播，也在其他国家被发现，包括土耳其、德国、波兰、日本、韩国和美国。

SamSam：2016年，出现了一种针对JBoss服务器的新型勒索软件名为“ SamSam ”的毒株被发现绕过了网络钓鱼或非法下载的过程，利用弱服务器上的漏洞。恶意软件使用远程桌面协议暴力攻击来猜测弱密码，直到密码被破解。病毒一直在攻击政府和医疗保健目标，新墨西哥州法明顿镇、科罗拉多州交通部、北卡罗来纳州戴维森县发生了值得注意的黑客攻击，最近还发生了勒索软件攻击关于亚特兰大的基础设施。

DarkSide：2021 年 5 月 7 日，美国殖民管道遭到网络攻击。联邦调查局认定DarkSide是由恶意代码实施的Colonial Pipeline 勒索软件攻击的肇事者，攻击导致向美国东海岸供应 45% 燃料的主要管道自愿关闭。这次攻击被描述为迄今为止对美国关键基础设施的最严重网络攻击。DarkSide 成功勒索了大约 75 个比特币（近 500 万美元）来自 Colonial Pipeline。

GlobeImposter：2019年我国国家网络与信息安全信息通报中心监测发现，勒索病毒主要利用3389端口对Windows服务器实施网络攻击。该病毒利用自带密码本破解服务器远程桌面服务（3389端口）口令，破解后病毒程序对本地文档实施加密开展勒索活动，并以该主机为跳板感染内网其他服务器。这个勒索软件也是以医疗卫生系统为主要攻击对象，曾经多家单位的医疗卫生系统遭到了GlobeImposter勒索病毒攻击。

本文根据国家标准术语及自国内外安全网站及百科网站等整理而成； 文中信息仅供大家参考，引用请慎重； 拓展网络安全知识，提升网络安全意识，持续更新中。

END

扫码关注我们 数据安全能力引领者！

原文始发于微信公众号（河南等级保护测评）：《云智信安网络安全术语》 第6期 勒索病毒 YX 2022-0006