欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

瑞星2018勒索病毒全面分析报告

来源:本站整理 作者:佚名 时间:2018-12-12 TAG: 我要投稿

一、勒索病毒简介
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
二、勒索病毒发展史
1.勒索病毒第一阶段:不加密数据,提供赎金解锁设备
2008年以前,勒索病毒通常不加密用户数据,只锁住用户设备,阻止用户访问,需提供赎金才能解锁。期间以LockScreen 家族占主导地位。由于它不加密用户数据,所以只要清除病毒就不会给用户造成任何损失。由于这种病毒带来的危害都能被很好地解决,所以该类型的勒索软件只是昙花一现,很快便消失了。

图:LockScreen勒索截图
2.勒索病毒第二阶段:加密数据,提供赎金解锁文件
2013年,以加密用户数据为手段勒索赎金的勒索软件逐渐出现,由于这类勒索软件采用了一些高强度的对称和非对称的加密算法对用户文件加密,在无法获取私钥的情况下要对文件进行解密,以目前的计算水平几乎是不可能完成的事情。正是因为这一点,该类型的勒索软件能够带来很大利润,各种家族如雨后春笋般出现,比较著名的有CTB-Locker、TeslaCrypt、Cerber等。

图:Tesla勒索截图
3.勒索病毒第三阶段:蠕虫化传播,攻击网络中其它机器
2017年,勒索病毒已经不仅仅满足于只加密单台设备,而是通过漏洞或弱口令等方式攻击网络中的其它机器, WannaCry就属于此类勒索软件,短时间内造成全球大量计算机被加密,其影响延续至今。另一个典型代表Satan勒索病毒,该病毒不仅使用了永恒之蓝漏洞传播,还内置了多种web漏洞的攻击功能,相比传统的勒索病毒传播速度更快。虽然已经被解密,但是此病毒利用的传播手法却非常危险。

图:Satan勒索病毒释放的永恒之蓝攻击工具包
三、勒索病毒家族种类介绍
瑞星安全专家通过对勒索病毒的传播速度、感染量、加密手段以及开发门槛选取了10个具有代表性的家族病毒进行分析,帮助用户更好的了解勒索病毒。
1.WannaCry家族:利用“永恒之蓝”漏洞传播,危害巨大
WannaCry勒索病毒,最早出现在2017年5月,通过永恒之蓝漏洞传播,短时间内对整个互联网造成非常大的影响。受害者文件被加上.WNCRY后缀,并弹出勒索窗口,要求支付赎金,才可以解密文件。由于网络中仍存在不少未打补丁的机器,此病毒至今仍然有非常大的影响。

图:WannaCry勒索病毒
2.BadRabbit家族:弱口令攻击,加密文件和MBR
Bad Rabbit勒索病毒,主要通过水坑网站传播,攻击者攻陷网站,将勒索病毒植入,伪装为adobe公司的flash程序图标,诱导浏览网站的用户下载运行。用户一旦下载运行,勒索病毒就会加密受害者计算机中的文件,加密计算机的MBR,并且会使用弱口令攻击局域网中的其它机器。

图:BadRabbit勒索病毒
3.GlobeImposter家族:变种众多持续更新
GlobeImposter勒索病毒是一种比较活跃的勒索病毒,病毒会加密本地磁盘与共享文件夹的所有文件,导致系统、数据库文件被加密破坏,由于Globelmposter采用RSA算法加密,因此想要解密文件需要作者的RSA私钥,文件加密后几乎无法解密,被加密文件后缀曾用过Techno、DOC、CHAK、FREEMAN、TRUE、RESERVER、ALCO、Dragon444等。

图:GlobeImposter勒索病毒
4.GandCrab家族:使用达世币勒索,更新频繁
Gandcrab是首个以达世币(DASH)作为赎金的勒索病毒,此病毒自出现以来持续更新对抗查杀。被加密文件后缀通常被追加上.CRAB .GDCB .KRAB 等后缀。从新版本勒索声明上看没有直接指明赎金类型及金额,而是要求受害用户使用Tor网络或者Jabber即时通讯软件获得下一步行动指令,极大地增加了追踪难度。
随着版本的不断更新,Gandcrab的传播方式多种多样,包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。此病毒至今已出现多个版本,该家族普遍采用较为复杂的RSA+AES混合加密算法,文件加密后几乎无法解密,最近的几个版本为了提高加密速度,对文件加密的算法开始使用Salsa20算法,秘钥被非对称加密算法加密,若没有病毒作者的私钥,正常方式通常无法解密,给受害者造成了极大的损失。

图:Gandcrab勒索病毒
5.Crysis家族:加密文件,删除系统自带卷影备份
Crysis勒索病毒家族是比较活跃的勒索家族之一。攻击者使用弱口令暴力破解受害者机器,很多公司都是同一个密码,就会导致大量机器中毒。此病毒运行后,加密受害者机器中的文件,删除系统自带的卷影备份,被加密文件后缀格式通常为“编号+邮箱+后缀”,例如:

[1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载