本报告由北京江民新科技术有限公司赤豹安全实验室,综合了江民大数据威胁情报平台、江民终端反病毒监测网、国内外研究数据、以及权威媒体公开报道,通过对勒索病毒的长期监测与跟踪分析,针对全球2018年全年勒索病毒感染现状与趋势进行分析、研究,涵盖了勒索软件的起源、特征、现状、技术趋势和防御方案等多个方面。
1 勒索软件简介
1.1什么是勒索病毒?
勒索病毒,是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。主要以漏洞利用、RDP弱口令暴力破解、钓鱼邮件、网页挂马等形式进行传播。这种病毒利用各种加密算法对文件进行加密后,向文件所有者索要赎金。如果感染者拒付赎金,就无法获得加密的私钥,无法恢复文件。
这种病毒其实只是传统安全技术的一个小小的应用创新,以前加密技术一直用于防,现在却用于攻,从防到攻,突然发现原来加密技术可以这么玩。在数字世界里,勒索这门生意,这几年却正蓬勃兴起。勒索软件的概念可以追溯到1989 年,那时人们通过人工投递的软盘,将 PC 锁定恶意代码发送给受害者,但自2014年以来,随着比特币等加密数字货币在全球的广泛使用,这类业务有了令人侧目的增长。
1.2勒索病毒为什么愈演愈烈?
一方面,利用勒索病毒的成本非常低。在黑市上只要几千元就可以购买一个未知病毒,勒索成功一次就可以获利几万元甚至几十万元,十几倍到上百倍的利润,着实让人疯狂。
另一方面,勒索病毒防护非常麻烦。因为它简单粗暴,直接对文件加密,管杀不管埋,只要加密成功,就等着收赎金,传统的安全防护措施对这种不讲道理的攻击手段束手无策。
第三方面,虚拟货币缺乏监管。现实中一个勒索案最难解决的问题是如何收赎金,而由于虚拟货币监管缺位,恰恰解决了这个赎金问题。
所以,门槛低、启动成本低、高收益、风险低,这些因素组合在一起,勒索病毒愈演愈烈!
1.3勒索病毒发展简史
1、原始阶段:
最早的勒索软件出现于1989年,名为“艾滋病信息木马”。该木马通过替换系统文件,在开机时计数,一旦系统启动达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密,从而导致系统无法启动。此时,屏幕显示信息声称用户的软件许可已过期,要求邮寄189美元以解锁系统。
2006年出现的Redplus勒索木马是国内首款勒索软件。该木马会隐藏用户文档,然后弹出窗口勒索赎金,金额从70元至200元不等。据我国计算机病毒应急处理中心统计,全国各地的该病毒及其变种的感染报告有580多例。而实际上用户的文件并未丢失,只是被移动到一个具有隐藏属性的文件夹中。
2、新发展期,比特币赎金阶段:
从2013年的CryptoLocker开始,勒索软件进入了新的发展期,比特币进入了黑客的视野。CryptoLocker可以感染大部分Windows操作系统,通常通过邮件附件传播,附件执行后会对特定类型的文件进行加密,之后弹出付款窗口,也就是从这款软件开始,黑客开始要求机构使用比特币的支付赎金,而就是这款软件为黑客组织带来了近41000枚比特币的收入,按照比特币最新的市价这些比特币的价值有近10亿美元之巨。
3、勒索软件平台化及开源化趋势:
同为2015年一款名为Tox的勒索软件开发包在年中发布,通过注册服务,任何人都可创建勒索软件,管理面板会显示感染数量、支付赎金人数以及总体收益,Tox的创始人收取赎金的20%。
2015年下半年,土耳其安全专家发布了一款名为Hidden Tear的开源勒索软件。它仅有12KB,虽然体量较小,但是麻雀虽小五脏俱全,这款软件在传播模块,破坏模块等方面的设计都非常出色。尽管来自土耳其的黑客一再强调此软件是为了让人们更多地了解勒索软件的工作原理,可它作为勒索软件的开源化,还是引发了诸多争议,在阅读了这款勒索软件的源代码后,笔者也是突然醒悟原来编程的思路与方法真的是别有洞天,破坏性思维和建设性思维的确是完全不同的风格。
4、与窃取大众隐私信息结合的趋势
近年来,针对某些快捷酒店住宿系统及私营医院HIS系统的入侵、脱库(脱库指黑客入侵到系统后进行信息窃取行为)事件频发,而16年之前黑客一般只会将信息悄然盗出后在黑市上待价而沽,但目前黑客更是要在出售掉隐私信息之前还要对医院及酒店进行勒索。去年底美国好莱坞某医疗中心就被黑客攻陷,并勒索340万美元的赎金,虽然经过一番讨价还价医院最终支付了1.7万美元后运营恢复,但是该院的就诊记录不久就出现在了的数据黑市上。
而且最近的勒索病毒明显加强了“用户体验”的建设,会给用户很强的心理暗示,比如某些最新的勒索软件将UI设计成无法退出的界面,而且赎金随时间涨价,还会以倒计时强化紧迫感。
2 2018年勒索病毒感染情况
2.12018年勒索病毒感染情况
根据江民病毒监测中心对勒索病毒监测到的数据统计发现,2017年1月到8月,和2018年7到10月是勒索病毒感染高发期,2017年勒索病毒感染事件共计为263.2万次,2018年为119.5万次,较去年下降了54.6%。
2.2服务器攻击趋势及攻击者家族
近一个多月以来,每周都有企业Windows服务器遭受勒索病毒攻击,针对服务器的勒索病毒攻击呈现走高趋势。今年以来,两大针对服务器攻击的勒索病毒家族(GlobeImposter和Crysis家族)均出现爆发传播的迹象。
GlobeImposter,Crysis,BTCWare三款勒索病毒,是近来针对服务器攻击的主流,占比超过90%。这三款勒索病毒,都属于全球爆发类的勒索病毒,其中GlobeImposter更是多次攻击国内医疗和公共服务机构,国内外安全机构多次发布过该家族的预警。
3 主要勒索事件汇总
3.1近两年勒索事件
1、2017年1月份,撒旦(Satan)恶意勒索程序首次出现。
Satan病毒的开发者通过网站允许用户生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本进行传播。Satan勒索病毒主要用于针对服务器的数据库文件进行加密,非常具有针对性加密完成后,会用中英韩三国语言索取0.3个比特币作为赎金,并威胁三天内不支付不予解密。
2、2017年5月12日,一种名为“想哭”的勒索病毒袭击全球
超过150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,150多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。
3、2017年6月27日晚,Petya勒索病毒爆发
欧洲多个国家被大规模攻击,尤其是乌克兰,政府机构、银行、企业等均遭大规模攻击,其中乌克兰副总理的电脑也遭受攻击。病毒作者要求受害者支付价值300美元的比特币之后,才会回复解密密钥。
4、2017年10月24日,俄罗斯、乌克兰等国遭到勒索病毒BadRabbit攻击
乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。
5、xiaoba勒索病毒
10月20日,发现一例国产勒索病毒Xiaoba。该病毒加密后文件以.xiaoba[数字]结尾,不同文件类型其结尾数字也不相同,其赎金可以通过微信、支付宝支付,目前暂未发现该勒索病毒有大范围传播。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。
6、2018年1月,GandGrab勒索家族首次出现
应该算是勒索病毒家族中的最年轻,但是最流行的一个勒索病毒家族,短短几个月的时候内,就出现了多个此勒索病毒家族的变种,而且此勒索病毒使用的感染方式也不断发生变化,使用的技术也不断在更新,此勒索病毒主要通过邮件进行传播,采用RSA+ASE加密的方式进行加密,文件无法还原。
7、2018年2月,多家互联网安全企业截获了Mind Lost勒索病毒
该勒索软件采用C#语言开发,其主要功能是采用AES加密方式加密本地文件,之后引导受害者至指定的网页要求付费解密文件,与以往勒索软件不同的是,此次勒索软件并没有要求受害者支付比特币等数字货币进行付费解密操作,而是直接要求用户使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子从而牟取更大利益。加密样本账户的电脑的Users目录下的文件,如果后缀为”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密,且解密赎金达到200美元。其加密完成后显示的提示图片如下:
8、GlobeImposter勒索病毒家族
GlobeImposter勒索病毒家族是从2017年5月开始出现,并在2017年11月和2018年3月有两次较大范围的疫情爆发,在2017年11月前的GlobeImposter勒索病毒大部分被称为GlobeImposter1.0,此时的病毒样本加密后缀名以“.CHAK”较为常见,在2018年3月时出现了GlobeImposter2.0,此时的病毒样本加密后缀名以“.TRUE”,“.doc”较为常见,GlobeImposter也增加了很多新型的技术进行免杀等操作。