自2000年代中期以来,勒索病毒一直是对企业,中小企业和个人的重大威胁。2017年,FBI的互联网犯罪投诉中心(IC3)收到了1,783项勒索病毒投诉,受害者的费用超过230万美元。但是,这些投诉仅代表报告给IC3的***。勒索病毒***的实际数量和成本要高得多。实际上,仅去年一年,据估计就有1.84亿个勒索病毒***。勒索病毒最初是针对个人的,如今仍然构成了大多数***。
[[{{fid“:” 18071“,” view_mode“:”默认“,”字段“:{” format“:”默认“,” alignment“:”“,” field_file_image_alt_text [und] [0] [值] “:”“通过2017 Internet犯罪报告的图像”,“ field_file_image_title_text [und] [0] [值]”:“通过2017 Internet犯罪报告的图像”},“类型”:“媒体”,“ field_deltas”:{“ 1” :{“ format”:“默认”,“ alignment”:“”,“ field_file_image_alt_text [und] [0] [值]”:“通过2017年互联网犯罪报告的图像”,“ field_file_image_title_text [und] [0] [值] “:”通过2017 Internet犯罪报告提供的图像“}},”属性“:{” alt“:”通过2017 Internet犯罪报告提供的图像“,”标题“:”通过2017 Internet犯罪报告获取的图像“,”类“:”默认媒体元素文件“,”数据增量“:” 1“}}]]]
我们研究了勒索病毒从1989年首次有记载的***到今天的历史。我们将详细讨论一些最重要的勒索病毒***和变种。最后,我们看一下勒索病毒在2018年及以后的发展方向。
目录:
什么是勒索病毒?
勒索病毒***如何发挥作用
第一次勒索病毒***
勒索病毒的演变
最大的勒索病毒***和最突出的变体
勒索病毒的未来
防范勒索病毒***
有关勒索病毒和勒索病毒***的进一步阅读
什么是勒索病毒?
勒索病毒 是一种恶意软件,可以访问文件或系统,并阻止用户访问这些文件或系统。然后,使用加密将所有文件甚至整个设备扣为人质,直到受害者支付赎金以换取解密密钥。该密钥允许用户访问由程序加密的文件或系统。
尽管勒索病毒已经存在了数十年,但勒索病毒的种类已经变得越来越先进,它们具有传播,逃避检测,加密文件以及强迫用户支付勒索的能力。Ryan Francis解释说:“新时代的勒索病毒涉及高级分发工作,例如用于轻松和广泛分发新品种的预建基础架构,以及诸如使用加密器确保逆向工程非常困难的高级开发技术,” CSO和Network World的执行编辑。“此外,脱机加密方法的使用正变得越来越流行,勒索病毒利用了诸如Microsoft CryptoAPI之类的合法系统功能,从而消除了对命令和控制(C2)通信的需求。”
在受害者支付了超过500美元的赎金后,CryptoWall网站显示了解密说明。
随着勒索病毒的稳定运行成为当今企业和个人面临的最重大威胁之一,毫不奇怪的是,***变得越来越复杂,预防更具挑战性并对其受害者造成更大破坏。
勒索病毒***如何发挥作用
现在,我们对勒索病毒有了一个宽松的定义,让我们更详细地介绍这些恶意程序如何获得对公司文件和系统的访问权限。术语“勒索病毒”描述了该软件的功能,该功能旨在勒索用户或企业以获取经济利益。但是,该程序必须能够访问将持有赎金的文件或系统。这种访问是通过感染或***媒介进行的。
恶意软件和病毒软件与生物疾病具有相似之处。由于这些相似之处,被视为切入点通常被称为“载体” ,就像流行病学界使用该术语指有害病原体的携带者一样。像生物界一样,系统有多种方法可以被破坏并随后被勒索。从技术上讲,***或感染媒介是勒索病毒获得访问权的手段。
向量类型的示例包括:
电子邮件附件
[[{{fid“:” 18076“,” view_mode“:”默认“,”字段“:{” format“:”默认“,” alignment“:”“,” field_file_image_alt_text [und] [0] [值] “:”通过EDTS截屏。“,” field_file_image_title_text [und] [0] [值]“:”通过EDTS截屏。“},”类型“:”媒体“,” field_deltas“:{” 2“:{”格式“:”默认“,”对齐“:”“,” field_file_image_alt_text [und] [0] [value]“:”通过EDTS截屏。“,”“ field_file_image_title_text [und] [0] [value]”:“通过EDTS截屏。“}},”属性“:{” alt“:”通过EDTS截屏。“,”标题“:”通过EDTS截屏。“,”类别“:”media-element file-default“,” data-delta“:” 2“}}]]
用于分发勒索病毒的一种常见欺骗方法是发送令人信服的理由让企业打开伪装成紧急电子邮件附件的恶意软件。如果发票是发给企业主或应付帐款部门的,则很可能会打开它。像该列表中的许多相关策略一样,此策略会进行欺骗以获取对文件和/或系统的访问权限。
留言内容
[[{{fid“:” 18081“,” view_mode“:”默认“,”字段“:{” format“:”默认“,” alignment“:”“,” field_file_image_alt_text [und] [0] [值] “:”通过Windows Club截屏“,” field_file_image_title_text [und] [0] [值]“:”通过Windows Club截屏“},”类型“:”媒体“,” field_deltas“:{” 3“:{ “ format”:“默认”,“ alignment”:“”,“ field_file_image_alt_text [und] [0] [value]”:“通过Windows Club截屏”,“ field_file_image_title_text [und] [0] [value]”:“通过Windows Club截屏”}},“属性”:{“ alt”:“通过Windows Club截屏”,“标题”:“通过Windows Club截屏”,“类”:“默认媒体元素文件”,“数据增量”:“ 3”}}]]]
勒索病毒***者采用的另一种欺骗手段是在社交媒体上向受害者发送消息。Facebook Messenger是此方法中使用的最重要的渠道之一。创建模仿用户当前“朋友”的帐户。这些帐户用于发送带有文件附件的邮件。一旦打开,勒索病毒就可以访问并锁定连接到受感染设备的网络。
弹出窗口
[[{{fid“:” 18086“,” view_mode“:”默认“,”字段“:{” format“:”默认“,” alignment“:”“,” field_file_image_alt_text [und] [0] [值] “:”通过Fixyourbrowser截屏。“,” field_file_image_title_text [und] [0] [值]“:”通过Fixyourbrowser截屏。“},”类型“:” media“,” field_deltas“:{” 4“:{”格式“:”默认“,”对齐“:”“,” field_file_image_alt_text [und] [0] [value]“:”通过Fixyourbrowser截屏。“,” field_file_image_title_text [und] [0] [value]“:”通过Fixyourbrowser截屏。“}},”属性“:{” alt“:”通过Fixyourbrowser截屏。“,”标题“:”通过Fixyourbrowser截屏。“,” class“:”媒体元素文件默认值“,” data-delta“:” 4“}}]]
另一个常见但较老的勒索病毒媒介是在线“弹出窗口”。弹出窗口可模仿当前使用的软件,使用户在遵循提示时会感到更自在,这些提示最终旨在伤害用户。
第一次勒索病毒***
自从2005年以来,勒索病毒一直是最大的威胁之一,但首次***却发生得更早。根据《贝克尔医院评论》,第一次已知的勒索病毒***发生在1989年,并针对医疗保健行业。28年后,医疗保健行业仍然是勒索病毒***的首要目标。
1989年开始的CYBORG PC顾问。
第一次已知的***是由AIDS研究人员约瑟夫·波普(Joseph Popp)博士于1989年发起的,他通过向遍布90多个国家的AIDS研究人员分发了20,000张软盘来进行***,声称该磁盘包含一个程序,该程序可以分析个人患上艾滋病的风险通过使用问卷获得艾滋病。但是,该磁盘还包含一个恶意软件程序,该程序最初在计算机中处于休眠状态,只有在计算机通电90次后才能激活。达到90开始阈值后,恶意软件显示一条消息,要求支付189美元和另外378美元的软件租赁费用。这种勒索病毒***被称为AIDS Trojan或PC Cyborg。
勒索病毒的演变
当然,第一次勒索病毒***充其量是基本的,并且报告表明它存在缺陷,但是确实为勒索病毒演变成今天进行的复杂***奠定了基础。
根据Fast Company中的一篇文章,早期的勒索病毒开发人员通常编写自己的加密代码。如今,***者越来越依赖“难以破解的现成库”,并利用更复杂的交付方式(例如鱼叉式网络钓鱼活动)而不是传统的网络钓鱼电子邮件爆炸,后者经常被过滤掉。电子邮件垃圾邮件过滤器。
一些复杂的***者正在开发工具包,***者可以通过较低的技术技能来下载和部署这些工具包。一些最先进的网络犯罪分子通过提供作为服务的勒索病毒程序将勒索病毒货币化,这导致知名勒索病毒的知名度上升,例如CryptoLocker,CryptoWall,Locky和TeslaCrypt。这些是高级恶意软件的常见类型的一些示例。仅CryptoWall便产生了超过3.2亿美元的收入。
自1989年首次有记录的勒索病毒***以来,这种类型的网络犯罪一直不常见,直到2000年代中期,当时***开始使用更复杂,更难破解的加密算法,例如RSA加密。在此期间流行的是Gpcode,TROJ.RANSOM.A,Archiveus,Krotten,Cryzip和MayArchive。2011年,出现了仿冒Windows产品激活通知的勒索病毒蠕虫,使用户更难分辨真实通知和威胁之间的区别。
卡巴斯基实验室(Kaspersky Labs)观察到的勒索病毒变体的百分比分布,2014-2015年。
到2015年,影响多个平台的多个变体对全球用户造成严重破坏。卡巴斯基的SecureList报告称,从2014年4月到2015年3月,最主要的勒索病毒威胁为CryptoWall,Cryakl,Scatter,Mor,CTB-Locker,TorrentLocker,Fury,Lortok,Aura和Shade。报告指出:“在他们之间,他们能够***全球101,568名用户,占该时期内使用加密勒索病毒***的所有用户的77.48%。” 在短短一年内,景观发生了巨大变化。根据卡巴斯基2015年至2016年的研究,“ TeslaCrypt以及CTB-Locker,Scatter和Cryakl负责对79.21%遭受任何加密勒索病毒***的***。”
卡巴斯基实验室(Kaspersky Labs)观察到的勒索病毒变体的百分比分布,2015-2016年。
最大的勒索病毒***和最突出的变体
鉴于勒索病毒和***活动的发展,近年来最大的勒索病毒***已经不足为奇了。赎金的要求也在上升。报告表明,平均需求在2000年代中期徘徊在300美元左右,但如今平均为500美元左右。通常,为付款指定了截止日期,如果截止日期过去,则赎金需求将增加一倍,或者销毁文件或将其永久锁定。
勒索针对15个主要勒索病毒系列收费。
CryptoLocker是当时最赚钱的勒索病毒之一。在2013年9月至2013年12月之间,CryptoLocker感染了超过250,000个系统。在过去用于发动***的Gameover ZeuS僵尸网络于2014年在国际运营中下线之前,它为创造者赚了300万美元。
随后,对其加密模型进行了分析,现在可以在线使用一种工具来恢复受CryptoLocker破坏的加密文件。不幸的是,CryptoLocker的灭亡仅导致出现了几种仿制勒索病毒变体,其中包括众所周知的克隆CryptoWall和TorrentLocker。Gameover ZeuS本身在2014年重新出现,“以不断发展的活动形式发送恶意垃圾邮件消息。” 自那时以来,变种和***的数量一直在稳定上升,主要的高价值目标是银行,医疗保健和政府部门。
从2014年4月到2016年初,CryptoWall是最常用的勒索病毒之一,针对数十万个人和企业的各种形式的勒索病毒。到2015年中,CryptoWall已从受害者那里勒索了1800万美元,促使FBI发布了有关威胁的咨询报告。
2015年,一个名为TeslaCrypt或Alpha Crypt的勒索病毒***了163名受害者,为背后的***者净赚76,522美元。TeslaCrypt通常要求用比特币赎金,尽管在某些情况下使用了PayPal或My Cash卡。赎金数额从150美元到1,000美元不等。
同样在2015年,一个名为Armada Collective的组织对希腊银行进行了一系列***。“通过针对这三个希腊金融机构并加密重要文件,他们希望说服银行各支付700万欧元。不用说,能够在五天内进行三种不同类型的***,这对于银行的安全性非常令人担忧,”《数字货币时代》报道。***者要求每家银行赎回20,000比特币(700万欧元)赎金,但尽管舰队随后作出了种种努力,但银行没有支付费用,而是提高了防御能力,避免了进一步的服务中断。
对于针对大型公司的***,据报道赎金高达50,000美元,尽管去年针对洛杉矶医院系统好莱坞长老会医疗中心(HPMC)的勒索病毒***据称要求赎金340万美元。这次袭击迫使医院重新进入了预计算时代,将其访问公司网络,电子邮件和重要患者数据的访问时间限制了十天。
最终,该公司在被拒绝了必不可少的计算机系统和通信服务之后,仅支付了17,000美元即可重新获得对其关键数据的访问权限。HPMC的更新表明,最初的赎金需求为340万美元的报告是不准确的,并且医院支付了所要求的17,000美元(或当时的40个比特币)以快速有效地恢复运营。一个多星期后,洛杉矶县卫生局感染了一个阻止该组织访问其数据的程序。但是,该机构成功隔离了受感染的设备,没有支付赎金。
2016年3月,渥太华医院遭受勒索病毒的袭击,该勒索病毒影响了9,800多台计算机,但医院通过擦拭驱动器做出了回应。由于勤奋的备份和恢复过程,医院得以在自己的游戏中击败***者,并避免支付赎金。
同月,肯塔基州卫理公会医院,奇诺瓦利医学中心和加利福尼亚的沙漠谷医院遭到勒索病毒***。“肯塔基州卫理公会医院信息系统主管杰米·里德命名为参与Locky,一个新的错误,加密文件,文档和图像,并重新命名他们的扩展.locky恶意软件,”报道BBC.com指出的是,没有任何影响被认为是本医院已经支付了赎金。在2016年3月18日发现***后,大多数系统在3月24日之前已恢复,并且没有危及患者数据。但是,由于共享系统脱机,***还造成了其他几家医院的中断。
2016年3月,也出现了Petya勒索病毒变体。Petya是一种高级勒索病毒,它可以加密计算机的主文件表,并用赎金记录替换主引导记录,除非支付了赎金,否则计算机将无法使用。到5月,它已经进一步发展为包括直接文件加密功能作为故障保护。Petya也是作为勒索病毒即服务操作的一部分提供的首批勒索病毒变体之一。
ZDNet在2016年5月的一篇文章中报道说:“根据卡巴斯基实验室研究人员的检测,今年第一季度排名前三的勒索病毒系列分别是:Teslacrypt(58.4%),CTB-Locker(23.5%)和Cryptowall(3.4% )。所有这三个主要是通过带有恶意附件或指向受感染网页的链接的垃圾邮件来感染用户的。”
到2016年年中,Locky巩固了其作为最常用勒索病毒品种之一的地位,据PhishMe研究报告称,Locky的使用早在2016年2月就超过了CryptoWall。
PhishMe从2016年1月至9月观察到的勒索病毒变体的细分。
在2016年的黑色星期五(11月25日),旧金山市交通局成为勒索病毒***的受害者,该勒索病毒***破坏了火车票务和巴士管理系统。***者要求提供高达100比特币的赎金(当时相当于约73,000美元),但是由于快速的响应和全面的备份流程,SFTMA能够在两天内恢复其系统。尽管不必支付赎金,但SFMTA仍要承担一些费用,因为乘客可以在系统停机的两天时间内无需支付车费。***中使用的勒索病毒被认为是Mamba或HDDCryptor。
我们生活安全。
针对苹果OS X的首批勒索病毒变体之一也出现在2016年。KeRanger主要影响了使用Transmission应用程序的用户,但在一天半的时间内影响了约6,500台计算机。被发现后的第二天,Keranger被迅速从Transmission中删除。
2016年是勒索病毒***的重要一年,2017年初的报告估计勒索病毒使网络犯罪分子总共净赚10亿美元。
勒索病毒的未来
这些事件将勒索病毒推向了一个新时代,在这个时代中,网络犯罪分子可以轻松地复制较小的***,并针对更大的公司实施***,要求更大的赎金。尽管有些受害者能够在无需支付赎金的情况下减轻***并恢复其文件或系统,但仅需很小一部分***就能为网络犯罪分子带来可观的收入和诱因。
***者要求的赎金数额明细。
即使支付赎金也不能保证您将被授予访问文件的权限。CNET报告根据安全分类帐中的一篇文章发现,CryptoLocker勒索病毒“从用户那里勒索了300万美元,但并未解密所有付费用户的文件” 。Datto进行的一项调查发现,在支付赎金的四分之一事件中,***者都忽略了解锁受害者的数据。
Petya和Cerber勒索病毒开创了勒索病毒即服务方案的先驱,勒索病毒的运营在使工作货币化方面继续发挥更大的创造力。Cerber的作者尤其是机会主义者,将勒索病毒操作作为服务提供,以换取从有偿勒索中获得的利润减少40%。根据Check Point研究人员的说法,Cerber仅在2016年7月就感染了15万名受害者,估计收入19.5万美元,其中有7.8万美元归勒索病毒的作者所有。
勒索病毒作者和运营商的获利潜力也推动了网络犯罪分子之间的迅速创新和残酷的竞争。ZDNet最近报道了PetrWrap勒索病毒,该软件是使用从Petya提取的破解代码构建的。对于受害者而言,代码的来源无关紧要-无论您是感染了Petya还是PetrWrap,最终结果都是相同的:您的文件使用强大的算法加密,以至于目前没有解密工具。
勒索病毒的下一步是什么?ZDNet文章中报道了英国国家网络安全中心(NCSC)和国家犯罪局(NCA)的一份新报告,警告了诸如勒索病毒即服务和移动勒索病毒等威胁的发展。
此外,2017年首次报告了对连接设备的勒索病毒***。据《卫报》报道,有55个交通摄像机被WannaCry勒索病毒感染。尽管这种***造成的损失很小,但所有的物联网(IoT)设备(例如智能电视,健身追踪器等)都容易受到***。物联网的增长速度,加上广泛报道的物联网设备的不安全性,为勒索病毒运营商提供了全新的领域。
勒索病毒保护的最佳做法(例如定期备份和保持软件最新)不适用于大多数已连接的设备,并且许多IoT制造商在发布软件补丁程序时反应迟钝或只是疏忽大意。随着企业越来越依赖物联网设备来运行运营,对连接设备的勒索病毒***可能会激增。
DHS企业绩效管理办公室主任Neil Jenkins在2017年RSA大会上警告说,关键基础设施构成了未来勒索病毒***的另一个令人不安的目标,即水务公司和类似基础设施可能为***者提供可行的高价值目标。詹金斯(Jenkins)引用了2017年1月的勒索病毒***,该***暂时禁用了奥地利旅馆钥匙卡系统的组件,这是未来基础设施遭受更重大***的潜在前身。
防范勒索病毒***
最终用户和公司都可以采取一些措施来显着降低遭受勒索病毒侵害的风险。如上所述,遵循基本的网络安全最佳实践是最大程度降低勒索病毒损害的关键。在任何企业中,都有以下四种重要的安全实践:
频繁,经过测试的备份:备份每个重要文件和系统是抵御勒索病毒的最有力防御措施之一。可以将所有数据还原到先前的保存点。应测试备份文件,以确保数据完整且未损坏。
结构化的定期更新:企业使用的大多数软件都是由软件创建者定期更新的。这些更新可以包括补丁,以使软件更安全地防御已知威胁。每个公司都应指定一名员工来更新软件。涉及更新系统的人员越少,意味着犯罪分子的潜在***媒介就越少。
明智的限制:对以下人员和承包商应设置某些限制:
使用包含公司文件,记录和/或程序的设备
使用连接到公司网络的设备可能会受到***
是第三方或临时工
正确的凭据跟踪:有权访问系统的任何员工,承包商和个人都可能创建勒索病毒的潜在漏洞点。周转,无法更新密码以及不适当的限制可能会导致在这些位置出现更高的***可能性。
尽管这些最佳做法众所周知,但许多人仍无法定期备份其数据,而某些企业仅在自己的网络中进行备份,这意味着备份可能会受到一次勒索病毒***的破坏。
有效的勒索病毒防御最终取决于教育。用户和企业应该花一些时间来了解他们关于自动数据备份和软件更新的最佳选择。对于当今使用连接设备的任何人来说,对诱骗软件分发策略的明显迹象进行教育,例如网络钓鱼***,偷渡式下载和欺骗性网站,都是当务之急。
企业还应该实施能够提供高级威胁防护的安全解决方案。端点检测和响应(EDR)工具监视端点和网络上的活动,以识别和缓解威胁。Digital Guardian提供了端点检测和响应功能,可以帮助您防止勒索病毒影响您的业务。我们在整个***生命周期中检测和阻止高级威胁的能力使我们能够为所有高级威胁防护客户成功检测并包含WannaCry。了解有关我们的EDR功能的更多信息,并了解DG为什么在2018 Forrester Wave for EDR中被评为领导者。
标签:file,field,截屏,勒索,赎金,破坏性,病毒 来源: https://blog.51cto.com/u_15171381/2754488
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。