从恶贯满盈的WannaCry,到层出不穷的模仿者与后来者,兴风作浪多时的勒索病毒,靠着加密文件敲诈钱财的恶劣手段,不仅让幕后的一个个黑客团伙赚得盆满钵满,更成为了危及全球政府、企业、个人的网络“毒瘤”。
自1989年勒索病毒雏形诞生,到三年前因WannaCry而广为熟知,勒索病毒攻击范围和攻击领域,逐渐向全领域、跨行业、全球化拓展。但勒索病毒如何频频让政府、企业缴纳巨额赎金?
今天,就从大部分人对勒索病毒的四大误区入手,跟大家详细讲讲高额赎金背后鲜为人知的勒索病毒。
误区一:破解软件全能易用,网友力荐怎会翻车?
破解软件、激活工具是大多数用户的“挚爱”,殊不知免费的程序常常带“毒”。在众多勒索病毒家族中,2018年活跃至今的Stop家族,就热衷于藏身专门下载破解软件激活工具的境外网站,勒索于“无形”。
为了避免暴露,隐匿于激活工具、破解软件中的Stop勒索病毒,还迭代出了首次运行时不会显露过多可疑行径的“进阶版”。
一旦感染,“进阶”的勒索病毒会先将自身“悄悄”写入启动项中,当毫无察觉的用户再次开机启动设备时,就会显露真容,尽可能地加密用户所有文件,实施勒索。
360安全大脑的持续监测中,甚至曾发现一些勒索软件,会在长时间的隐藏后,再实施加密勒索。
误区二:系统沦陷一时所为,欲要解忧只需散财?
与勒索病毒的较量,是一场长期的对抗,感染勒索病毒的过程,也不是一蹴而就的,尤其是黑客手动投毒传播的勒索病毒,往往不会像大多数人想的那样,在攻陷目标机器后第一时间就投放勒索病毒。
在一段受害用户机器上的远程登录日志(仅截取部分数据)中,360安全大脑分析发现,该受害者机器在中毒之前就已被黑客多次“光顾”,而实际被实施加密勒索,已经是3天后的事情。
在众多案例中,甚者有黑客潜伏半年之久,每天盯着用户的一举一动,迟迟不实施勒索的情况。
(受害机器部分远程登录日志)
同时,在对该受害者机器进行分析时,360安全大脑还发现了多个黑客工具,具体涉及多个口令登录收集工具、端口扫描工具、口令爆破工具。而使用这些工具的目的,其实都是在尝试将已被攻陷机器作为跳板,进而攻击内网其他机器扩大感染范围。
2020年以前,大多数勒索病毒还只是“单纯”的“加密者”,而进入2020年后,为了进一步提高支付率、支付金额的黑客组织,往往会在投“毒”时,一并收集受害者(更多为企业)信息数据,进行强针对性的勒索,并以公开数据威胁受害者支付赎金。
以下是受害者和黑客对话的部分截图:
虽然面临数据泄露的威胁,但依然有很多企业拒绝向黑客妥协。至于原因,一方面是考虑到支付赎金后可能会变相激起黑客再次攻击的热情,另一方面则是勒索赎金所需费用过于高昂。
下图是黑客“信守承诺”公布受害者重要数据的页面:
误区三:治毒还需“民间偏方”,“重装”上阵所向披靡?
不知何时起,“何以解忧,唯有重装”的信条,成了一些“技术帝”的座右铭。他们“单纯”的认为无论中了多么了不得的病毒,只要重装系统就可以高枕无忧。但从应急响应的实践经验来看,如果没有排查出中“毒”的具体原因,并将“敞开的大门”关上,二次中招只是时间早晚的问题。
下面就梳理了三种最常见的情形:
1、国内普遍存在的情况是由于开启远程桌面,设置了弱口令导致被黑客攻陷。若不修改口令,不管重装多少次,这个“漏洞”都会“爆雷”。
2、某软件或某版本的软件存在后门/漏洞,那么受害者重装后再次部署该软件,就等于机器上的后门/漏洞依旧存在。
3、近两年比较热门的U盘蠕虫下发勒索病毒,若只是重装系统,不处理带有蠕虫的U盘,再次中招概率依然居高不下。
误区四:一朝“蛇咬”终身无惧,勒索病毒不“铲”自除?
除了误以为“解千愁”的重装系统,还有很多受害者潜意识的认为,勒索病毒“一次中毒,终身免疫”,轻信闪电不会击中同一个位置两次。但从网络攻防的实践经验来看,闪电虽然不一定会击中同一个位置两次,但黑客入侵同一个目标两次(或更多次),却是常态。
正如前一点中强调的那样,如不能及时查缺补漏,即便重装系统,黑客依然可以驾轻就熟地再次进入目标机器。甚至不排除,黑客在公司网络某个节点留下后门,持续关注受害者动态的可能。
在Maze勒索病毒传播团队的官方新闻中,就明确指出该家族会一直关注他们的“受害者”,甚至持续窃取受害者数据。
勒索“撕票”皆不惧
防治勒索病毒有高招
打破对勒索病毒的认知误区,更要知道如何高效地应对勒索病毒,下面360安全大脑基于自身全视海量安全大数据、全球顶级安全专家、全面独有攻防知识,详解如何发现中“毒”,并快速响应予以后续防护。
一、发现勒索病毒“中招”的正确处理流程
1、发现中毒机器应立即断开网络连接,关闭计算机,其中断开网络可阻止勒索病毒内网横向传播,关闭计算机可及时阻止勒索病毒继续加密文件。
2、联系安全厂商,对内部网络进行排查处理。
3、由于无法确定黑客掌握多少内部机器口令,发现中招后第一时间更换公司内部所有机器口令。
二、防止勒索病毒“中招”的后续防护
针对服务器的勒索病毒攻击,依然是当下勒索病毒经营团伙的主要方向,也就是说企业亟需加强自身信息安全管理能力,尤其是对弱口令、漏洞、文件共享和远程桌面等部分的管理。
针对勒索病毒威胁,360安全大脑针对企业网络管理给出如下建议:
1、多台机器,不要使用相同的账号和口令;
2、登录口令要有足够的长度和复杂性,并定期更换登录口令;
3、重要资料的共享文件夹应设置访问权限控制,并进行定期备份;
4、定期检测系统和软件中的安全漏洞,及时打上补丁;
5、定期到服务器检查是否存在异常。查看范围包括:
(1)是否有新增账户
(2)Guest是否被启用
(3)Windows系统日志是否存在异常
(4)杀毒软件是否存在异常拦截情况
6、安装安全防护软件,并确保其正常运行;
7、从正规渠道下载安装软件;
8、对不熟悉的软件,如已被杀毒软件拦截查杀,不要添加信任继续运行。
最后,针对越发猖獗的勒索病毒威胁,360安全大脑不建议广大企业、个人用户向黑客支付赎金,支付赎金不仅变相鼓励了不法黑客的勒索攻击行为,且解密过程还可能带来新的安全风险。
为多维抵御各类勒索病毒攻击,360安全大脑已采取了多项防治措施。截止2019年11月,在360安全大脑强势赋能下,360解密大师作为全球规模最大、最有效的勒索病毒解密工具,累计支持解密勒索病毒超过320种,服务用户机器超26000台,解密文件近8500万次,挽回损失超5.47亿元。
如有用户不慎中招,可前往lesuobingdu.360.cn确认所中勒索病毒类型,并通过360安全卫士 “功能大全”窗口,搜索安装“360解密大师”,点击“立即扫描”恢复被加密文件。
来源 360安全卫士
|
|
|
|
评论
直达楼层