勒索病毒是一種極具傳播性�、破壞性的惡意軟件,主要利用多種密碼算法加密用戶數(shù)據(jù)�,恐嚇、脅迫����、勒索用戶高額贖金���。本月���,破壞性勒索事件依舊高發(fā),勒索攻擊形勢嚴峻���,企業(yè)被勒索病毒攻擊的事件層出不窮�����。
從受害者所在地域分布來看��,經(jīng)濟發(fā)達地區(qū)仍是被攻擊的主要對象��,與前幾個月采集到的數(shù)據(jù)相比���,總體無較大波動���。
從行業(yè)劃分來看,數(shù)據(jù)價值較高的教育����、互聯(lián)網(wǎng)、醫(yī)療����、制造業(yè)遭受的攻擊較為嚴重。
下圖是美創(chuàng)第59號實驗室對勒索病毒監(jiān)測后所計算出的8月份勒索病毒家族流行度占比分布圖�。Phobos家族占比17%居首位,TellYouThePass家族占比16%位居第二�����,LockBit家族以13%位居第三����,均為過往的流行家族。
下圖為勒索病毒傳播的各種方式的占比情況����。根據(jù)統(tǒng)計可以看出,勒索病毒的主要攻擊方式依然以遠程桌面入侵為主,其次利用網(wǎng)站掛馬和高危漏洞等方式傳播����,整體攻擊方式呈現(xiàn)多元化的特征。
Phobos勒索軟件從2019年開始在全球流行����,并一直保持著很高的活躍度,并常年占據(jù)勒索病毒榜單前三�,其不斷推出新變種����,并頻繁通過RDP暴破、釣魚郵件等方式對企業(yè)單位及個人用戶進行攻擊�,使受害者遭受數(shù)據(jù)財產(chǎn)的嚴重損失,影響十分惡劣��。
Tellyouthepass勒索病毒最早于2019年3月出現(xiàn)��。Tellyouthepass勒索家族慣于在高危漏洞被披露后的短時間內利用漏洞修補的時間差��,對暴露于網(wǎng)絡上并存在有漏洞的機器發(fā)起攻擊�。其曾經(jīng)使用過的代表性漏洞有:“永恒之藍”系列漏洞、WebLogic應用漏洞��、Log4j2漏洞、用友OA漏洞���、暢捷通漏洞等�。
LockBit勒索病毒出現(xiàn)于2019年末��,并于2021年6月推出了LockBit 2.0版本�。2.0版本引入了卷影復制和日志文件刪除等新功能,使受害者更難恢復�����。2022年6月�����,LockBit勒索病毒家族再次完成升級�����,并于2022年7月推出LockBit3.0正式版本��。最新版的病毒主要在免殺方式又做了更進一步的加強�����,持續(xù)優(yōu)化了安全軟件的對抗能力。
浙江某企業(yè)遭BeijingCrypt勒索家族攻擊
來自浙江的一家企業(yè)近日受到了勒索病毒的攻擊�����,企業(yè)內的一臺數(shù)據(jù)庫服務器中招����,服務器中的重要數(shù)據(jù)被篡改為“.360”后綴,一時之間業(yè)務都被擱置�����。通過對被加密樣本的分析檢測����,可判斷此次攻擊的病毒為BeijingCrypt勒索家族旗下的病毒變種����。該企業(yè)在發(fā)現(xiàn)攻擊后,立即采取措施加以遏制��。
1.BeijingCrypt勒索病毒的攻擊目標依然是Windows服務器�����。當BeijingCrypt勒索病毒成功入侵服務器之后,會將服務器作為僵尸機�,然后對網(wǎng)絡中存在漏洞的其它計算機進行掃描并嘗試入侵。2.BeijingCrypt在完成數(shù)據(jù)加密后�,會顯示一個勒索信息,要求用戶支付一定數(shù)量的加密貨幣才能恢復文件����。國內某企業(yè)遭到Lockbit 3.0勒索病毒攻擊
國內某企業(yè)遭到勒索病毒攻擊,感染了1臺服務器���,系統(tǒng)中的重要文件都被加密����,并且無法正常打開����,影響了部分業(yè)務的運行。根據(jù)對被加密樣本的分析��,可以確定此次攻擊的病毒為Lockbit 3.0勒索病毒�。Lockbit 3.0在執(zhí)行加密時,使用了AES-256和RSA-2048兩種加密算法來加密服務器上的重要文件�����,后綴由隨機的字母+數(shù)字組成。加密完成后�����,會在每個目錄下生成勒索信息文件�����,提示受害者如何繳納贖金獲取解密工具�����。
在線點評:
1.LockBit勒索軟件團伙自 2019 年 9 月推出勒索軟件即服務 (RaaS) 模式以來一直十分活躍��,并在各大俄語黑客論壇招募威脅行為者進行破壞和攻擊�����,并為他們提供技術支持�。
2.隨著LockBit病毒3.0版本的發(fā)布�,該行動引入了勒索軟件團伙提供的第一個漏洞賞金計劃,要求安全研究人員提交漏洞報告以換取獎勵���。
位于山東省的某企業(yè)稱其遭到Mallox勒索病毒攻擊��。在攻擊期間���,勒索軟件操縱者設法獲得對內部域管理的控制權后����,在服務器上安裝了Mallox勒索軟件�����,然后對目標文件進行加密并將其擴展名更改為“.xollam”�����,使得用戶無法再正常打開這些文件���。同時����,Mallox勒索病毒還留下了文件名為“FILE RECOVERY.txt”的贖金票據(jù)����。
在線點評:
1.Mallox勒索病毒傳播渠道有多個,包括匿隱僵尸網(wǎng)絡�、橫向滲透以及數(shù)據(jù)庫弱口令爆破����。
2.Mallox勒索病毒運行后迅速加密數(shù)據(jù)庫文件�����,導致文件不可用�,影響業(yè)務運行,同時還會嘗試在內網(wǎng)中橫向移動���,獲取更多設備的權限并進一步擴散��。勒索軟件具有強破壞性�����。一旦運行起來�����,用戶很快就會發(fā)現(xiàn)其特征,如部分進程突然結束�����、文件不能打開、文件后綴被篡改����、屏保壁紙被更換等。當我們已經(jīng)確認感染勒索病毒后���,應當及時采取必要的自救措施����。之所以要進行自救����,主要是因為:等待專業(yè)人員的救助往往需要一定的時間,采取必要的自救措施����,可以減少等待過程中,損失的進一步擴大��。
(一)隔離中招主機
當確認服務器已經(jīng)被感染勒索病毒后��,應立即隔離被感染主機�,防止病毒繼續(xù)感染其他服務器,造成無法估計的損失。隔離主要包括物理隔離和訪問控制兩種手段�����,物理隔離主要為斷網(wǎng)或斷電����;訪問控制主要是指對訪問網(wǎng)絡資源的權限進行嚴格的認證和控制。物理隔離常用的操作方法是斷網(wǎng)和關機����。斷網(wǎng)主要操作步驟包括:拔掉網(wǎng)線、禁用網(wǎng)卡�,如果是筆記本電腦還需關閉無線網(wǎng)絡。加策略防止其他主機接入����,關閉感染主機開放端口如 445、135��、139�、3389 等。修改感染主機及同局域網(wǎng)下所有主機密碼����,密碼采用大小寫字母、數(shù)字、特殊符號混合的長密碼�。
(二)排查業(yè)務系統(tǒng)
在已經(jīng)隔離被感染主機后���,應對局域網(wǎng)內的其他機器進行排查�����,檢查核心業(yè)務系統(tǒng)是否受到影響�����,生產(chǎn)線是否受到影響����,并檢查備份系統(tǒng)是否被加密等���,以確定感染的范圍�����。
(三)聯(lián)系專業(yè)人員
在應急自救處置后�����,建議第一時間聯(lián)系專業(yè)的技術人士或安全從業(yè)者����,對事件的感染時間、傳播方式���、感染家族等問題進行排查��。
面對嚴峻的勒索病毒威脅態(tài)勢����,美創(chuàng)第59號實驗室提醒廣大用戶���,勒索病毒以防為主��,注意日常防范措施�����,以盡可能免受勒索病毒感染:
① 及時給辦公終端和服務器打補丁����,修復漏洞�����,包括操作系統(tǒng)以及第三方應用的補丁,防止攻擊者通過漏洞入侵系統(tǒng)��。
② 盡量關閉不必要的端口����,如139�����、445�����、3389等端口��。如果不使用�,可直接關閉高危端口,降低被漏洞攻擊的風險���。
③ 不對外提供服務的設備不要暴露于公網(wǎng)之上�,對外提供服務的系統(tǒng)����,應保持較低權限��。
④ 企業(yè)用戶應采用高強度且無規(guī)律的密碼來登錄辦公系統(tǒng)或服務器�����,要求包括數(shù)字�����、大小寫字母�����、符號�,且長度至少為8位的密碼���,并定期更換口令�����。
⑤ 數(shù)據(jù)備份保護���,對關鍵數(shù)據(jù)和業(yè)務系統(tǒng)做備份��,如離線備份��,異地備份���,云備份等, 避免因為數(shù)據(jù)丟失����、被加密等造成業(yè)務停擺�����,甚至被迫向攻擊者妥協(xié)����。
⑥ 敏感數(shù)據(jù)隔離,對敏感業(yè)務及其相關數(shù)據(jù)做好網(wǎng)絡隔離�。避免雙重勒索病毒在入侵后輕易竊取到敏感數(shù)據(jù),對公司業(yè)務和機密信息造成重大威脅��。
⑦ 盡量關閉不必要的文件共享�����。
⑧ 提高安全運維人員職業(yè)素養(yǎng),定期進行木馬病毒查殺���。
⑨ 部署美創(chuàng)數(shù)據(jù)庫防火墻�����,可專門針對RushQL數(shù)據(jù)庫勒索病毒進行防護�����。
⑩ 安裝諾亞防勒索軟件�����,防御未知勒索病毒����。
為了更好地應對已知或未知勒索病毒的威脅����,美創(chuàng)通過對大量勒索病毒的分析,基于零信任�����、守白知黑原則,創(chuàng)造性地研究出針對勒索病毒的終端產(chǎn)品【諾亞防勒索系統(tǒng)】�。諾亞防勒索在不關心漏洞傳播方式的情況下,可防護任何已知或未知的勒索病毒���。以下為諾亞防勒索針對勒索病毒的防護效果�。
美創(chuàng)諾亞防勒索可通過服務端統(tǒng)一下發(fā)策略并更新����。默認策略可保護office文檔【如想保護數(shù)據(jù)庫文件可通過添加策略一鍵保護】。
無諾亞防勒索防護的情況下:
在test目錄下����,添加以下文件�����,若服務器中了勒索病毒�����,該文件被加密����,增加統(tǒng)一的異常后綴�,并且無法正常打開�����。
開啟諾亞防勒索的情況下:
雙擊執(zhí)行病毒文件����,當勒索病毒嘗試加密被保護文件,即test目錄下的文件時���,諾亞防勒索提出警告并攔截該行為��。
查看系統(tǒng)上被測試的文件����,可被正常打開�����,成功防護惡意軟件對被保護文件的加密行為�����。
開啟堡壘模式的情況下:
為保護系統(tǒng)全部文件,可一鍵開啟諾亞防勒索的堡壘模式��。堡壘模式主要針對亞終端�,例如ATM機,ATM機的終端基本不太會更新����,那么堡壘模式提供一種機制:任何開啟堡壘模式之后再進入終端的可執(zhí)行文件都將被阻止運行,從而實現(xiàn)諾亞防勒索的最強防護模式�。
運行在堡壘模式下,執(zhí)行該病毒��,立刻被移除到隔離區(qū)��,因此可阻止任何已知或未知勒索病毒的執(zhí)行�。
浙公網(wǎng)安備 33010502006954號 
