勒索病毒發展至今,其勒索產業鏈已極其完善��,勒索病毒傳播快�����、范圍廣,已然成為了全球網絡安全最大的威脅����。本月����,破壞性勒索事件依舊高發����,勒索攻擊形勢嚴峻。
從受害者所在地域分布來看,經濟發達地區仍是被攻擊的主要對象�����,與前幾個月采集到的數據相比�����,總體無較大波動����。
從行業劃分來看,數據價值較高的教育��、醫療���、制造業、互聯網等行業一直是勒索病毒軟件攻擊的主要目標�����。
下圖是美創第59號實驗室對勒索病毒監測后所計算出的11月份勒索病毒家族流行度占比分布圖��。BeijingCrypt、Phobos�、Makop三大勒索病毒家族的受害者占比最多�����。
下圖為勒索病毒傳播的各種方式的占比情況。根據統計可以看出,勒索病毒的主要攻擊方式依然以遠程桌面入侵為主�����,其次利用網站掛馬和高危漏洞等方式傳播,整體攻擊方式呈現多元化的特征�����。
BeijingCrypt勒索家族最早出現于2020年7月初���,主要通過暴力破解遠程桌面口令后手動投毒��。該病毒早期傳播因修改文件后綴為“.beijing”而被命名為BeijingCrypt���,之后出現的變種會將被加密文件后綴修改為“520”��、“360”和“halo”等。攻擊者向受害者索要4500美元到5000美元不等的等價虛擬貨幣作為贖金����。
Phobos勒索軟件從2019年開始在全球流行��,并一直保持著很高的活躍度,并常年占據勒索病毒榜單前三��,其不斷推出新變種�����,并頻繁通過RDP暴破、釣魚郵件等方式對企業單位及個人用戶進行攻擊,使受害者遭受數據財產的嚴重損失���,影響十分惡劣。
Makop勒索病毒出現于2020年1月下旬,目前已知主要通過惡意郵件渠道傳播。Makop病毒加密的方式����,是通過本地生成一個隨機的AES BLOB��,使用RSA公鑰對其進行加密后放到被加密文件尾部,同時用上述隨機AES密碼對文件內容進行加密�����,全盤加密完成后對內存中使用到的隨機AES BLOB進行了清理��。
河南某企業遭受WIS勒索病毒攻擊���,此次攻擊事件導致多臺服務器遭到了破壞��,多個服務受到影響。據悉�,該企業服務器上的文件被加密鎖定�,文件名也被篡改為“.[[MyFile@waifu.club]].wis”后綴���,并且已無法正常打開�����。該企業內部人員表示��,已中斷了部分網絡進行隔離。
1.若企業內部不慎感染了勒索病毒,將有可能在短時間內造成大面積文件加密��,造成不可挽回的損失�。
2.企業需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理�����,以應對勒索病毒的威脅��。
位于廣東的某企業遭到勒索病毒攻擊,在攻擊期間,勒索軟件操控者設法獲得對內部服務器的控制權后下發勒索病毒文件,勒索病毒運行后迅速加密數據庫�、文檔等重要文件�����,并在文件名后添加“.[Encryptedd@mailfence.com].faust”后綴,導致文件不可用。通過后綴可確定該病毒為Phobos勒索病毒家族旗下的病毒變種。
1.Phobos勒索病毒還會持續感染被新放入中毒機器的文件����,故如果不幸感染了.Devos病毒����,請勿隨意使用存儲介質插入中毒機器中,否則存儲介質的文件將不可幸免地被加密。
2.Phobos勒索病毒在運行過程中會進行自復制����,并在注冊表添加自啟動項�����,如果沒有清除系統中殘留的病毒體,很可能會遭遇二次加密。
BeijingCrypt病毒針對安徽某企業發起攻擊位于安徽的某企業披露其內部服務器感染了勒索病毒,服務器中的文件已被加密,并確認感染了BeijingCrypt勒索病毒���。此次攻擊事件導致多臺服務器遭到了破壞,多個服務受到影響。據悉,該企業服務器上的文件被加密鎖定�,文件名也被篡改為“.halo”后綴����。
1.“.halo”病毒屬于BeijngCrypt勒索病毒家族2023年的變種�����。
2.BeijingCrypt勒索病毒的攻擊目標依然是Windows服務器。當BeijingCrypt勒索病毒成功入侵服務器之后�,會將服務器作為僵尸機����,然后對網絡中存在漏洞的其它計算機進行掃描并嘗試入侵�。
勒索軟件具有強破壞性。一旦運行起來�����,用戶很快就會發現其特征��,如部分進程突然結束�����、文件不能打開、文件后綴被篡改�、屏保壁紙被更換等�。當我們已經確認感染勒索病毒后�����,應當及時采取必要的自救措施����。之所以要進行自救�,主要是因為:等待專業人員的救助往往需要一定的時間,采取必要的自救措施��,可以減少等待過程中�����,損失的進一步擴大。
(一)隔離中招主機
當確認服務器已經被感染勒索病毒后�,應立即隔離被感染主機�,防止病毒繼續感染其他服務器�����,造成無法估計的損失��。隔離主要包括物理隔離和訪問控制兩種手段,物理隔離主要為斷網或斷電�����;訪問控制主要是指對訪問網絡資源的權限進行嚴格的認證和控制���。物理隔離常用的操作方法是斷網和關機�����。斷網主要操作步驟包括:拔掉網線����、禁用網卡,如果是筆記本電腦還需關閉無線網絡�。加策略防止其他主機接入���,關閉感染主機開放端口如 445�����、135、139�、3389 等�。修改感染主機及同局域網下所有主機密碼���,密碼采用大小寫字母�����、數字、特殊符號混合的長密碼���。
(二)排查業務系統
在已經隔離被感染主機后,應對局域網內的其他機器進行排查���,檢查核心業務系統是否受到影響,生產線是否受到影響,并檢查備份系統是否被加密等���,以確定感染的范圍。
(三)聯系專業人員
在應急自救處置后,建議第一時間聯系專業的技術人士或安全從業者,對事件的感染時間���、傳播方式、感染家族等問題進行排查。
面對嚴峻的勒索病毒威脅態勢����,美創第59號實驗室提醒廣大用戶�,勒索病毒以防為主�,注意日常防范措施,以盡可能免受勒索病毒感染:
① 及時給辦公終端和服務器打補丁,修復漏洞��,包括操作系統以及第三方應用的補丁�,防止攻擊者通過漏洞入侵系統。
② 盡量關閉不必要的端口,如139、445、3389等端口�����。如果不使用�����,可直接關閉高危端口�����,降低被漏洞攻擊的風險�����。
③ 不對外提供服務的設備不要暴露于公網之上����,對外提供服務的系統����,應保持較低權限。
④ 企業用戶應采用高強度且無規律的密碼來登錄辦公系統或服務器��,要求包括數字����、大小寫字母、符號����,且長度至少為8位的密碼���,并定期更換口令�。
⑤ 數據備份保護,對關鍵數據和業務系統做備份,如離線備份����,異地備份����,云備份等���, 避免因為數據丟失��、被加密等造成業務停擺,甚至被迫向攻擊者妥協�。
⑥ 敏感數據隔離����,對敏感業務及其相關數據做好網絡隔離�����。避免雙重勒索病毒在入侵后輕易竊取到敏感數據�����,對公司業務和機密信息造成重大威脅。
⑦ 盡量關閉不必要的文件共享�����。
⑧ 提高安全運維人員職業素養���,定期進行木馬病毒查殺�。
⑨ 部署美創數據庫防火墻,可專門針對RushQL數據庫勒索病毒進行防護��。
⑩ 安裝諾亞防勒索軟件���,防御未知勒索病毒�����。
為了更好地應對已知或未知勒索病毒的威脅��,美創通過對大量勒索病毒的分析���,基于零信任�����、守白知黑原則��,創造性地研究出針對勒索病毒的終端產品【諾亞防勒索系統】。諾亞防勒索在不關心漏洞傳播方式的情況下,可防護任何已知或未知的勒索病毒����。以下為諾亞防勒索針對勒索病毒的防護效果����。
美創諾亞防勒索可通過服務端統一下發策略并更新��。默認策略可保護office文檔【如想保護數據庫文件可通過添加策略一鍵保護】�����。
無諾亞防勒索防護的情況下:
在test目錄下,添加以下文件����,若服務器中了勒索病毒�,該文件被加密�,增加統一的異常后綴,并且無法正常打開�����。
開啟諾亞防勒索的情況下:
雙擊執行病毒文件�,當勒索病毒嘗試加密被保護文件�����,即test目錄下的文件時���,諾亞防勒索提出警告并攔截該行為�����。
查看系統上被測試的文件�����,可被正常打開,成功防護惡意軟件對被保護文件的加密行為�����。
開啟堡壘模式的情況下:
為保護系統全部文件��,可一鍵開啟諾亞防勒索的堡壘模式���。堡壘模式主要針對亞終端���,例如ATM機��,ATM機的終端基本不太會更新,那么堡壘模式提供一種機制:任何開啟堡壘模式之后再進入終端的可執行文件都將被阻止運行,從而實現諾亞防勒索的最強防護模式。
運行在堡壘模式下����,執行該病毒����,立刻被移除到隔離區���,因此可阻止任何已知或未知勒索病毒的執行�����。
浙公網安備 33010502006954號 
