勒索病毒的攻擊對(duì)全世界所有企業(yè)和個(gè)人來(lái)說(shuō)都是一個(gè)巨大的危險(xiǎn)。勒索病毒通過(guò)攻擊被勒索者的網(wǎng)絡(luò),加密被勒索者的關(guān)鍵數(shù)據(jù)或敏感數(shù)據(jù),讓被勒索者無(wú)法解密獲取自己的數(shù)據(jù),之后網(wǎng)絡(luò)罪犯向這些被勒索者索要贖金,以換取加密數(shù)據(jù)。與此同時(shí),他們通過(guò)網(wǎng)絡(luò)出售這些數(shù)據(jù)來(lái)賺取二次利潤(rùn)。
云祺科技這里為大家總結(jié)了2020年十大勒索病毒,同時(shí)提供勒索病毒預(yù)防措施,以及被攻擊后的應(yīng)對(duì)措施。為數(shù)據(jù)安全預(yù)防做好準(zhǔn)備,知己知彼,才能百戰(zhàn)不殆。
2020年十大勒索病毒盤點(diǎn)
一 REvil Ransomware
REvil是一種文件加密病毒,一旦它滲入系統(tǒng),就會(huì)對(duì)所有文件進(jìn)行加密,并向受害者索取錢財(cái)。在贖金要求中,犯罪分子要求受害者通過(guò)比特幣支付贖金,如果受害者在一個(gè)特定的時(shí)間內(nèi)不支付贖金,贖金率則翻倍。
Grubman Shire Meiselas & Sacks the law corporation(格魯曼律師事務(wù)所)的數(shù)據(jù)泄漏是由惡意勒索軟件引起的。攻擊者竊取了知名客戶的數(shù)據(jù),并在暗網(wǎng)上分享了這些數(shù)據(jù)。
據(jù)報(bào)道,Drake(德雷克), Robert De Niro(羅伯特·德尼羅), Rod Stewart(羅德·斯圖爾特), Elton John(埃爾頓·約翰), Mariah Carey(瑪麗亞·凱莉)等明星的個(gè)人信息也可能是通過(guò)該勒索病毒攻擊獲得的。
此外,名人電腦文件的截圖也被泄露,比如 Madonna(麥當(dāng)娜)的巡演合同,或者Bruce Springsteen(布魯斯·斯普林斯。, Bette Midler(貝蒂·米德勒), Barbra Streisand、(芭芭拉·史翠珊)的文件。該勒索病毒在我們2020勒索病毒攻擊名單中排名第一。
二 Sodinokibi Ransomware
Sodinokibi勒索病毒是一種惡意勒索病毒,也被稱為Sodin。它于2019年9月通過(guò)使用Oracle Weblogic服務(wù)器上的zero-day漏洞傳播開(kāi)來(lái)。漏洞被修復(fù)后,它繼續(xù)通過(guò)遠(yuǎn)程桌面服務(wù)器和其他漏洞的軟件安裝程序傳播。
經(jīng)過(guò)深入分析,發(fā)現(xiàn)Sodinokibi與GandCrab關(guān)系密切,它們都有相似的密碼。同期,GandCrab的使用呈下降趨勢(shì),而Sodinokibi的使用呈上升趨勢(shì)。這一信息使分析人員認(rèn)為這兩種勒索軟件有很強(qiáng)的聯(lián)系。
三 Nemty Ransomware
與其他勒索病毒不同,Nemty勒索病毒的行為就像一個(gè)勒索軟件服務(wù)。當(dāng)它第一次出現(xiàn)時(shí),它經(jīng)常在俄羅斯盜版論壇網(wǎng)站上做廣告。從2019年夏天到2020年夏天一直處于活躍狀態(tài)。
在RaaS(勒索軟件服務(wù))積極服務(wù)期間,它的客戶端能夠訪問(wèn)一個(gè)門戶,該門戶允許他們創(chuàng)建一個(gè)特殊版本的Nemty。之后,客戶能夠以他們喜歡的方式傳播這些版本。
網(wǎng)絡(luò)釣魚(yú)郵件積極參與了這種惡意病毒的傳播。當(dāng)一臺(tái)被Nemty感染的計(jì)算機(jī)支付贖金時(shí),30%的付款轉(zhuǎn)移給Nemty開(kāi)發(fā)者,其余的轉(zhuǎn)移給客戶。
幾個(gè)月前,Nemty的開(kāi)發(fā)者宣布他們將不再提供勒索軟件服務(wù),但他們會(huì)自己使用。他們還強(qiáng)調(diào),如果客戶不在一周內(nèi)付款,文件將永遠(yuǎn)不會(huì)被保存。
四 Nephilim Ransomware
當(dāng)它首次出現(xiàn)時(shí),網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)Nephilim的資源代碼非常類似于Nempty,如果被勒索者不支付贖金,攻擊者就要公布敏感數(shù)據(jù)。
Nephilim的受害者通常是大型組織和公司。19年12月,攻擊者計(jì)劃利用他們?cè)贑itrix Gateway設(shè)備上發(fā)現(xiàn)的弱點(diǎn),攻擊政府機(jī)構(gòu)和公司。此外,他們還利用遠(yuǎn)程桌面網(wǎng)絡(luò)和VPN的漏洞對(duì)受害者的數(shù)據(jù)進(jìn)行攻擊加密。
在勒索信中,攻擊者強(qiáng)調(diào)這些數(shù)據(jù)已被軍事級(jí)別的算法加密,敏感數(shù)據(jù)已被攻破。為了證明他們的權(quán)威,Nephilim攻擊者從受害者那里獲取兩個(gè)加密文件,解密它們并將其發(fā)送給受害者,使受害者相信他們是唯一可以解密文件的人。
五 NetWalker Ransomware
Netwalker也被稱為Mailto,是Mailto的最新變種之一。政府機(jī)構(gòu)、醫(yī)療組織、企業(yè)、遠(yuǎn)程辦公者都是Netwalker的攻擊目標(biāo)。
NetWalker使用受害者的網(wǎng)絡(luò)加密所有Windows設(shè)備,根據(jù)網(wǎng)絡(luò)安全研究人員的分析,NetWalker采用兩種不同的方式進(jìn)行攻擊,一種是冠狀病毒釣魚(yú)郵件,一種是通過(guò)網(wǎng)絡(luò)傳播的可執(zhí)行文件。NetWalker是2020年勒索病毒盤點(diǎn)中最具破壞性的惡意病毒之一。
六 DoppelPaymer Ransomware
DoppelPaymer勒索病毒及其變種首次出現(xiàn)于2019年4月,于2019年6月瞄準(zhǔn)了第一批受害者。到目前為止,已經(jīng)發(fā)現(xiàn)了8種不同的變異病毒。
DoppelPaymer在加密了受害者的文件后給他們留了一張便條,該便條不僅包括贖金的數(shù)量,還包括一個(gè)鏈接,受害者通過(guò)TOR訪問(wèn)支付贖金。經(jīng)證實(shí),目前已有3名受害者,網(wǎng)絡(luò)犯罪分子共獲利142個(gè)比特幣,大約為120萬(wàn)美元。
七 Ryuk Ransomware
Ryuk是最活躍的勒索病毒之一。Ryuk使用其他惡意軟件感染目標(biāo)系統(tǒng),此外,它還可以訪問(wèn)EMCOR和遠(yuǎn)程桌面服務(wù)等系統(tǒng)。對(duì)于每個(gè)文件,它都使用獨(dú)特的軍事算法,如RSA和AES,它會(huì)阻止被勒索者訪問(wèn)系統(tǒng)或設(shè)備,直到贖金付清。
大型公司和政府機(jī)構(gòu)都是Ryuk的目標(biāo)。例如,總部位于美國(guó)的EMCOR公司,世界500強(qiáng),被Ryuk病毒攻擊導(dǎo)致EMCOR的一些IT系統(tǒng)停用。
八 Maze Ransomware
Maze勒索病毒之前被稱為“ChaCha勒索病毒”,由Jerome Segura于2019年5月29日發(fā)現(xiàn)。Maze是通過(guò)使用名為Fallout和Spelvo的攻擊工具發(fā)動(dòng)攻擊,竊取了敏感數(shù)據(jù),加密所有的文件,并要求贖金恢復(fù)。
它是世界上最危險(xiǎn)的病毒,因?yàn)槿绻H金要求得不到滿足,就會(huì)對(duì)公布數(shù)據(jù)。據(jù)稱Cognizant、Canon(佳能)、Xerox(施樂(lè))和一些醫(yī)療保健行業(yè)都是Maze勒索軟件的受害者。
九 CLOP Ransomware
據(jù)發(fā)現(xiàn),攻擊者利用CLOP勒索病毒攻擊世界各地的公司和組織。攻擊者使用釣魚(yú)方法來(lái)破壞敏感數(shù)據(jù),并將它們轉(zhuǎn)移到自己的服務(wù)器上。CLOP增加了“。clop "擴(kuò)展到每一個(gè)加密的文件,此外,它創(chuàng)建了一個(gè)“ClopReadMe”。txt文件。在這種勒索病毒中,RSA算法被用來(lái)加密數(shù)據(jù),而生成的密鑰保存在遠(yuǎn)程服務(wù)器中,由攻擊者控制。
如果贖金談判失敗,攻擊者就會(huì)在暗網(wǎng)一個(gè)名為CL0P - LEAKS的泄露網(wǎng)站上公布數(shù)據(jù)。此外,最新版本的CLOP能夠停用本地安全系統(tǒng),如Windows Defender和Microsoft security Essentials。CL0P還可以用特洛伊木馬或其他惡意軟件感染系統(tǒng)。
十 Tycoon Ransomware
Tycoon是最近發(fā)現(xiàn)的一種勒索病毒。許多教育行業(yè)和軟件企業(yè)都遭受過(guò)它的攻擊。Tycoon被添加到Java運(yùn)行時(shí)環(huán)境的木馬版本中,這也是第一次使用Java語(yǔ)言中JMAGE格式的個(gè)人化惡意JRE編譯。
自被發(fā)現(xiàn)以來(lái),Tycoon一直表現(xiàn)出一種激進(jìn)的策略。Tycoon感染受害者系統(tǒng),拒絕訪問(wèn)管理員,而是發(fā)動(dòng)另一個(gè)攻擊文件服務(wù)器和域控制器。弱密碼是Tycoon的一大特點(diǎn)。
如何避免勒索病毒攻擊?
- 登錄口令采用大小寫字母、數(shù)字、特殊符號(hào)混用的組合方式,使用足夠長(zhǎng)度的口令并定期更換。
- 及時(shí)修補(bǔ)系統(tǒng)漏洞,同時(shí)不要忽略各種常用服務(wù)的安全補(bǔ)丁。
- 關(guān)閉非必要的服務(wù)和端口如135、139、445、3389等高危端口。
- 嚴(yán)格控制共享文件夾權(quán)限,在需要共享數(shù)據(jù)的部分,盡可能的多采取云協(xié)作的方式。
- 提高安全意識(shí),不隨意點(diǎn)擊陌生鏈接、來(lái)源不明的郵件附件、陌生人通過(guò)即時(shí)通訊軟件發(fā)送的文件。
- 制定備份計(jì)劃。對(duì)于企業(yè)數(shù)據(jù)中心統(tǒng)一做數(shù)據(jù)保護(hù)系統(tǒng),制定備份計(jì)劃,保證擁有定期時(shí)間段的備份數(shù)據(jù)。
- 制定恢復(fù)計(jì)劃。制定勒索病毒發(fā)生預(yù)案,對(duì)在事故發(fā)生后的人員分工、備份數(shù)據(jù)恢復(fù)、業(yè)務(wù)運(yùn)行等進(jìn)行詳細(xì)安排,并定期進(jìn)行災(zāi)難恢復(fù)演練。
- 多種備份計(jì)劃。為了有效備份,甚至可以同時(shí)制定異地備份、云端備份、副本備份等多種備份計(jì)劃,多種備份數(shù)據(jù)更能萬(wàn)無(wú)一失。
- 拒絕支付贖金,安全專家認(rèn)為與其付錢給罪犯,不如用你的備份來(lái)恢復(fù)你的數(shù)據(jù)。
在勒索病毒攻擊后你應(yīng)該做什么?
被勒索病毒攻擊時(shí),你可以使用云祺備份軟件迅速獲取你的文件,而不需要支付贖金。
如果你是云祺備份軟件用戶,被勒索軟件攻擊時(shí),有4個(gè)步驟要遵循:
如果發(fā)現(xiàn)有勒索病毒感染,請(qǐng)關(guān)閉設(shè)備上的所有文件共享活動(dòng)。
找到被加密文件數(shù)據(jù),定位并評(píng)估病毒造成的損害范圍。
找到被加密數(shù)據(jù)所使用云祺備份軟件備份的最近備份點(diǎn)。
利用云祺備份軟件,瞬時(shí)恢復(fù)最近備份點(diǎn),啟動(dòng)業(yè)務(wù)并進(jìn)行數(shù)據(jù)驗(yàn)證。
通過(guò)對(duì)各種勒索事件分析,不難發(fā)現(xiàn),數(shù)據(jù)備份才是應(yīng)對(duì)勒索病毒的最佳選擇。在發(fā)生勒索事件前定期或者實(shí)時(shí)備份重要的業(yè)務(wù)數(shù)據(jù),在發(fā)生勒索事件后,快速恢復(fù)備份數(shù)據(jù),拉起業(yè)務(wù)運(yùn)行,無(wú)需支付勒索贖金也可快速恢復(fù)數(shù)據(jù)。