Contents
【瑞星】2018 勒索病毒全面分析报告
正文
【瑞星】2018 勒索病毒全面分析报告
http://it.rising.com.cn/fanglesuo/19459.html
其他相关文档
Lucky 双平台勒索者样本技术分析 – 原创: 企业安全华南基地 360威胁情报中心
(国内恶意软件作者对 Satan 的改造变种)
wechat_link
笔记
常见勒索病毒家族
1 WannaCry 家族:利用 “永恒之蓝” 漏洞传播,危害巨大
WannaCry 勒索病毒,最早出现在 2017 年 5 月,通过永恒之蓝漏洞传播,短时间内对整个互联网造成非常大的影响。受害者文件被加上 .WNCRY 后缀,并弹出勒索窗口,要求支付赎金,才可以解密文件。由于网络中仍存在不少未打补丁的机器,此病毒至今仍然有非常大的影响。
2 BadRabbit 家族:弱口令攻击,加密文件和MBR
Bad Rabbit 勒索病毒,主要通过水坑网站传播,攻击者攻陷网站,将勒索病毒植入,伪装为 Adobe 公司的 Flash 程序图标,诱导浏览网站的用户下载运行。用户一旦下载运行,勒索病毒就会加密受害者计算机中的文件,加密计算机的 MBR ,并且会使用弱口令攻击局域网中的其它机器。
3 GlobeImposter 家族:变种众多持续更新
GlobeImposter 勒索病毒是一种比较活跃的勒索病毒,病毒会加密本地磁盘与共享文件夹的所有文件,导致系统、数据库文件被加密破坏,由于 Globelmposter 采用 RSA 算法加密,因此想要解密文件需要作者的 RSA 私钥,文件加密后几乎无法解密,被加密文件后缀曾用过 Techno、DOC、CHAK、FREEMAN、TRUE、RESERVER、ALCO、Dragon444 等。
4 GandCrab 家族:使用达世币(DASH)勒索,更新频繁
Gandcrab 是首个以达世币(DASH)作为赎金的勒索病毒,此病毒自出现以来持续更新对抗查杀。被加密文件后缀通常被追加上 .CRAB .GDCB .KRAB 等后缀。从新版本勒索声明上看没有直接指明赎金类型及金额,而是要求受害用户使用 Tor 网络或者 Jabber 即时通讯软件获得下一步行动指令,极大地增加了追踪难度。
随着版本的不断更新,Gandcrab 的传播方式多种多样,包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。此病毒至今已出现多个版本,该家族普遍采用较为复杂的 RSA+AES 混合加密算法,文件加密后几乎无法解密,最近的几个版本为了提高加密速度,对文件加密的算法开始使用 Salsa20 算法,秘钥被非对称加密算法加密,若没有病毒作者的私钥,正常方式通常无法解密,给受害者造成了极大的损失。
5 Crysis 家族:加密文件,删除系统自带卷影备份
Crysis 勒索病毒家族是比较活跃的勒索家族之一。攻击者使用弱口令暴力破解受害者机器,很多公司都是同一个密码,就会导致大量机器中毒。此病毒运行后,加密受害者机器中的文件,删除系统自带的卷影备份,被加密文件后缀格式通常为“编号+邮箱+后缀”,例如:
id-{编号}.[gracey1c6rwhite@aol.com].bip
id-{编号}.[chivas@aolonline.top].arena
病毒使用 AES 加密文件,使用 RSA 加密密钥,在没有攻击者的 RSA 私钥的情况下,无法解密文件,因此危害较大。
6 Cerber 家族:通过垃圾邮件和挂马网页传播
Cerber 家族是 2016 年年初出现的一种勒索软件。从年初的 1.0 版本一直更新到 4.0 版。传播方式主要是垃圾邮件和 ExploitKit 挂马,索要赎金为 1-2 个比特币。到目前为止加密过后的文件没有公开办法进行解密。
7 Locky 家族:早期勒索病毒,持续更新多个版本
Locky 家族是 2016 年流行的勒索软件之一,和 Cerber 的传播方式类似,主要采用垃圾邮件和 ExploitKit 挂马,勒索赎金 0.5-1 个比特币。
8 Satan 家族:使用多种 web 漏洞和“永恒之蓝”漏洞传播
撒旦 Satan 勒索病毒运行之后加密受害者计算机文件并勒索赎金,被加密文件后缀为 .satan 。自诞生以来持续对抗查杀,新版本除了使用永恒之蓝漏洞攻击之外,还增加了其它漏洞攻击。病毒内置了大量的 IP 列表,中毒后会继续攻击他人。此病毒危害巨大,也给不打补丁的用户敲响了警钟。幸运的是此病毒使用对称加密算法加密,密钥硬编码在病毒程序和被加密文件中,因此可以解密。瑞星最早开发出了针对此病毒的解密工具。
9 Hc 家族:Python 开发,攻击门槛低,危害较大
Hc 家族勒索病毒使用 python 编写,之后使用 pyinstaller 打包。攻击者使用弱口令扫描互联网中机器植入病毒。此病毒的出现使勒索病毒的开发门槛进一步降低,但是危险指数并没有降低。通常使用 RDP 弱口令入侵受害机器植入病毒。早期版本使用对称加密算法,密钥硬编码在病毒文件中,新版本开始使用命令行传递密钥。
10 LockCrypt 家族:加密文件,开机提示勒索
LockCrypt 病毒运行后会加密受害者系统中的文件,并修改文件的名称格式为: [$FileID]=ID [$UserID].lock 。其中 $FileID 为原始文件名加密 base64 编码得到,$UserID 为随机数生成。重启后会弹出勒索信息,要求受害者支付赎金,才可解密文件。
勒索病毒传播方式
针对企业用户常见的攻击方式
1 伪装盗版软件
2 伪装游戏外挂
3 伪装播放器
……
针对企业用户常见的攻击方式
1 系统漏洞攻击
(主机漏洞)
2 远程访问弱口令攻击
常见被攻击对象
mysql
mongodb (加密数据库勒索)
redis
tomcat
jboss
weblogic
3 钓鱼邮件攻击
3.1 通过漏洞下载运行病毒 (ExploitKit) 钓鱼邮件附带恶意 PDF, 地址(浏览器溢出), Flash 漏洞 等
3.2 通过 office 机制下载运行病毒 (宏/DDE/OLE等)
3.3 伪装 office、PDF 图标的 exe 程序
4 web 服务漏洞和弱口令攻击
5 数据库漏洞和弱口令攻击
6 攻击者入侵后 人工投毒
ExploitKit 比较知名的有 Angler、Nuclear、Neutrino 和 RIG 等
Leave a Reply