勒索病毒
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
传播途径
勒索病毒勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来, 勒索病毒利用本地的互联访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥,利用公钥对文 件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置 生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软都具有免疫性。攻击的样本以 exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难 度。
应对方案
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在 运行的过程中的行为主要包含以下几个方面:
1、通过脚本文件进行Http请求; 2、通过脚本文件下载文件; 3、读取远程服务器文件; 4、收集计算机信息; 5、遍历文件; 6、调用加密算法库。 为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手: 1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击; 2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
勒索病毒
新型的电脑病毒
01 传播途径
03 病毒规律
目录
02 攻击对象 04 病毒分析
目录
05 样本运行流程
07 相关事件
06 应对方案
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、页挂马的形式进行传播。该病毒性质恶劣、危害 极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法 解密,必须拿到解密的私钥才有可能破解。
该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。
病毒分析
一般勒索病毒,运行流程复杂,且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载 体的关键行为:
1、调用加密算法库; 2、通过脚本文件进行Http请求; 3、通过脚本文件下载文件; 4、读取远程服务器文件; 5、通过wscript执行文件; 6、收集计算机信息; 7、遍历文件。
样本运行流程
该样本主要特点是通过自身的解密函数解密回连服务器,通过HTTP GET请求访问加密数据,保存加密数据到 TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数 据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联下载 密钥即可实现对文件加密。
相关事件
2017年5月12日,一种名为“想哭”的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门、医疗 服务、公共交通、邮政、通信和汽车制造业。
2017年6月27日,欧洲、北美地区多个国家遭到“NotPetya”病毒攻击。乌克兰受害严重,其政府部门、国 有企业相继“中招”。
2017年10月24日,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的 地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。
勒索病毒2018年2月,多家互联安全企业截获了Mind Lost勒索病毒。
2018年2月,中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现,此次出现的勒索病毒正 是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名 为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方 式,使其获利更加容易方便。
病毒规律
该类型病毒的目标性强,主要以邮件为传播方式。
勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。 然后,将加密公钥写入到注册表中,遍历本地所有磁盘中的Office文档、图片等文件,对这些文件进行格式篡改 和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。
据“火绒威胁情报系统”监测和评估,从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击, 攻击次数高达1700万余次,且整体呈上升趋势。2017年12月13日,“勒索病毒”入选国家语言资源监测与研究中 心发布的“2017年度中国媒体十大新词语”。
2020年4月,勒索病毒“WannaRen”开始传播,大部分杀毒软件无法拦截。
2018年3月1日,有杀毒软件厂商表示,他们监测到了“麒麟2.1”的勒索病毒。
2018年3月,国家互联应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病 毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。
谢谢观看
通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少,但对于有收发邮件、页浏览 需求的企业而言,依旧会受到威胁。
此外,对于某些特别依赖U盘、记录仪办公的局域机构用户来说,外设则成为勒索病毒攻击的特殊途径。
攻击对象
勒索病毒一般分两种攻击对象,一部分针对企业用户(如xtbl,wallet),一部分针对所有用户。
据火绒监测,勒索病毒主要通过三种途径传播:漏洞、邮件和广告推广。
通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞,而政府、 企业、学校、医院等局域机构用户使用较多的恰恰是win7、xp等老旧系统,因此也成为病毒攻击的重灾区,病毒 可以通过漏洞在局域中无限传播。相反,win10系统因为强制更新,几乎不受漏洞攻击的影响。