2019-9_勒索病毒应急措施及防护方案

Crysis
Crysis勒索病毒从2016年开始 具有勒索活动 ，加密文件完成 后通常会添加“ID+邮箱+指 定后缀”格式的扩展后缀，例 ：“id-编号 .[gracey1c6rwhite@aol.com ].bip”，该病毒通常使用弱口 令爆破的方式入侵企业服务器
Sodinokibi
Sodinokibi勒索病毒首次出现 于2019年4月底，由于之后 GandCrab停止运营事件，该 病毒紧跟其后将GandCrab勒 索家族的多个传播渠道纳入自 身手中。该病毒目前在国内主 要通过web相关漏洞和海量的 钓鱼邮件传播
Paradise
Paradise勒索病毒最早出现于 2018年7月，该病毒勒索弹窗样 式与Crysis极为相似，勒索病毒 加密文件完成后将修改文件名为 以下格式：[原文件名]_[随机字 符串]_{邮箱}.随机后缀，并留下 名为Instructions with your files.txt或 ###_INFO_you_FILE_###.txt 的勒索说明文档。
2019年5月29日，美国佛罗 里达州里维埃拉海滩警察局 因员工打开恶意电子邮件， 从而导致该市基础服务设施 遭受勒索软件加密。市政官 员于随后召开会议，批准动 用大约60万美元支付勒索赎 金。
2019上半年勒索病毒攻击态势
2019上半年，勒索病毒的感染量一直稳定，累计被攻击的计算机超过250万台，时间分布上以2019年1月份最为活跃，2 月到6月整体较为平稳，近期略有上升趋势。 2019上半年，勒索病毒的主要攻击方式依然以弱口令爆破攻击为主，其次 为通过海量的垃圾邮件传播，而利用高危漏洞、漏洞工具包主动传播的方式紧随其后，整体攻击方式呈现多元化的特征。
应急措施及防护方案
目 录
CONTENTS
2019上半年勒索病毒攻击态势 勒索病毒产业链 病毒勒索五大形式 常见的勒索病毒 勒索病毒攻击手段 勒索病毒中毒特征 勒索病毒自救措施 加强管理制度建设预防勒索病毒 勒索病毒立体防护解决方案 勒索病毒立体防护方案用户收益
2019上半年Fra Baidu bibliotek索病毒攻击态势
勒索病毒已经成为一类最臭名昭著的计算机病毒，近年来对用户造成了不估量的损失。勒索病 毒对用户造成的资金损失甚至远超当年的“熊猫烧香”、”CHI”等病毒
勒索病毒产业链
缴纳较高赎金
合作分成
分成
制作 勒索病毒作者
勒索者 传播
传播
勒索病毒 攻击
合作分成 传播渠道商
中毒受害者
缴纳较低赎金
解密代理
病毒勒索五大形式
1. 数据加密勒索
✓这种方式是当前受 害群体最多、社会 影响最广，勒索犯 罪中最为活跃的表 现形式，该方式通 过加密用户系统内 的重要资料文档， 数据，再结合虚拟 货币实施完整的犯 罪流程。以 GandCrab为代表的 勒索集团当属该类 勒索产业中的佼佼 者 ， 非 法 敛 财 20 亿 美元
2019 年 ， GandCrab 勒 索 病 毒运营团队宣称自己在一年 半的时间里获利20亿美元， 这一消息震惊全球，这个成 功案例也将大大刺激更多不 法分子继续经营勒索病毒业 务。
2019年5月26日，国内某打 车软件平台发布公告称其服 务器遭受连续攻击，服务器 内核心数据被加密，攻击者 索要巨额比特币。该公司严 厉谴责该不法行为，并向公 安机关报警。
2019 年 6 月 中 旬 ， 世 界 最 大 飞 机 零 件 供 应商之 一 ASCO 遭遇勒索病毒攻击，由于被 病毒攻击导致的生产环境系 统瘫痪，该公司将1400名工 人中大约1000人带薪休假， 同时停止了四个国家的工厂 生产。
2019 年 3 月 ， 世 界 最 大 的 铝 制品生产商挪威海德鲁公司 （Norsk Hydro）遭遇勒索 软件公司，随后该公司被迫 关闭几条自动化生产线。
常见的勒索病毒
GandCrab
GandCrab勒索病毒首次出现 于2018年1月，是国内首个使 用达世币（DASH）作为赎金 的勒索病毒，也是2019上半 年是最为活跃的病毒之一。 该病毒在国内擅长使用弱口 令爆破，挂马，垃圾邮件等 各种方式传播。
GlobeImposter
2017年5月，勒索病毒 Globelmposter首次在国内出 现。Globelmposter攻击手法 都极其丰富,通过垃圾邮件、社 交工程、渗透扫描、RDP爆破、 恶意程序捆绑等方式进行传播, 由于Globelmposter采用 RSA+AES算法加密,目前该勒索 样本加密的文件暂无解密工具。
WananCry
WannaCry于2017年5月12日 在全球范围大爆发，引爆了互 联网行业的“生化危机”。借 助“永恒之蓝”高危漏洞传播 的WannaCry在短时间内影响 近150个国家，致使多个国家 政府、教育、医院、能源、通 信、交通、制造等诸多关键信 息基础设施遭受前所未有的破 坏
Stop
Stop勒索病毒家族在国内主 要通过软件捆绑、垃圾邮件 等方式进行传播，加密时通 常需要下载其它病毒辅助工 作模块。Stop勒索病毒会留 下名为_readme.txt的勒索说 明文档，勒索980美元，并声 称72小时内联系病毒作者将 获得50%费用减免
2. 系统锁定勒索
✓该形式勒索与数据 加密勒索有着极大 的相似性。这种方 式的攻击重点不是 针对磁盘文件，而 是通过修改系统引 导区，篡改系统开 机密码等手段将用 户系统锁定，导致 用户无法正常登录 到系统。通过该模 式实施的勒索在电 脑和安卓手机系统 也较为常见。
3. 数据泄漏勒索
✓该类型勒索通常情 况针对企业实施， 黑客通过入侵拿到 企业内相关机密数 据，随后敲诈企业 支付一定金额的赎 金，黑客收到赎金 后称会销毁数据， 否则将进入撕票流 程，在指定时间将 企业机密数据公开 发布，以此要挟企 业支付酬金。
4. 诈骗恐吓式勒索
✓此类型勒索与企业 数据泄露造成的勒 索有着相似点，针 对个人用户隐私发 起攻击。不同点为 攻击者手中根本没 有隐私数据，他们 通过伪造、拼接与 隐私有关的图片、 视频、文档等等恐 吓目标实施诈骗勒 索。
5. 掩盖入侵真相
✓在部分涉及各行业 重要数据，各国家 机密数据的染毒场 景中，部分黑客组 织在实施APT攻击之 后，为消除痕迹， 会进一步投递破坏 性的勒索病毒，将 用户资料加密，勒 索病毒的加密机制 ，让这些攻击行动 变得较为常见，从 而有利于黑客组织 掩盖真实攻击意图 。