勒索病毒是一種極具傳播性、破壞性的惡意軟件,主要利用多種密碼算法加密用戶數據,恐嚇、脅迫、勒索用戶高額贖金。本月,破壞性勒索事件依舊高發,勒索攻擊形勢嚴峻,企業被勒索病毒攻擊的事件層出不窮。
從受害者所在地域分布來看,經濟發達地區仍是被攻擊的主要對象,與前幾個月采集到的數據相比,總體無較大波動。
從行業劃分來看,數據價值較高的教育、互聯網、醫療、制造業遭受的攻擊較為嚴重。
下圖是美創第59號實驗室對勒索病毒監測后所計算出的8月份勒索病毒家族流行度占比分布圖。Phobos家族占比17%居首位,TellYouThePass家族占比16%位居第二,LockBit家族以13%位居第三,均為過往的流行家族。
下圖為勒索病毒傳播的各種方式的占比情況。根據統計可以看出,勒索病毒的主要攻擊方式依然以遠程桌面入侵為主,其次利用網站掛馬和高危漏洞等方式傳播,整體攻擊方式呈現多元化的特征。
Phobos勒索軟件從2019年開始在全球流行,并一直保持著很高的活躍度,并常年占據勒索病毒榜單前三,其不斷推出新變種,并頻繁通過RDP暴破、釣魚郵件等方式對企業單位及個人用戶進行攻擊,使受害者遭受數據財產的嚴重損失,影響十分惡劣。
Tellyouthepass勒索病毒最早于2019年3月出現。Tellyouthepass勒索家族慣于在高危漏洞被披露后的短時間內利用漏洞修補的時間差,對暴露于網絡上并存在有漏洞的機器發起攻擊。其曾經使用過的代表性漏洞有:“永恒之藍”系列漏洞、WebLogic應用漏洞、Log4j2漏洞、用友OA漏洞、暢捷通漏洞等。
LockBit勒索病毒出現于2019年末,并于2021年6月推出了LockBit 2.0版本。2.0版本引入了卷影復制和日志文件刪除等新功能,使受害者更難恢復。2022年6月,LockBit勒索病毒家族再次完成升級,并于2022年7月推出LockBit3.0正式版本。最新版的病毒主要在免殺方式又做了更進一步的加強,持續優化了安全軟件的對抗能力。
來自浙江的一家企業近日受到了勒索病毒的攻擊,企業內的一臺數據庫服務器中招,服務器中的重要數據被篡改為“.360”后綴,一時之間業務都被擱置。通過對被加密樣本的分析檢測,可判斷此次攻擊的病毒為BeijingCrypt勒索家族旗下的病毒變種。該企業在發現攻擊后,立即采取措施加以遏制。
1.BeijingCrypt勒索病毒的攻擊目標依然是Windows服務器。當BeijingCrypt勒索病毒成功入侵服務器之后,會將服務器作為僵尸機,然后對網絡中存在漏洞的其它計算機進行掃描并嘗試入侵。2.BeijingCrypt在完成數據加密后,會顯示一個勒索信息,要求用戶支付一定數量的加密貨幣才能恢復文件。
國內某企業遭到勒索病毒攻擊,感染了1臺服務器,系統中的重要文件都被加密,并且無法正常打開,影響了部分業務的運行。根據對被加密樣本的分析,可以確定此次攻擊的病毒為Lockbit 3.0勒索病毒。Lockbit 3.0在執行加密時,使用了AES-256和RSA-2048兩種加密算法來加密服務器上的重要文件,后綴由隨機的字母+數字組成。加密完成后,會在每個目錄下生成勒索信息文件,提示受害者如何繳納贖金獲取解密工具。
在線點評:
1.LockBit勒索軟件團伙自 2019 年 9 月推出勒索軟件即服務 (RaaS) 模式以來一直十分活躍,并在各大俄語黑客論壇招募威脅行為者進行破壞和攻擊,并為他們提供技術支持。
2.隨著LockBit病毒3.0版本的發布,該行動引入了勒索軟件團伙提供的第一個漏洞賞金計劃,要求安全研究人員提交漏洞報告以換取獎勵。
位于山東省的某企業稱其遭到Mallox勒索病毒攻擊。在攻擊期間,勒索軟件操縱者設法獲得對內部域管理的控制權后,在服務器上安裝了Mallox勒索軟件,然后對目標文件進行加密并將其擴展名更改為“.xollam”,使得用戶無法再正常打開這些文件。同時,Mallox勒索病毒還留下了文件名為“FILE RECOVERY.txt”的贖金票據。
在線點評:
1.Mallox勒索病毒傳播渠道有多個,包括匿隱僵尸網絡、橫向滲透以及數據庫弱口令爆破。
2.Mallox勒索病毒運行后迅速加密數據庫文件,導致文件不可用,影響業務運行,同時還會嘗試在內網中橫向移動,獲取更多設備的權限并進一步擴散。勒索軟件具有強破壞性。一旦運行起來,用戶很快就會發現其特征,如部分進程突然結束、文件不能打開、文件后綴被篡改、屏保壁紙被更換等。當我們已經確認感染勒索病毒后,應當及時采取必要的自救措施。之所以要進行自救,主要是因為:等待專業人員的救助往往需要一定的時間,采取必要的自救措施,可以減少等待過程中,損失的進一步擴大。
(一)隔離中招主機
當確認服務器已經被感染勒索病毒后,應立即隔離被感染主機,防止病毒繼續感染其他服務器,造成無法估計的損失。隔離主要包括物理隔離和訪問控制兩種手段,物理隔離主要為斷網或斷電;訪問控制主要是指對訪問網絡資源的權限進行嚴格的認證和控制。物理隔離常用的操作方法是斷網和關機。斷網主要操作步驟包括:拔掉網線、禁用網卡,如果是筆記本電腦還需關閉無線網絡。加策略防止其他主機接入,關閉感染主機開放端口如 445、135、139、3389 等。修改感染主機及同局域網下所有主機密碼,密碼采用大小寫字母、數字、特殊符號混合的長密碼。
(二)排查業務系統
在已經隔離被感染主機后,應對局域網內的其他機器進行排查,檢查核心業務系統是否受到影響,生產線是否受到影響,并檢查備份系統是否被加密等,以確定感染的范圍。
(三)聯系專業人員
在應急自救處置后,建議第一時間聯系專業的技術人士或安全從業者,對事件的感染時間、傳播方式、感染家族等問題進行排查。
面對嚴峻的勒索病毒威脅態勢,美創第59號實驗室提醒廣大用戶,勒索病毒以防為主,注意日常防范措施,以盡可能免受勒索病毒感染:
① 及時給辦公終端和服務器打補丁,修復漏洞,包括操作系統以及第三方應用的補丁,防止攻擊者通過漏洞入侵系統。
② 盡量關閉不必要的端口,如139、445、3389等端口。如果不使用,可直接關閉高危端口,降低被漏洞攻擊的風險。
③ 不對外提供服務的設備不要暴露于公網之上,對外提供服務的系統,應保持較低權限。
④ 企業用戶應采用高強度且無規律的密碼來登錄辦公系統或服務器,要求包括數字、大小寫字母、符號,且長度至少為8位的密碼,并定期更換口令。
⑤ 數據備份保護,對關鍵數據和業務系統做備份,如離線備份,異地備份,云備份等, 避免因為數據丟失、被加密等造成業務停擺,甚至被迫向攻擊者妥協。
⑥ 敏感數據隔離,對敏感業務及其相關數據做好網絡隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數據,對公司業務和機密信息造成重大威脅。
⑦ 盡量關閉不必要的文件共享。
⑧ 提高安全運維人員職業素養,定期進行木馬病毒查殺。
⑨ 部署美創數據庫防火墻,可專門針對RushQL數據庫勒索病毒進行防護。
⑩ 安裝諾亞防勒索軟件,防御未知勒索病毒。
為了更好地應對已知或未知勒索病毒的威脅,美創通過對大量勒索病毒的分析,基于零信任、守白知黑原則,創造性地研究出針對勒索病毒的終端產品【諾亞防勒索系統】。諾亞防勒索在不關心漏洞傳播方式的情況下,可防護任何已知或未知的勒索病毒。以下為諾亞防勒索針對勒索病毒的防護效果。
美創諾亞防勒索可通過服務端統一下發策略并更新。默認策略可保護office文檔【如想保護數據庫文件可通過添加策略一鍵保護】。
無諾亞防勒索防護的情況下:
在test目錄下,添加以下文件,若服務器中了勒索病毒,該文件被加密,增加統一的異常后綴,并且無法正常打開。
開啟諾亞防勒索的情況下:
雙擊執行病毒文件,當勒索病毒嘗試加密被保護文件,即test目錄下的文件時,諾亞防勒索提出警告并攔截該行為。
查看系統上被測試的文件,可被正常打開,成功防護惡意軟件對被保護文件的加密行為。
開啟堡壘模式的情況下:
為保護系統全部文件,可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端,例如ATM機,ATM機的終端基本不太會更新,那么堡壘模式提供一種機制:任何開啟堡壘模式之后再進入終端的可執行文件都將被阻止運行,從而實現諾亞防勒索的最強防護模式。
運行在堡壘模式下,執行該病毒,立刻被移除到隔離區,因此可阻止任何已知或未知勒索病毒的執行。
浙公網安備 33010502006954號 
