勒索病毒是什麼?
勒索病毒,是一種新型電腦病毒,主要以郵件、程序***、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。
***的樣本以exe、js、wsf、vbe等類型爲主,勒索病毒文件進入本地後,就會自動運行,同時刪除勒索軟件樣本,以躲避查殺和分析。接下來,勒索病毒會利用本地的互聯網訪問權限連接至勒索者的C&C服務器,進而上傳本機信息並下載加密私鑰與公鑰,文件會被以AES+RSA4096位的算法加密。除了病毒開發者本人,其他人是幾乎不可能解密的。
加密完成後,還會修改壁紙,在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金,即必須支付勒索資金,才能拿到解密的私鑰,或者選擇丟失文件。勒索病毒變種類型非常快,對常規的殺毒軟件都具有免疫性。
據公開資料顯示,全球最早的勒索病毒雛形誕生於1989年,由Joseph Popp編寫,該***程序以“艾滋病信息引導盤”的形式進入系統。
中國大陸第一個勒索軟件——Redplus勒索***(Trojan/Win32.Pluder)出現在2006年,該***會隱藏用戶文檔和包裹文件,然後彈出窗口要求用戶將贖金匯入指定銀行賬號。
2019年勒索病毒事件
2019年應該是勒索病毒針對企業***爆發的一年,這一年全球各地彷彿都在被“勒索”,每天全球各地都有不同的政府、企業、組織機構被勒索病毒***的新聞被曝光,包括醫療信息,帳戶憑證,公司電子郵件和機密敏感的數據被盜。
下面我們來盤點部分2019年全球勒索病毒事件。
3月,在挪威,全球最大鋁製品生產商之一 Norsk Hydro遭遇勒索軟件LockerGoga***,全球整個網絡都宕機,影響所有的生產系統以及辦事處運營,公司被迫關閉多條自動化生產線,震盪全球鋁製品交易市場。
5月,中國某網約車平臺遭勒索軟件定向打擊,服務器核心數據慘遭加密,***者索要鉅額比特幣贖金,無奈之下向公安機關報警求助。
5月,美國佛羅里達州裏維埃拉,遭到勒索軟件***,各項市政工作停擺幾周,市政緊急會議決定支付60萬美元的贖金。
6月,全球最大飛機零件供應商ASCO,在比利時的工廠遭遇勒索病毒***,生產環境系統癱瘓,大約1000名工人停工,在德國、加拿大和美國的工廠也被迫停工。
10月,全球最大的助聽器製造商Demant,遭勒索軟件***,直接經濟損失高達9500萬美元。
10月,全球知名航運和電子商務巨頭Pitney Bowes遭受勒索軟件***,***者加密公司系統數據,破壞其在線服務系統,超九成財富全球500強合作企業受波及。
10月,法國最大商業電視臺M6 Group慘遭勒索軟件洗劫,公司電話、電子郵件、辦公及管理工具全部中斷,集體被迫“罷工”。
......
2019年五大勒索病毒
1 GandCrab勒索病毒
2018年GandCrab首次出現,經過5次版本迭代,波及羅納尼亞、巴西、印度等數十國家地區,全球累計超過150萬用戶受到感染。在很多人看來,GandCrab勒索病毒絕對是2019年最傳奇的角色。
今年6月,GandCrab勒索軟件團隊高調宣佈,僅一年半的時間裏,團隊已賺進超過20億美金,人均年入賬1.5億美金,所以決定停止更新這個惡意程序,風光隱退。
2 Sodinokibi勒索病毒
Sodinokibi又稱REvil勒索病毒,與GandCrab有着明顯的代碼重疊,因此很多人推測,GandCrab的部分成員不願收手,另起爐竈而運營的Sodinokibi。
Sodinokibi的部分變種會將受害者屏幕變成深藍色,並且以2500-5000美金不等的贖金全球撒網,在不到半年時間,該勒索病毒已非法獲利數百萬美元。
3 GlobeImposter勒索病毒
談起2019的勒索病毒,就必須要提到GlobeImposter。該勒索病毒又稱“十二生肖”病毒,因爲它攻入計算機內部後,會以“十二生肖英文名+4444”的文件後綴,對文件進行加密。而GlobeImposter自2017年5月首發至今,已經歷八個版本迭代,並且後綴也從“十二生肖”,變身希臘“十二主神”。
GlobeImposter病毒主要通過rdp遠程桌面弱口令進行***,去年山東10市不動產系統遭到它的***,今年國內又有多家企業、醫院等機構中招。
4 Stop勒索病毒
Stop勒索病毒,也被稱作djvu勒索病毒,是2019年最爲活躍的病毒家族之一。相比於動輒百萬、千萬美金的勒索軟件,Stop走薄利多銷的斂財路線,解密贖金需要980美元,並且72小時聯繫軟件作者還可享五折優惠。
該病毒主要利用***站點,通過僞裝成軟件破解工具或捆綁在激活軟件進行傳播,用戶中招率奇高。
5 Phobos勒索病毒
Phobos是一款非常棘手的勒索病毒,它採用RDP暴力破解+人工投放雙重方式傳播,並且可以輕鬆加密受害者PC上的每個文件,把它們全部變成無法打開的.phobos。
Phobos病毒可能與Dharma病毒(又名CrySis)屬於同一組織,並且該病毒在運行過程中會進行自複製,和在註冊表添加自啓動項,如果沒有把系統殘留的病毒體清理乾淨,很可能會遭遇二次加密。
預防勒索病毒措施
1、登錄口令儘量採用大小寫字母、數字、特殊符號混用的組合方式,並且保持口令由足夠的長度,同時添加限制登錄失敗次數的安全策略並定期更換登錄口令。
2、多臺機器不要使用相同或類似的登錄口令,以免出現"一臺淪陷,全網癱瘓"的慘狀。
3、及時修補系統漏洞,同時不要忽略各種常用服務的安全補丁。
4、關閉非必要的服務和端口如135、139、445、3389等高危端口。
5、嚴格控制共享文件夾權限,在需要共享數據的部分,儘可能的多采取雲協作的方式。
6、提高安全意識,不隨意點擊陌生鏈接、來源不明的郵件附件、陌生人通過即時通訊軟件發送的文件,在點擊或運行前進行安全掃描,儘量從安全可信的渠道下載和安裝軟件。
7、安裝專業的安全防護軟件並確保安全監控正常開啓並運行,及時對安全軟件進行更新。
8、業務數據一定要定期備份。對於重要、機密的文件數據甚至需要做容災備份處理,到達異地數據實時備份與恢復標準。
通過觀察勒索病毒***趨勢,它已經從廣泛而淺層的普通用戶,明顯轉向了中大型政企機構、行業組織。有安全報告表明,自2018年6月以來,全球針對To B的勒索***增加了363%。
同時,勒索病毒變種極快,傳播途徑增多,解密贖金也在瘋漲,這些特點導致殺毒軟件升級速度無法及時跟上病毒變種速度,解密工具無法有效應對被勒索後的數據解密,對企業、政府、單位來說,一旦感染勒索病毒,帶來的影響不可估量。
針對各種預防勒索病毒措施,不難總結出,數據備份纔是應對勒索病毒的最終有效手段,在發生勒索事件前定期或者實時備份重要的業務數據,在發生勒索事件後,快速恢復備份數據,拉起業務運行,無需放棄被加密數據,也無需支付勒索贖金。
雲祺針對勒索病毒的的應對措施
1 有效監測勒索病毒,源頭預防事件發生
自動檢查文件的合法性,當文件類型被修改或文件被加密時能夠及時發現,不會同步變化數據到備份服務器,從而有效防止勒索病毒再***。
2 按需靈活備份業務數據
雲祺虛擬機備份與恢復系統(Vinchin Backup & Recovery)提供靈活的備份模式和時間備份策略,在勒索病毒來臨前,按需設置備份任務,即可擁有有效備份數據。
3 驗證備份數據可用性,保證隨時可用
能在虛擬機感染勒索病毒後,將雲環境中數據及應用快速恢復至可用狀態,並可根據需求將備份數據快速恢復到之前的任意時間點。
4 實時備份實現RPO=0
雲祺容災備份系統(VINCHIN DR)支持實時備份,實時監控每一次 IO 變化,並通過增量方式記錄變化數據,無備份時間窗口,真正實現數據零丟失,備份恢復至被勒索病毒感染的前一刻,最小備份恢復力度可達毫秒級。
5 構建異地容災備份系統,本地異地雙重保護
雲祺數據解決方案可幫助用戶建設異地容災系統,異地備份系統與生產環境相互隔離,副本任務獨立,且不會對主備份產成影響。即使本地業務系統因勒索病毒導致業務暫時中斷,也可在異地拉起業務,實現業務接管。
在網絡安全威脅事件遞增、擴散、高發的現當下,不論選擇怎樣的方式進行預防、解決,提高網絡完全意識是第一步。沒有絕對安全的互聯網環境,但可以選擇儘量避免意外的發生、減少意外帶來的損失,相對的安全也變得越發可貴。
關於更多預防勒索病毒的數據解決方案可拔打雲祺客服熱線400-9955-698,或者官網(www.vinchin.com)瞭解詳情。