勒索软件近年来一向是黑客安排牟取暴利的绝佳手法，也是开展最快的网络安全要挟之一。之前Wannacry、NotPeya全球肆掠、攻城掠地的现象，没有彻底消除。现在勒索软件进犯方针多元化、进犯手法杂乱化、解密数据难度大、危害影响难估计等，被称为安全业界最头疼的软件，也成为政府、企业、个人最为重视的安全危险之一，它简直成为与APT齐名的进犯类型。破财消灾，简直成了大都被勒索者不得已而为之的挑选。依据COVEWARE公司的陈述，2020年一季度，企业均匀赎金付出增加至111,605美元，比2019年第四季度增长了33%。现在勒索软件首要的进犯传达办法依然以RDP（长途桌面服务）和垂钓邮件为主。因为其变现办法更为粗犷直接，正被越来越多的网络“灰黑”产选用。品味过“勒索”带来的巨大且垂手可得的利益后，勒索软件的演化与开展愈加迅猛反常。

　　六合和兴总结整理的上半年工业企业10起典型进犯事情中，有7起是勒索进犯。2月，勒索进犯连累美国天然气管道公司，CISA未走漏勒索软件称号。勒索软件Nefilim进犯澳大利亚Toll集团；3月，勒索软件Ryuk进犯钢铁制造商EVRAZ公司及其北美分支组织，包含加拿大和美国的钢铁生产厂；4月，Ragnar Locker勒索软件突击了葡萄牙跨国动力公司EDP（Energias de Portugal），并且索要1580个比特币赎金（折合约1090万美元/990万欧元）；5月，勒索软件Nefilim突击了台湾石油、汽油和天然气公司CPC公司及其竞争对手台塑石化公司（FPCC）。还有未走漏称号的勒索软件进犯了瑞士铁路机车制造商Stadler；6月，勒索软件EKANS/Snake进犯了本田轿车制造商。

　　六合和兴工业网络安全研究院对所监测到的许多勒索软件进犯事情进行整理，注意到勒索进犯的方针正向石油、天燃气、动力、制造等要害根底设施职业开展。本文挑选10个典型的、比较活泼的勒索软件，经过扼要剖析其进犯的方针、途径、手法及首要特征，以此警示要害信息根底设施利益相关方，警钟常鸣，未雨绸缪。

　　Maze（迷宫）经过许多混杂代码来对立静态剖析，运用ChaCha20和RSA两种算法加密文件，被加密的文档在未得到密钥时暂无法解密。加密完成后对文件增加随机扩展后缀，并留下名为DECRYPT-FILES.html的勒索阐明文档，并修正桌面壁纸。值得一提的是，该病毒宣称，解密赎金额度取决于被感染电脑的重要程度，包含个人电脑、作业电脑、服务器，这意味着高价值方针受进犯后解密付出的价值也会相应的更高。

　　Ryuk勒索病毒最早于2018年8月被初次发现，它是由俄罗斯黑客团伙GrimSpider暗地操作运营。GrimSpider是一个网络犯罪集团，运用Ryuk勒索软件对大型企业及安排进行针对性进犯。Ryuk勒索软件首要是经过网络进犯手法运用其他歹意软件如Emotet或TrickBot等银行木马进行传达，因为TrickBot银行木马传达途径的运营者是俄罗斯黑客团伙WIZARD SPIDER，GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部分之一。Emotet和TrickBot银行木马首要用于盗取受害者银行网站登录凭证，一起充任下载器功用，供给下载其它勒索病毒服务。这款勒索病在国外比较盛行，首要针对一些大型企业进行定向进犯勒索。Ryuk特别狡猾的一个功用是能够禁用被感染电脑上的Windows体系还原Windows System Restore选项，令受害者更难以在不付出赎金的情况下找回被加密的数据。鉴于进犯者针对的是高价值受害者，赎金方针也转为大型企业。

　　安全剖析师以为，Ryuk源代码很大程度上出自朝鲜Lazarus黑客团伙的Hermes歹意软件。但这并不标明Ryuk进犯自身是朝鲜主张的，迈克菲以为其代码根底由俄语区供货商供给，因为该勒索软件不会在体系言语设置为俄语、白俄罗斯语和乌克兰语的核算机上履行。

　　Sodinokibi勒索病毒（也称REvil），2019年5月24日初次在意大利被发现。在意大利被发现运用RDP进犯的办法进行传达感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传达，这款勒索病毒与GandCrab勒索软件存在许多相关，Sodinokibi勒索病毒是一种勒索即服务（RAAS）的方法进行分发和营销的，并选用了一些免杀技能防止安全软件检测。首要经过Oracle WebLogic缝隙、Flash UAF缝隙、网络垂钓邮件、RDP端口、缝隙运用东西包以及进犯一些保管服务供给商MSP等办法主张进犯，这款勒索病毒最新的版别为2.2，增加了自发动注册表项等，一起还发现一批最新的选用PowerShell脚本进行无文件进犯的变种样本。

　　该勒索软件最特别的一点便是，不只告知人们“不付赎金就拿不回数据”，还会要挟称“将在网上揭露或在地下论坛竞拍这些秘要数据”。这种新的勒索办法将此商业方法推升到了新的高度。高针对性、强定制化的勒索软件新时代好像正走向危险新深渊。

　　DoppelPaymer代表了勒索软件进犯的新趋势—勒索文件加密和数据盗取左右开弓。依据安全研究人员的说法，此类歹意软件首先会盗取数据，然后向受害者发送赎金勒索音讯，而不是像传统勒索软件相同就地加密锁死数据。2019年中期以来一向活泼，本年3月美国精细零件制造商Visser遭此勒索软件进犯，意外走漏特斯拉、波音、SpaceX等公司有关的灵敏文件。DoppelPaymer 勒索软件最早于2019年6月被发现，首要经过RDP暴力破解和废物邮件进行传达，邮件附件中带有一个自解压文件，运转后开释勒索软件程序并履行。揭露材料显现，DoppelPaymer是BitPaymer 勒索软件的一类新变种。DoppelPaymer至少有8种变体，它们逐步扩展各自的特搜集。

　　自解压文件运转后在%Users%目录下创立gratemin文件夹，开释名为p1q135no. exe的勒索软件程序并履行，加密文件后，在原文件名后追加名为“.locked”的后缀，并在每个被加密文件的目录中创立名为原文件名后追加“.readme2unlock.txt”格局的勒索信，勒索信中包含勒索阐明、TOR下载地址、付出地址、DATA 数据信息和邮箱联络办法等。DoppelPaymer勒索软件变种运用“RSA+AES”算法加密文件，运用多线程快速加密文件，运用指令ARP–A以解析受害体系的地址解析协议（ARP）表，具体操作为删去卷影副本、禁用修正、删去本地核算机的备份目录等。现在被加密的文件在未得到密钥前暂时无法解密。

　　NetWalker（又叫Mailto）勒索软件最早于2019年8月初次发现，Mailto是根据加密文件名格局的勒索软件的称号，Netwalker是根据勒索软件的勒索信内容给出的称号，现在针对的方针是企业和政府组织，近期开端活泼。Netwalker活动背面的进犯者运用常见的实用程序、开发后东西包和living-off-The-land，LOTL战略来探究一个受到损坏的环境，并尽或许多地获取数据。这些东西能够包含mimikatz（及其变体）、各种PSTools、AnyDesk、TeamViewer、NLBrute等。勒索软件运用PowerShell编写，直接在内存中履行，没有将实践的勒索软件二进制文件存储到磁盘中。歹意软件运用了反射动态链接库（DLL）注入的技能，也称reflective DLL加载，能够从内存注入DLL，不需求实践DLL文件，也不需求任何Windows加载程序即可注入。这让此勒索病毒成为了无档案病毒（fileless malware），能够坚持继续性，并运用体系内的东西来进行进犯而不被侦测到和杀软查杀。

　　在加密完成后，进程退出前最终会弹出勒索信，勒索提示信息文件[加密后缀]-Readme.txt，加密后的文件后缀名为随机字符串。

　　Clop勒索软件于2019年2月呈现在大众视界中，Clop背面团队的首要方针是加密企业的文件，收到赎金后再发送解密器。现在Clop仍处于快速开展阶段。该歹意软件暂无有用的解密东西，致受害企业许大都据被加密而丢失严峻。

　　与其他勒索病毒不同的是，Clop勒索软件部分情况下带着了有用的数字签名，数字签名乱用和冒用在以往情况下大都产生在流氓软件和保密类木马程序中。勒索软件带着有用签名的情况极为罕见，这意味着该软件在部分阻拦场景下更简略获取到安全软件的信赖，然后感染成功，构成无法反转的丢失。

　　Clop勒索软件经过多种途径感染受害者的核算机设备。主感染文件会运用随机脚本提取歹意可履行文件，歹意Java脚本被设置为经过诱使受害者拜访或被重定向至歹意站点将歹意可履行文件下载并装置至受害者核算机上。另一种分发传达Clop勒索软件的途径是运用刺进到文档中的歹意宏代码。这些文档常以废物邮件附件的方法发送给受害者。

　　此歹意软件旨在经过附加“.Clop ”扩展名来加密受害核算机上的数据偏重命名每个文件。例如，“sample.jpg”被重命名为“sample.jpg.Clop”。成功加密后，Clop会生成一个文本文件“ClopReadMe.txt”并在每个现有文件夹中放置一个副本，文本文件包含赎金告诉音讯。

　　EKANS勒索软件（也称Snake），于2020年1月初次被发现，是一种新的勒索软件，专门针对工业操控体系。EKANS代码中包含一系列特定用于工业操控体系功用相关的指令与进程，可导致与工业操控操作相关的许多流程运用程序阻滞。EKANS勒索软件是用Golang编写的，将整个网络作为方针，并且存在许多混杂。其间，包含了一种惯例混杂，这种混杂在曾经并不常见，一般是与方针办法结合运用。

　　EKANS在履行时会删去核算机的卷影副本，还会中止与SCADA体系、虚拟机、工业操控体系、长途办理东西、网络办理软件等相关的许多进程。然后，EKANS还会加密体系上的文件，然后越过Windows体系文件和文件夹。在文件扩展名后边还会附加一个勒索5字符字符串（即名为invoice.doc的文件被加密偏重命名为invoice.docIksrt）。该歹意软件在每个加密文件后附加了“EKANS”文件符号。加密进程完成后，勒索软件将在C:\Users\Public\Desktop文件夹中创立一个勒索记载（名为“Fix Your Files.txt”），其间包含要联络以接纳付款指示的电子邮件地址。EKANS现在的首要感染前言好像是垂钓附件。

　　Nefilim呈现于2020年3月，或许是经过揭露的RDP（长途桌面服务）进行分发。Nefilim与Nemty同享许多相同的代码，首要的不同之处在于，Nefilim移除了勒索软件即服务（RaaS）的组件，依托电子邮件进行付出，而不是Tor付出网站。Nefilim运用AES-128加密文件，每个加密的文件都将附加.NEFILIM扩展名，加密完成后，调用cmd指令进行自我删去。开释的勒索信中包含不同的联络电子邮件，并且要挟如果在7天内未付出赎金，将会走漏数据。

　　从技能上讲，Nefilim现在首要的传达办法是运用易受进犯的RDP服务。一旦进犯者经过RDP进入了网络，他们就会继续树立耐久化，在或许的情况下查找和盗取其他凭证，然后将勒索软件的payload传达给潜在方针。

　　RagnarLocker勒索软件在2019年12月底初次呈现，是一种新的勒索软件，将歹意软件布置为虚拟机（VM），以躲避传统防护。勒索软件的代码较小，在删去其自定义加壳程序后仅有48KB，并且运用高档编程言语（C/C++）进行编码。

　　RagnarLocke是运用GPO使命履行Microsoft Installer（msiexec.exe），传递参数从长途Web服务器下载并以静默办法装置制造的122 MB未经签名的MSI软件包。MSI软件包包含一个Oracle VirtualBox虚拟机办理程序和一个名为micro.vdi的虚拟磁盘映像文件（VDI），该文件是Windows XP SP3操作体系的精简版别映像。因为vrun.exe勒索软件运用程序在虚拟客户机内部运转，因而其进程和行为能够不受阻止地运转，物理主机上的安全软件是力不从心的。

　　RagnarLocker在挑选受害者时是很有挑选性的。方针往往是公司，而不是个人用户。该歹意软件的方针是对能够加密的一切文件进行加密，并提出勒索，要求用户付出赎金以进行解密。

　　一种新式的人工勒索软件“PonyFinal”，经过手动发动有用载荷来布置进犯。它对方针公司的体系办理服务器运用“暴力手法”，无需依托拐骗用户经过网络垂钓链接或电子邮件来发动有用负载。首要针对在COVID-19危机中的医疗卫生组织。

　　PonyFinal的侵略点一般是公司体系办理服务器上的一个账户，PonyFinal的黑客们运用猜想弱暗码的暴力进犯来进犯该帐户。一旦黑客进入内部体系后，他们会布置Visual Basic脚本，该脚本会运转PowerShell反向外壳程序以转储和盗取本地数据。

　　此外，PonyFinal勒索软件还会布置长途操纵器体系以绕过事情日志记载。一旦PonyFinal的黑客们牢牢地把握了方针网络，他们便会传达到其他本地体系并布置实践的PonyFinal勒索软件。PonyFinal是用Java言语编写的，进犯者还会将方针确认在装置了Java Runtime Environment（JRE）的作业站上。进犯者运用从体系办理服务器盗取的信息来确认已装置JRE的端点。勒索软件是经过包含两个批处理文件的MSI文件交给的，其间包含将由进犯者激活的有用负载。一般会在每个加密文件的结尾会被增加一个“.enc”文件扩展名。而赎金记载一般名为README_files.txt，会包含赎金付款阐明的简略文本文件。

　　2020年，热度飙升的勒索软件已经成为与APT并排的最危险的网络安全要挟。针对性、杂乱化和高损伤成本是2020年勒索软件加快“进化”的三大特征。勒索软件不只数量增幅快，并且危害日益严峻，特别是针对要害根底设施和重要信息体系的勒索进犯，影响更为广泛。被勒索组织既有巨额经济丢失，又有数据无法康复乃至被歹意走漏的危险，两层勒索的暗影挥之不去。勒索进犯的危害远不止赎金构成的经济丢失，更严峻的是会给企业和安排组织带来额定的杂乱性，构成数据损毁或丢失、生产力损坏、正常事务中止、企业名誉危害等多方面的丢失。比方3月初，美国精细零件制造商Visser Precision遭受勒索软件DoppelPayment进犯，进犯者侵略了Visser的电脑对其文件进行加密，并要求Visser在3月底付出赎金，不然将把内容揭露到网络上。因为没有收到勒索金钱，DoppelPaymer在网上揭露了关于SpaceX、Lockheed-Martin、特斯拉、波音等公司的秘要信息，被走漏的资讯包含Lockheed-Martin规划的军事装备的细节，比方反迫击炮防护体系中的天线标准、账单和付款表格、供货商资讯、数据剖析陈述以及法律文书等。此外，Visser与特斯拉 SpaceX之间的保密协议也在走漏文件中。

　　毫无疑问，勒索软件进犯在往后很长一段时间内依然是政府、企业、个人一起面临的首要安全要挟。勒索软件的进犯办法跟着新技能的运用开展不断改变，有针对性的勒索软件事情给不同职业和区域的企业带来了损坏性进犯要挟，勒索进犯产业化、场景多样化、渠道多元化的特征会愈加杰出。在工业企业场景中，勒索软件惯用的进犯向量首要是弱口令、被盗凭证、RDP服务、USB设备、垂钓邮件等，有用防备勒索软件进犯，仍需求针对性做好根底防护作业，构建和扩张深度防护，然后保证企业数据安全，促进事务良性开展。

　　及时加固终端、服务器，一切服务器、终端应强行施行杂乱口令战略，根绝弱口令；装置杀毒软件、终端安全办理软件并及时更新病毒库；及时装置缝隙补丁；服务器敞开要害日志搜集功用，为安全事情的追溯供给根底。

　　严格操控端口办理，尽量封闭不必要的文件同享权限以及封闭不必要的端口（RDP服务的3389端口），一起运用适用的防歹意代码软件进行安全防护。

　　运用被盗的职工凭证来进入网络并分发勒索软件是一种常见的进犯办法。这些凭证一般是经过网络垂钓搜集的，或者是从曩昔的侵略活动中获取的。为了削减进犯的或许性，有必要在一切技能解决方案中选用多要素身份验证（MFA）。

　　增强财物可见性，细化财物拜访操控。职工、合作伙伴和客户均遵从身份和拜访办理为中心。合理区分安全域，采纳必要的微阻隔。执行好最小权限准则。

　　继续加强要挟监测和检测才能，依托财物可见才能、要挟情报同享和态势感知才能，构成有用的要挟早发现、早阻隔、早处置的机制。

　　强化事务数据备份，对事务体系及数据进行及时备份，并验证备份体系及备份数据的可用性；树立安全灾备预案。一起，做好备份体系与主体系的安全阻隔，防止主体系和备份体系一起被进犯，影响事务连续性。事务连续性和灾祸康复（BCDR）解决方案应成为在产生进犯时保持运营的战略的一部分。

　　职工安全意识冷漠，是一个重要问题。有必要常常供给网络安全训练，以保证职工能够发现并防止潜在的网络垂钓电子邮件，这是勒索软件的首要进口之一。将该训练与网络垂钓演练结合运用，以把握职工的脆缺点。确认最软弱的职工，并为他们供给更多的支撑或安全办法，以下降危险。

　　每三到六个月对网络卫生习惯、要挟情况、事务连续性方案以及要害财物拜访日志进行一次审阅。经过这些办法不断改进安全方案。及时了解危险，自动防护勒索软件进犯并减轻其影响。

　　此外，无论是企业仍是个人受害者，都不主张付出赎金。付出赎金不只变相鼓舞了勒索进犯行为，并且解密的进程还或许会带来新的安全危险。

上一篇：俄罗斯黑客开发新式 Linux 歹意软件 Drovorub 下一篇：编程猫发布移动端图形化编程东西Nemo