1. 程式人生 > >勒索病毒軟體介紹和發展趨勢

勒索病毒軟體介紹和發展趨勢

想象一下,經營豪華酒店的運營,你的客人突然被鎖在他們的房間外,直到你向***支付比特幣贖金。或者考慮如果主要公共建築的供暖系統在冬季中期關閉會發生什麼。

如果一個主要的都市警察部門在遵循聯邦調查局的建議拒絕向***支付贖金後失去所有的dashcam視訊檔案會怎樣?或者美國醫療保健網路最終向犯罪分子支付了55,000美元的比特幣,以便重新獲得對其關鍵計算機系統的訪問許可權?

這些場景都不是一個糟糕的夢想; 相反,它們是最近的勒索軟體***。現在被列為頂級網路威脅之一,多年來勒索軟體一直在給世界各地的組織造成嚴重破壞。Verizon的2018資料洩露調查報告將勒索軟體列為39%與惡意軟體相關的資料洩露事件的原因。這是前一年的兩倍多,這是前一年的兩倍。

不僅僅是一種滋擾

當勒索軟體首次出現時,企業安全團隊很少將其視為主要的安全威脅。典型的受害者是家庭計算機所有者,他們不知道避免可疑網站或使用神祕的電子郵件附件謹慎行事的重要性。

早期的勒索軟體 - 從九十年代後期到2010年大量發展 - 主要包括惡作劇和故意破壞,其中***的主要目標是獲得惡名。

通常,贖金需求會在螢幕上顯示訊息,提供間諜軟體刪除。有來自驅動下載網站的虛假計算機效能增強應用程式的廣告。在下載惡意附件以迴應粗略編寫的網路釣魚電子郵件後,可能會出現威脅訊息。通常這些早期的贖金要求需要付費來修復他們聲稱已經感染了使用者計算機的假問題 - 實際上計算機執行正常。

2008年,我們開始看到第一個計算機鎖定的特洛伊***程式。其中一個是

Trojan.Randsom.C,它要求使用者撥打一個高階電話號碼(電話費用出現在他們的電話賬單上)以重新獲得對他們機器的訪問許可權。

密碼勒索軟體的興起

2013年,***通過加密勒索軟體將其提升到了一個新的水平。最臭名昭著的Cryptolocker***向受害者傳送了一個令人震驚的訊息,即他們的檔案已被加密,如果三天內沒有支付贖金,將被刪除。幾乎不可能防禦; Cryptolocker的程式設計師已經找到了一種方法來生成強大的2048位RSA公鑰和私鑰加密來感染檔案。即使IT人員可以刪除特洛伊***,受影響的檔案仍然無法以難以解密的方式訪問。

今天勒索軟體不再僅僅是家庭計算機的麻煩,相反,***正在對可能威脅公共安全的企業和政府進行計算,危險和昂貴的***。勒索軟體的複雜交付旨在欺騙最精明的使用者。

高價值目標

2018年的F-Secure報告“勒索病毒的變化狀態解釋了簡單勒索病毒軟體的速度如何放緩,但其他不斷演變的***變得更加複雜。今天分析師看到,使用勒索軟體瞄準具有高價值目標的主要組織的核心勒索者人數增加。

針對企業比感染個人使用者更有利可圖。雖然使用者的個人裝置可能只花費幾百美元來解密,但***者可以從高價值目標中敲詐數萬美元或更多。

2017年的一次全球網路***向每個人展示了公司遭受勒索軟體***的脆弱性。WannaCry通過加密資料和要求比特幣贖金來***執行Microsoft Windows作業系統的計算機。

令人難以置信的是,WannaCry通過SMB埠的感染確保了它專注於組織,引用了F-Secure報告。通過暴露的,受損的遠端桌面協議RDP)埠傳播的勒索軟體已不再罕見。

至於RDP,使其成為***流行途徑的弱點包括:

· 保持埠3389 / TCP對任何入站連線開放

· 不要求管理員更改其預設管理員帳戶憑據

· 在觸發警報或帳戶鎖定之前允許多次登入嘗試


這些企業威脅載體基本上允許犯罪分子關注目標的質量而不是數量 - 以獲得更大的支出。

Druva每年釋出的2017年勒索軟體報告指出,超過一半的企業報告多次被勒索軟體***,***已超出使用者端點,33%的企業伺服器受到***。

Exabeam自己的研究勒索軟體***剖析發現贖金價格上漲是另一種趨勢,勒索軟體***正在創造更復雜的工具。

如何檢測和停止勒索軟體?

使用者無意中點選了將其引入網上誘騙網站的附件或連結。勒索軟體已經***到您的網路中。怎麼辦?好訊息是它仍然可以在其殺傷鏈中儘早發現它以阻止它變冷並防止。

Exabeam研究人員在我們的實驗室中引爆了86株菌株,確定了勒索軟體殺傷鏈中常見的六個階段。面對***隨後進行的排列或改進,每個階段都與任何特定的壓力一致。

1.分發活動

在分發活動期間,***使用社交工程和武器化網站等技術來誘騙或強迫使用者下載。這開始了勒索軟體的感染。

2.惡意程式碼感染

一旦登上受感染的計算機,dropper就會回家(連線到預定義的IP地址列表)以下載惡意.EXE(或偽裝的可執行檔案)並將其儲存在本地TEMP資料夾中。然後終止,移除dropper指令碼,並引爆惡意負載。

3.惡意有效載荷分段

這裡勒索軟體設定並嵌入自身,同時還建立永續性以在系統重啟後保持。

4.掃描

現在,勒索軟體在本地計算機和網路可訪問資源上搜索要加密的內容。為安全團隊提供寶貴的響應時間,可以檢測到這個階段; 它為他們提供了打斷勒索軟體防毒鏈的機會。

掃描本地計算機和同步雲資料夾可在幾秒鐘內完成。但是,映射出大型企業網路,調查掃描結果,檢查讀/寫許可權以及其他操作可能需要幾分鐘到幾小時 - 具體取決於必須評估的資訊量。

5.加密

勒索軟體已經解壓縮並對系統進行了偵察。再次仍然有時間停止*** - 沒有發生任何可能不可逆轉的事情。

但是在這個階段,控制開始有利於***,勒索軟體開始加密它在掃描期間發現的所有檔案。此階段可能需要幾秒到幾小時,因為加密過程在受感染的計算機上本地執行。勒索軟體必須獲取檔案,加密檔案,將加密版本上傳到原始位置,然後刪除原始檔案。

這種***可能更加險惡。如果在掃描階段發現的網路或雲端儲存位置變得不可用,則勒索軟體可能處於休眠狀態。依靠在分期期間採取的持續性預防措施,它耐心地等待您的資源重新進入其路徑。

現在感染顯示贖金票據,***等待付款存入他們的比特幣錢包。您將決定是否支付贖金或丟失加密檔案。此外,它們的價格可以上漲 - 許多勒索軟體型別預先配置了超時閾值; 一旦達到每一個,贖金數量就會增加。

在勒索軟體損壞之前檢測它

與惡意軟體一樣,***者將繼續發展他們的分發方法,並發現越來越多的創造性方法來感染他們的受害者。