勒索软件
主页 » 功能 » 勒索软件

在过去的十年里,数码设备的爆发不仅促进了巨大的发展,而且滋生了网络犯罪。最流行的网络勒索形式是勒索软件。在快速了解勒索软件的定义、类型和工作流程之后,让我们看看迄今为止全世界所看到的毁灭性勒索软件攻击。

什么是勒索软件?

勒索软件是一种恶意软件,它加密用户/组织的数据或将用户锁定在其设备之外,并要求勒索换取解密密钥或返回对设备的访问。赎金通常以加密货币的形式提出。

勒索软件类型

  1. 储物柜勒索软件
  2. 加密勒索软件
  3. 下载
  4. 道具

储物柜勒索软件

顾名思义,这种勒索软件会锁定计算机或设备,并切断用户的访问权限。通常,在这些类型的攻击中,屏幕冻结,重新启动系统将显示一个空白屏幕,显示一条官方消息,表示系统中检测到非法活动,必须支付罚款才能解锁系统。

加密勒索软件

这种勒索软件通常加密数据或文件。用户将无法访问他的任何文件,除非在支付黑客要求的赎金后获得解密密钥。这些可能是最糟糕的勒索软件,因为黑客持有你所有的敏感信息和文件,而且不能保证支付赎金后会把被盗的数据还给你。

下载

我们大多数人都会遇到这种类型的攻击。scareware通常会弹出窗口或警告,声称在我们的系统中发现了一些威胁或问题,并要求用户支付一笔钱来解决它。他们通常采取假冒的防病毒软件或清洁工具的形式,诱使用户点击它。

道具

黑客威胁要删除用户数据的日子一去不复返了,现在他们威胁要发布数据,或者干脆把数据泄露到网上。Doxware通常被称为泄漏软件或勒索软件。这些类型的攻击有可能释放被劫持的信息,如果所要求的赎金得不到支付。金融、医疗、国防和其他领域处理敏感信息的组织通常是这些攻击的目标。

勒索软件工作流

任何数字媒体都可以用来分发勒索软件,但是电子邮件仍然是这类攻击的头号传播媒介。鱼叉式网络钓鱼用于大多数勒索软件攻击。包含受感染的链接或附件的电子邮件,以个人或组织为目标,从看似可信的来源发送。毫无防备的用户打开邮件,点击链接,勒索软件随即启动。攻击也可以通过驱动下载,其中用户访问受感染的网站,恶意软件被下载并安装到用户的设备上,而用户并不知情。以下是勒索软件启动后发生的情况。

  1. 当用户点击受感染的链接或附件时,勒索软件会通过powershell或任何其他扩展启动。
  2. 勒索软件,在大多数情况下都有助于下载对系统造成进一步伤害的有效载荷。一旦勒索软件启动,受感染的机器与黑客的服务器通信,以获取更多指令,然后将加密用户数据的有效载荷下载到受感染的系统上。
  3. 现在我们已经对这些网络勒索犯罪的运作方式有了基本的了解,让我们来看看震惊全球的勒索软件攻击前三名。
  4. 某些类型的勒索软件也倾向于横向传播,从而感染网络中的其他系统。

现在我们已经对这些网络勒索犯罪的运作方式有了基本的了解,让我们来看看震惊全球的勒索软件攻击前三名。

    1.  Ryuk

      2018年12月,几家美国报纸的运营陷入混乱,俄罗斯的犯罪集团“精灵蜘蛛”(WIZARD SPIDER)启动了Ryuk勒索软件。这些攻击的目标是大型组织(大型猎杀),其中物流和技术公司受到的打击最大。尽管袭击始于2018年4月,但直到12月才愈演愈烈。这些攻击最初是通过感染干净的系统开始的,但最近一段时间,它们已经发展成为三重威胁攻击方法的一部分,感染的系统已经包含了像Emotet和TrickBot这样的恶意软件。

      感染媒介:

      一旦仿冒电子邮件被打开,恶意宏将运行并执行Powershell命令,该命令试图下载Emotet。一旦emote被下载,它就会检索并执行另一个有效负载,通常是TrickBot。使用TrickBot,受影响系统的信息会被窃取,如果该系统是威胁参与者所针对的组的一部分,则管理员凭据将被进一步利用以感染网络中的其他系统。完成后,通过远程桌面协议(RDP)与目标的实时服务器建立连接,然后将Ryuk勒索软件放入系统中。最近,2019年12月30日,Ryuk关闭了美国受《海上运输安全法》(MTSA)监管的设施的整个企业IT网络,历时30多小时。很明显,Ryuk还远未完成。

    2. WannaCry:

      2017年5月,英国各大医院、政府和非政府机构宣布进入紧急状态,勒索软件使它们的业务瘫痪。Wannacry是第一个勒索软件,其行为类似蠕虫,并通过Windows SMB协议传播到其他机器上,因此看起来像是有组织的网络攻击。它在数小时内攻击了150多个国家的数千台电脑,留下了加密文件。

      操作:

      WannaCry与一个名为Lazarus的网络犯罪组织有关联,据信该组织正在为朝鲜工作。这一系列勒索软件与DoublePulsar和EternalBlue协同工作,它们是从国家安全局(NSA)偷来并公开发布的。DoublePulsar充当后门,用于传送Wannacry勒索软件,而EternalBlue漏洞攻击用于将勒索软件传播到网络上未修补的系统。在阻止勒索软件传播的杀戮开关被发现之前,已经造成了数十亿美元的损失。反向恶意软件工程师马库斯·哈钦斯(Marcus Hutchins)发现,代码中嵌入的域名在注册时,阻止了感染。Shodan发布的报告显示,即使在成立2年后,仍有超过170万台机器容易受到这种勒索软件的攻击。

    3. Notpetya:

      一个月后,来自万纳克里的致命攻击,另一个勒索软件更危险和侵入性比万纳克里击中世界各地的系统。Notpetya是Petya勒索软件的一个变种,它针对Windows机器,对硬盘进行加密。虽然类似于随机勒索软件攻击,但据信Notpetya是一次精心策划的俄罗斯网络攻击,乌克兰是主要的感染网站。这个勒索软件加密主文件表,并要求用比特币支付赎金来恢复访问。然而,Notpetya的亮点在于它能够在没有任何人为干预的情况下传播。感染源于植入M.E.Doc软件的后门,并通过M.E.Doc服务器传播到其他系统。进入网络后,Notpetya利用EternalBlue和EternalRomance利用SMB漏洞进一步传播到其他系统。

其他一些值得注意的勒索软件是萨姆、洛克、坏兔子和特罗德什。尽管广泛的攻击和无数的警告,以保持系统的完整补丁和安全,我们仍然发现数以百万计的系统是开放的,容易受到网络攻击。不要等到被击中,定期部署更新和补丁发布。