勒索病毒的攻擊對全世界所有企業(yè)和個(gè)人來(lái)說(shuō)都是一個(gè)巨大的危險。勒索病毒通過(guò)攻擊被勒索者的網(wǎng)絡(luò ),加密被勒索者的關(guān)鍵數據或敏感數據,讓被勒索者無(wú)法解密獲取自己的數據,之后網(wǎng)絡(luò )罪犯向這些被勒索者索要贖金,以換取加密數據。與此同時(shí),他們通過(guò)網(wǎng)絡(luò )出售這些數據來(lái)賺取二次利潤。
云祺科技這里為大家總結了2020年十大勒索病毒,同時(shí)提供勒索病毒預防措施,以及被攻擊后的應對措施。為數據安全預防做好準備,知己知彼,才能百戰不殆。
2020年十大勒索病毒盤(pán)點(diǎn)
一 REvil Ransomware
REvil是一種文件加密病毒,一旦它滲入系統,就會(huì )對所有文件進(jìn)行加密,并向受害者索取錢(qián)財。在贖金要求中,犯罪分子要求受害者通過(guò)比特幣支付贖金,如果受害者在一個(gè)特定的時(shí)間內不支付贖金,贖金率則翻倍。
Grubman Shire Meiselas & Sacks the law corporation(格魯曼律師事務(wù)所)的數據泄漏是由惡意勒索軟件引起的。攻擊者竊取了知名客戶(hù)的數據,并在暗網(wǎng)上分享了這些數據。
據報道,Drake(德雷克), Robert De Niro(羅伯特·德尼羅), Rod Stewart(羅德·斯圖爾特), Elton John(埃爾頓·約翰), Mariah Carey(瑪麗亞·凱莉)等明星的個(gè)人信息也可能是通過(guò)該勒索病毒攻擊獲得的。
此外,名人電腦文件的截圖也被泄露,比如 Madonna(麥當娜)的巡演合同,或者Bruce Springsteen(布魯斯·斯普林斯汀), Bette Midler(貝蒂·米德勒), Barbra Streisand、(芭芭拉·史翠珊)的文件。該勒索病毒在我們2020勒索病毒攻擊名單中排名第一。
二 Sodinokibi Ransomware
Sodinokibi勒索病毒是一種惡意勒索病毒,也被稱(chēng)為Sodin。它于2019年9月通過(guò)使用Oracle Weblogic服務(wù)器上的zero-day漏洞傳播開(kāi)來(lái)。漏洞被修復后,它繼續通過(guò)遠程桌面服務(wù)器和其他漏洞的軟件安裝程序傳播。
經(jīng)過(guò)深入分析,發(fā)現Sodinokibi與GandCrab關(guān)系密切,它們都有相似的密碼。同期,GandCrab的使用呈下降趨勢,而Sodinokibi的使用呈上升趨勢。這一信息使分析人員認為這兩種勒索軟件有很強的聯(lián)系。
三 Nemty Ransomware
與其他勒索病毒不同,Nemty勒索病毒的行為就像一個(gè)勒索軟件服務(wù)。當它第一次出現時(shí),它經(jīng)常在俄羅斯盜版論壇網(wǎng)站上做廣告。從2019年夏天到2020年夏天一直處于活躍狀態(tài)。
在RaaS(勒索軟件服務(wù))積極服務(wù)期間,它的客戶(hù)端能夠訪(fǎng)問(wèn)一個(gè)門(mén)戶(hù),該門(mén)戶(hù)允許他們創(chuàng )建一個(gè)特殊版本的Nemty。之后,客戶(hù)能夠以他們喜歡的方式傳播這些版本。
網(wǎng)絡(luò )釣魚(yú)郵件積極參與了這種惡意病毒的傳播。當一臺被Nemty感染的計算機支付贖金時(shí),30%的付款轉移給Nemty開(kāi)發(fā)者,其余的轉移給客戶(hù)。
幾個(gè)月前,Nemty的開(kāi)發(fā)者宣布他們將不再提供勒索軟件服務(wù),但他們會(huì )自己使用。他們還強調,如果客戶(hù)不在一周內付款,文件將永遠不會(huì )被保存。
四 Nephilim Ransomware
當它首次出現時(shí),網(wǎng)絡(luò )安全研究人員發(fā)現Nephilim的資源代碼非常類(lèi)似于Nempty,如果被勒索者不支付贖金,攻擊者就要公布敏感數據。
Nephilim的受害者通常是大型組織和公司。19年12月,攻擊者計劃利用他們在Citrix Gateway設備上發(fā)現的弱點(diǎn),攻擊政府機構和公司。此外,他們還利用遠程桌面網(wǎng)絡(luò )和VPN的漏洞對受害者的數據進(jìn)行攻擊加密。
在勒索信中,攻擊者強調這些數據已被軍事級別的算法加密,敏感數據已被攻破。為了證明他們的權威,Nephilim攻擊者從受害者那里獲取兩個(gè)加密文件,解密它們并將其發(fā)送給受害者,使受害者相信他們是唯一可以解密文件的人。
五 NetWalker Ransomware
Netwalker也被稱(chēng)為Mailto,是Mailto的最新變種之一。政府機構、醫療組織、企業(yè)、遠程辦公者都是Netwalker的攻擊目標。
NetWalker使用受害者的網(wǎng)絡(luò )加密所有Windows設備,根據網(wǎng)絡(luò )安全研究人員的分析,NetWalker采用兩種不同的方式進(jìn)行攻擊,一種是冠狀病毒釣魚(yú)郵件,一種是通過(guò)網(wǎng)絡(luò )傳播的可執行文件。NetWalker是2020年勒索病毒盤(pán)點(diǎn)中最具破壞性的惡意病毒之一。
六 DoppelPaymer Ransomware
DoppelPaymer勒索病毒及其變種首次出現于2019年4月,于2019年6月瞄準了第一批受害者。到目前為止,已經(jīng)發(fā)現了8種不同的變異病毒。
DoppelPaymer在加密了受害者的文件后給他們留了一張便條,該便條不僅包括贖金的數量,還包括一個(gè)鏈接,受害者通過(guò)TOR訪(fǎng)問(wèn)支付贖金。經(jīng)證實(shí),目前已有3名受害者,網(wǎng)絡(luò )犯罪分子共獲利142個(gè)比特幣,大約為120萬(wàn)美元。
七 Ryuk Ransomware
Ryuk是最活躍的勒索病毒之一。Ryuk使用其他惡意軟件感染目標系統,此外,它還可以訪(fǎng)問(wèn)EMCOR和遠程桌面服務(wù)等系統。對于每個(gè)文件,它都使用獨特的軍事算法,如RSA和AES,它會(huì )阻止被勒索者訪(fǎng)問(wèn)系統或設備,直到贖金付清。
大型公司和政府機構都是Ryuk的目標。例如,總部位于美國的EMCOR公司,世界500強,被Ryuk病毒攻擊導致EMCOR的一些IT系統停用。
八 Maze Ransomware
Maze勒索病毒之前被稱(chēng)為“ChaCha勒索病毒”,由Jerome Segura于2019年5月29日發(fā)現。Maze是通過(guò)使用名為Fallout和Spelvo的攻擊工具發(fā)動(dòng)攻擊,竊取了敏感數據,加密所有的文件,并要求贖金恢復。
它是世界上最危險的病毒,因為如果贖金要求得不到滿(mǎn)足,就會(huì )對公布數據。據稱(chēng)Cognizant、Canon(佳能)、Xerox(施樂(lè ))和一些醫療保健行業(yè)都是Maze勒索軟件的受害者。
九 CLOP Ransomware
據發(fā)現,攻擊者利用CLOP勒索病毒攻擊世界各地的公司和組織。攻擊者使用釣魚(yú)方法來(lái)破壞敏感數據,并將它們轉移到自己的服務(wù)器上。CLOP增加了“。clop "擴展到每一個(gè)加密的文件,此外,它創(chuàng )建了一個(gè)“ClopReadMe”。txt文件。在這種勒索病毒中,RSA算法被用來(lái)加密數據,而生成的密鑰保存在遠程服務(wù)器中,由攻擊者控制。
如果贖金談判失敗,攻擊者就會(huì )在暗網(wǎng)一個(gè)名為CL0P - LEAKS的泄露網(wǎng)站上公布數據。此外,最新版本的CLOP能夠停用本地安全系統,如Windows Defender和Microsoft security Essentials。CL0P還可以用特洛伊木馬或其他惡意軟件感染系統。
十 Tycoon Ransomware
Tycoon是最近發(fā)現的一種勒索病毒。許多教育行業(yè)和軟件企業(yè)都遭受過(guò)它的攻擊。Tycoon被添加到Java運行時(shí)環(huán)境的木馬版本中,這也是第一次使用Java語(yǔ)言中JMAGE格式的個(gè)人化惡意JRE編譯。
自被發(fā)現以來(lái),Tycoon一直表現出一種激進(jìn)的策略。Tycoon感染受害者系統,拒絕訪(fǎng)問(wèn)管理員,而是發(fā)動(dòng)另一個(gè)攻擊文件服務(wù)器和域控制器。弱密碼是Tycoon的一大特點(diǎn)。
如何避免勒索病毒攻擊?
- 登錄口令采用大小寫(xiě)字母、數字、特殊符號混用的組合方式,使用足夠長(cháng)度的口令并定期更換。
- 及時(shí)修補系統漏洞,同時(shí)不要忽略各種常用服務(wù)的安全補丁。
- 關(guān)閉非必要的服務(wù)和端口如135、139、445、3389等高危端口。
- 嚴格控制共享文件夾權限,在需要共享數據的部分,盡可能的多采取云協(xié)作的方式。
- 提高安全意識,不隨意點(diǎn)擊陌生鏈接、來(lái)源不明的郵件附件、陌生人通過(guò)即時(shí)通訊軟件發(fā)送的文件。
- 制定備份計劃。對于企業(yè)數據中心統一做數據保護系統,制定備份計劃,保證擁有定期時(shí)間段的備份數據。
- 制定恢復計劃。制定勒索病毒發(fā)生預案,對在事故發(fā)生后的人員分工、備份數據恢復、業(yè)務(wù)運行等進(jìn)行詳細安排,并定期進(jìn)行災難恢復演練。
- 多種備份計劃。為了有效備份,甚至可以同時(shí)制定異地備份、云端備份、副本備份等多種備份計劃,多種備份數據更能萬(wàn)無(wú)一失。
- 拒絕支付贖金,安全專(zhuān)家認為與其付錢(qián)給罪犯,不如用你的備份來(lái)恢復你的數據。
在勒索病毒攻擊后你應該做什么?
被勒索病毒攻擊時(shí),你可以使用云祺備份軟件迅速獲取你的文件,而不需要支付贖金。
如果你是云祺備份軟件用戶(hù),被勒索軟件攻擊時(shí),有4個(gè)步驟要遵循:
如果發(fā)現有勒索病毒感染,請關(guān)閉設備上的所有文件共享活動(dòng)。
找到被加密文件數據,定位并評估病毒造成的損害范圍。
找到被加密數據所使用云祺備份軟件備份的最近備份點(diǎn)。
利用云祺備份軟件,瞬時(shí)恢復最近備份點(diǎn),啟動(dòng)業(yè)務(wù)并進(jìn)行數據驗證。
通過(guò)對各種勒索事件分析,不難發(fā)現,數據備份才是應對勒索病毒的最佳選擇。在發(fā)生勒索事件前定期或者實(shí)時(shí)備份重要的業(yè)務(wù)數據,在發(fā)生勒索事件后,快速恢復備份數據,拉起業(yè)務(wù)運行,無(wú)需支付勒索贖金也可快速恢復數據。
