大家好，我是零日情報局。

網(wǎng)絡(luò)攻擊千千萬，勒索病毒占一半。今天我們就來盤一盤，2019年那些令人窒息的勒索病毒攻擊。

[[280030]]

今年3月份，全球最大鋁制品生產(chǎn)商之一的Norsk Hydro遭遇勒索軟件攻擊，公司被迫關(guān)閉多條自動化生產(chǎn)線，震蕩全球鋁制品交易市場;

5月，國內(nèi)某網(wǎng)約車平臺遭黑客勒索軟件定向打擊，服務(wù)器核心數(shù)據(jù)慘遭加密，攻擊者索要巨額比特幣贖金，無奈之下向公安機關(guān)報警求助;

同在5月，美國佛羅里達州里維埃拉遭到勒索軟件攻擊，各項市政工作停擺幾周，市政緊急會議決定支付60萬美元的贖金。無獨有偶，就在該市作出這個決定的短短一周內(nèi)，佛羅里達另一個遭襲城市湖城也迫于無奈，向黑客支付價值近50萬美元的比特幣贖金。

6月，全球最大飛機零件供應(yīng)商ASCO遭遇勒索病毒攻擊，生產(chǎn)環(huán)境系統(tǒng)癱瘓，大約1000名工人停工，四國工廠被迫停產(chǎn);

10月初，全球最大的助聽器制造商Demant，遭勒索軟件入侵，直接經(jīng)濟損失高達9500萬美元;

10月中，全球知名航運和電子商務(wù)巨頭Pitney Bowes遭受勒索軟件攻擊，攻擊者加密公司系統(tǒng)數(shù)據(jù)，破壞其在線服務(wù)系統(tǒng)，超九成財富全球500強合作企業(yè)受波及;

10月16日，法國最大商業(yè)電視臺M6 Group慘遭勒索軟件洗劫，公司電話、電子郵件、辦公及管理工具全部中斷，集體被迫“罷工”;

要命的是，距離2019年結(jié)束還有兩個多月，但勒索病毒的攻勢可能還未觸頂。

迫于勒索病毒疫情形勢，10月9號，總部設(shè)在荷蘭海牙的歐洲刑警組織與國際刑警組織發(fā)布的《2019互聯(lián)網(wǎng)有組織犯罪威脅評估》特別指出，勒索軟件仍是網(wǎng)絡(luò)安全最大威脅，全球各界需加強合作，聯(lián)合打擊網(wǎng)絡(luò)犯罪。

我們總結(jié)的五大勒索病毒家族

2019開年至今，異常活躍的勒索軟件高達近百種，我們總結(jié)出其中幾種最為兇猛。

1. GandCrab勒索病毒

在很多人看來，GandCrab勒索病毒絕對是2019年最傳奇的角色。2018年GandCrab首次出現(xiàn)，之后經(jīng)過5次版本迭代，波及羅納尼亞、巴西、印度等數(shù)十國家地區(qū)，全球累計超過150萬用戶受到感染。還被國內(nèi)安全團隊稱為“俠盜病毒”，因為他們后期的版本中避開了戰(zhàn)火中的敘利亞地區(qū)。

今年6月，GandCrab勒索軟件團隊一條官方消息刷爆了互聯(lián)網(wǎng)。他們高調(diào)宣布，僅一年半的時間里，團隊已賺進超過20億美金，人均年入賬1.5億美金，所以決定停止更新這個惡意程序，從此風(fēng)光隱退。

(GandCrab勒索病毒團隊官方聲明，宣告錢賺夠了，準備撤退，留下廣大群眾原地懵逼)

2. Sodinokibi勒索病毒

隨著GandCrab退出，它的繼任者Sodinokibi勒索病毒接力登場。Sodinokibi又稱REvil勒索病毒，與GandCrab有著明顯的代碼重疊，因此很多人推測，GandCrab的部分成員不愿收手，另起爐灶而運營的Sodinokibi。

Sodinokibi的部分變種會將受害者屏幕變成深藍色，并且以2500-5000美金不等的贖金全球撒網(wǎng)，在不到半年時間，該勒索病毒已非法獲利數(shù)百萬美元。

[[280031]]

3. GlobeImposter勒索病毒

談起2019的勒索病毒，就必須要提到GlobeImposter。該勒索病毒又稱“十二生肖”病毒，因為它攻入計算機內(nèi)部后，會以“十二生肖英文名+4444”的文件后綴，對文件進行加密。而GlobeImposter自2017年5月首發(fā)至今，已經(jīng)歷八個版本迭代，并且后綴也從“十二生肖”，變身希臘“十二主神”。

GlobeImposter病毒主要通過rdp遠程桌面弱口令進行攻擊，去年山東10市不動產(chǎn)系統(tǒng)遭到它的攻擊，今年國內(nèi)又有多家企業(yè)、醫(yī)院等機構(gòu)中招。

(GlobeImposter勒索病毒：文件后綴為希臘十二主神 + 666)

4. Stop勒索病毒

Stop勒索病毒，也被稱作djvu勒索病毒，是2019年最為活躍的病毒家族之一。相比于動輒百萬、千萬美金的勒索軟件，Stop走薄利多銷的斂財路線，解密贖金需要980美元，并且72小時聯(lián)系軟件作者還可享五折優(yōu)惠。該病毒主要利用木馬站點，通過偽裝成軟件破解工具或捆綁在激活軟件進行傳播，用戶中招率奇高。

5. Phobos勒索病毒

總的來說，Phobos是一款非常棘手的勒索病毒，它采用RDP暴力破解+人工投放雙重方式傳播，并且可以輕松加密受害者PC上的每個文件，把它們?nèi)孔兂蔁o法打開的.phobos。

Phobos病毒可能與Dharma病毒(又名CrySis)屬于同一組織，并且該病毒在運行過程中會進行自復(fù)制，和在注冊表添加自啟動項，如果沒有把系統(tǒng)殘留的病毒體清理干凈，很可能會遭遇二次加密。

(Phobos病毒的勒索信息)

總體來看，勒索軟件種類激增、版本迭代， 但表現(xiàn)形式大體都逃不過數(shù)據(jù)加密、系統(tǒng)鎖定、數(shù)據(jù)泄漏、詐騙恐嚇等幾大類，但從勒索軟件黑產(chǎn)來看，卻足以讓人全球震驚，也無怪乎國際刑警組織會站出來發(fā)聲。

我們所發(fā)現(xiàn)的一些攻擊趨勢

為了從勒索病毒的浪潮中拯救別人，我們還發(fā)現(xiàn)了2019年勒索病毒攻擊的一些變化。

第一，從To C用戶轉(zhuǎn)向To B政企，贖金大幅漲價。

現(xiàn)在的勒索病毒，從廣泛而淺層的普通用戶，明顯轉(zhuǎn)向了中大型政企機構(gòu)、行業(yè)組織。有安全報告表明，自2018年6月以來，全球針對To B的勒索攻擊增加了363%。正如我們開篇提到的，全球最大的鋁制品生產(chǎn)商、全球最大的助聽器制造商、全球最大的飛機零件供應(yīng)商等“全球最大系列”相繼遭到攻擊，這一切都是為了獲取巨大的經(jīng)濟收益。除此以外，贖金也在瘋漲。當年席卷全球的WannaCry，其解密贖金也只是區(qū)區(qū)300美金;

但如今——Sodinokibi勒索病毒，贖金在3個比特幣(大約3萬美元)起步;Ryuk勒索病毒， 11個比特幣(大約12萬美元)起步;至于MegaCortex勒索病毒，最高贖金更高達600個比特幣，相當于一次叫價580萬美元;而且，或許是受到GandCrab家族一年半內(nèi)賺了20億美金的鼓舞，MageCortex勒索病毒還特別在勒索信息中留下奮斗格言：“我們正在為賺錢而努力，這項犯罪活動的核心是獲得贖金以后，以最原始形式歸還您的寶貴數(shù)據(jù)。”

總之，看著這屆黑客的勒索留言，能明確的感受到他們對于割韭菜的渴望。

[[280033]]

第二，從垃圾郵件到利用漏洞傳播。

雖然勒索病毒有垃圾郵件、RDP口令爆破、網(wǎng)頁掛馬等多種傳播途徑，但萬物皆有漏洞，那可能就是勒索病毒進來的地方。

例如Sodinokibi勒索病毒就集成了多個漏洞進行傳播，包括Windows內(nèi)核提權(quán)漏洞(CVE-2018-8453)、Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等;又例如，BitPaymer勒索軟件就利用了Apple的0day漏洞;GETCRYPT勒索病毒則利用RIGEK漏洞工具包;別忘了，還有連續(xù)利用IE+Flash雙重漏洞，假冒Chrome瀏覽彈窗傳播的勒索病毒Spora勒索病毒。總之吧，勒索病毒利用漏洞打出組合拳，不僅中招率驟升，威脅層級也遠超以往，從這個角度來講，勒索病毒對殺軟的攔截查殺技術(shù)，提出了更具挑戰(zhàn)的要求。

[[280034]]

(勒索病毒利用Apple的0day漏洞傳播)

第三，打著勒索的幌子，實為獲取情報或破壞數(shù)據(jù)。

今年有個案例就與竊取情報有關(guān)，9月份 MalwareHunterTeam披露了一次不同尋常的勒索病毒事件。它在感染目標中不斷搜尋敏感信息，包括軍事機密、銀行信息、欺詐/刑事調(diào)查文件，行動舉止完全不像為了圖財。更可疑的是，該“勒索病毒”還會查找Emma、Olivia、Noah、Logan 和 James 等美國社會保障部列出的2018年最常見的嬰兒名字。

(該冒牌“勒索病毒”搜索關(guān)鍵詞)

除了竊取情報，還有其他更奇怪的攻擊案例，有些“勒索病毒”會對文件玩了命似的多次加密，甚至對文件進行無法修復(fù)的破壞，完全斷了收贖金的后路。而據(jù)分析，這很可能是APT黑客組織，在實施滲透、竊取國家企業(yè)機密數(shù)據(jù)之后，而進一步投遞的破壞性勒索病毒。為的是以勒索病毒作掩護，毀壞數(shù)據(jù)，消除入侵痕跡，掩蓋真實攻擊意圖。

第四，手動投毒在變多。

手動投毒的好處是精準定位，黑客可以瞄準高價值定制服務(wù)器和系統(tǒng)。

[[280035]]

(黑客組織正在手動植入病毒)

所以手動植入病毒在增多，像Ryuk勒索病毒的感染和傳播過程都是由攻擊者手動執(zhí)行的;而Globelmposter勒索病毒也不具備主動傳播性，是由黑客滲透進入內(nèi)網(wǎng)后，在目標主機上人工植入;

還有MegaCortex病毒也是攻擊者設(shè)法獲得管理憑據(jù)作為“手動闖入”的一部分。除了精準定位目標之外，這種方式還有其他好處：延長“駐留時間”，即從初始感染到安裝勒索軟件之間的一段時間。

在這種操作下，攻擊者有時間對被感染網(wǎng)絡(luò)進行分析，從而確定網(wǎng)絡(luò)中最關(guān)鍵的系統(tǒng)，并獲取感染這些系統(tǒng)的密碼，隨后才釋放勒索軟件，從而最大限度地造成損害。

更多零日反思

遞增、擴散、高發(fā)的網(wǎng)絡(luò)安全威脅，讓我們開始思索：

• 高級持續(xù)性威脅呈常態(tài)化發(fā)展趨勢的當下，“互聯(lián)網(wǎng)更安全了”也許只是一種錯覺，兇猛且異常活躍的勒索病毒，撕碎了人們沉醉的安全假象。
• 在網(wǎng)絡(luò)這個從未有過絕對安全的世界，相對的安全也變得越發(fā)可貴。
• 網(wǎng)絡(luò)安全最終是一直延續(xù)螺旋上升的“攻防”戰(zhàn)，還是裂變出全新的終極模式，沒有人可以給出確切的答案，我們唯有在攻防中不斷探索，才能遇見安全的未來。