什 么 是 勒 索 病 毒 ?-爱代码爱编程
勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,进以加密硬盘上的关键文档(如ERP数据库文件)乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密。该病毒性质恶劣、危害极大,一旦感染将给企业用户带来无法估量的损失。
勒索病毒所产生的庞大收益令让黑客组织赚得盆满钵满。在利益驱使下,黑客组织不断采用尖端技术让勒索病毒变的越来越强大。直到2017年上半年,WannaCry(永恒之蓝)的爆发,很多中国企业用户才意识到勒索病毒的存在。WannaCry之后,Petya又再次在国外爆发,国内由于刚经历过WannaCry的洗礼,受到Petya攻击的用户并不多见。但之后的2-3个月,我们陆陆续续发现master、Sega2.0、arena开始有爆发的势头。
随着勒索攻击工具化程度越来越高,无数的勒索病毒在互联网中游荡,寻找着合适的目标。就像流感病毒入侵人体一样,感染的过程安静、缓慢,并不激烈…直到抵达临界点迅猛爆发,人体免疫系统已无力抵抗。目前,许多新式攻击媒介倾向与于缓慢低调,一般的网络防御手段在其面前如若无物。
美国联邦调查局报告称,每天有超过4,000起勒索软件攻击事件发生,而其他研究机构则表示,每天产生23万个新的恶意软件样本。
二
勒索病毒是怎么产生的?
自网络攻击产生以来,攻击范围和攻击领域不断拓展,从单个硬件设施、到单个行业领域、再到单个国家,逐渐拓展到全领域、跨行业、遍及全球,勒索病毒更是凸显了这一趋势。
目前已知最早的勒索病毒雏形诞生于1989年,该木马程序以“艾滋病信息引导盘”的形式进入系统,采用替换DOS系统文件的方式,实现开机记数。一旦系统启动次数达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密,从而导致系统无法启动。此时,屏幕显示信息,声称用户的软件许可已经过期,要求用户通过指定邮箱支付赎金以解锁系统。该病毒被称为艾滋病特洛伊木马或PC Cyborg病毒。
2006年出现的Redplus勒索木马是中国大陆首个勒索软件。该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。据国家计算机病毒应急处理中心统计,来自全国各地的该病毒及其变种的感染报告有581例。次年,出现的新型蠕虫病毒开始使用更复杂的RSA加密方案,同时密钥大小不断增加。
2013年,随着比特币市场的疯狂兴起,勒索赎金的支付方式也产生的很大变化。早期的勒索软件采用传统的邮寄方式接收赎金,会要求受害者向指定的邮箱邮寄一定数量的赎金,或者向指定号码发送可以产生高额费用的短信。直到比特币这种虚拟货币出现,为勒索软件提供了更为隐蔽的赎金获取方式。2013年以来,勒索软件逐渐采用了比特币为代表的虚拟货币支付方式,不可溯源的赎金渠道加速了勒索软件的泛滥。
经权威机构预测,2018年之后的勒索病毒的趋势分析如下:
1漏洞利用或成为勒索病毒新的传播方式
2017年几次大规模爆发的勒索病毒,主要是以钓鱼邮件为传播渠道。而随着网民安全意识的提高,钓鱼邮件传播成功率较之往年已出现降低趋势。而“漏洞利用”由于具有较强的自传播能力,能在短时间内大范围传播,在2018年或将更受“不法黑客”青睐。
2与安全软件的对抗将持续升级
随着安全软件对勒索病毒免疫能力的持续升级,安全软件对主流的勒索病毒逐渐形成多维度的防御。勒索病毒需不断进化并与安全软件的对抗,才能够提高感染成功率。这种对抗可能体现为“传播渠道的多样化”,也可能表现为“样本的免杀对抗”。
3攻击目标日益精准化
2017下半年勒索病毒的攻击目标出现明显的精准化趋势:拥有企业核心系统权限的企业人员,将成为主要的黑客攻击目标。因为该类目标用户往往掌握更多的关键数据,加密后也会更加倾向于支付解密赎金。
4勒索病毒呈现低成本,蹭热点特征
随着勒索病毒技术细节的公开,部分勒索软件代码被放在暗网上售卖,勒索病毒的制作成本持续降低。2017年有多个系列的勒索病毒持续活跃:一开始在小范围传播的勒索病毒(例如“希特勒”、“WannaSmile”等),为实现更大范围的传播,通常会借势节日热点和社会热点等,例如万圣节、圣诞节等。随着制作成本的降低,或将出现更多蹭热点的勒索病毒。
5国产勒索病毒开始活跃
对国内用户“量身打造”的国产勒索病毒,会非常“贴心”的使用全中文的勒索提示界面,个别会要求直接通过微信、支付宝来缴纳赎金。与其它语言版本的勒索病毒相比,国产勒索病毒中招者支付赎金的可能性更高。2017年出现的主要国产勒索病毒有“云龙”、“xiaoba”等,而2018年或将出现更多的国产勒索病毒。