当前位置:2018刘伯温心水图库 > 软件分发版 >

2017 勒索软件威胁形势分析报告

  2017年1-11月,360互联网安全中心共截获电脑端新增勒索软件变种183种,新增控制域名238个。全国至少有472.5多万台用户电脑遭到了勒索软件攻击,平均每天约有1.4万台国内电脑遭到勒索软件攻击。

  ²2017年,勒索软件的传播方式主要有以下五种:服务器入侵传播、利用漏洞自动传播、邮件附件传播、通过软件供应链进行传播和利用挂马网页传播。

  ²遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中,广东占比最高,为14.9%,其次是浙江8.2%,江苏7.7%。排名前十省份占国内所有被攻击总量的64.1%。

  ²抽样调研显示,在遭到勒索软件攻击的政企机构中,能源行业是遭受勒索软件攻击最多的行业,占比为42.1%,其次是医疗行业为22.8%,金融行业为17.8%。

  ²2017年,勒索软件的攻击主要呈现以下特点:无C2服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、境外攻击者多于境内攻击者。

  ²2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。

  ²2017年1月至11月,360反勒索服务共接到了2325位遭遇勒索软件攻击的受害者求助。调研数据显示,男性是最容易受到勒索软件攻击的对象,占比高达90.5%,而女性占比仅为9.5%。

  ²在向360互联网安全中心求助的所有勒索软件受害者中,IT/互联网行业的受害者最多,占比为27.0%;其次是制造业,占比为18.6%;教育行业占比为14.8%。

  ²从求助的受害者工作职位来看,普通职员超过受害者总数的一半以上,占51.8%,其次是经理、高级经理,占33.0%,企业中、中高管理层,占13.4%,CEO、董事长、总裁等占比为1.8%。

  ²从求助的受害者文件感染类型可以看出,87.6%是受害者电脑上的办公文档被感染,其次,77.4%的图片文件被感染,54.0%的视频文件被感染,48.7%的音频文件被感染,8.2%的数据库文件被感染。

  ²在求助的受害者中,已有5.8%的受害者为了恢复文件而支付赎金,另外94.2%的受害者选择了拒绝为恢复文件而支付赎金。

  ²2017年5月,影响全球的勒索软件永恒之蓝勒索蠕虫(WannaCry)大规模爆发。它利用了据称是窃取自美国国家安全局的黑客工具EternalBlue(永恒之蓝)实现了全球范围内的快速传播,在短时间内造成了巨大损失。

  ²不同行业遭受永恒之蓝勒索蠕虫攻击的情况也有所不同,工程建设行业是遭受攻击最多的行业,占比为20.5%,其次制造业为17.3%,能源行业为15.3%。

  ²本次报告还总结了勒索软件攻击与应急响应的十大典型案例,其中五个为永恒之蓝攻击与响应典型案例,另五个为服务器入侵攻击与响应典型案例。

  ²2018年勒索软件攻击趋势预测:从整体态势来看,勒索软件的质量和数量将不断攀升,并且会越来越多的使用免杀技术;从攻击特点来看,勒索软件的自我传播能力将越来越强,静默期也会不断延长;从攻击目标来看,勒索软件攻击的操作系统类型将越来越多,同时定向攻击能力也将更加突出;此外,勒索软件造成的经济损失会越来越大,受害者支付赎金的数量也会越来越多,但由于各种原因,通过支付赎金恢复文件的成功率将大幅下降。

  ²在反勒索软件方面,以下技术最有可能成为主流趋势:文档自动备份隔离保护技术、智能诱捕技术、行为追踪技术、智能文件格式分析技术和数据流分析技术等。对于企业级用户来说,云端免疫技术、密码保护技术等也将起到至关重要的作用。

  勒索软件是近两年来影响最大,也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。

  2016年,包括IBM、Symantec、360等国内外多家知名安全机构已经开始高度关注勒索软件攻击。2016年12月,360互联网安全中心发布了《2016 敲诈者病毒威胁形势分析报告(年报)》。报告指出,2016年,全国至少有497万多台用户电脑遭到了勒索软件攻击,成为对网民直接威胁最大的一类木马病毒。

  2017年,勒索软件继续呈现出全球性蔓延态势,攻击手法和病毒变种也进一步多样化。特别是2017年5月全球爆发的永恒之蓝勒索蠕虫(WannaCry,也有译作“想哭”病毒)和随后在乌克兰等地流行的Petya病毒,使人们对于勒索软件的关注达到了空前的高度。在全球范围内,政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域都遭受到了前所未有的重大损失。

  与WannaCry无差别的显性攻击相比,针对中小企业网络服务器的精准攻击则是隐性的,不为多数公众所知,但却也已成为2017年勒索软件攻击的另一个重要特点。统计显示,在2017年的国内勒索软件的攻击目标中,至少有15%是明确针对政企机构的,其中由以中小企业为主要目标。相比于一般的个人电脑终端或办公终端,服务器数据的珍贵程度和不可恢复性更强(针对服务器的渗透式勒索攻击一般不会留下死角或备份),因此被勒索者支付赎金的意愿也相对更强。

  为进一步深入研究勒索软件的攻击特点和技术手段,帮助个人电脑用户和广大政企机构做好网络安全防范措施,360互联网安全中心对2017年的勒索软件攻击形势展开了全面的研究,分别从攻击规模、攻击特点、受害者特征、典型案例、趋势预测等几个方面进行深入分析。

  2017年以来,360互联网安全中心监测到大量针对普通网民和政企机构的勒索软件攻击。勒索软件已成为对网民直接威胁最大的一类木马病毒。本章内容主要针对,2017年1月-11月期间,360互联网安全中心监测到的勒索软件的相关数据进行分析。

  2017年1-11月,360互联网安全中心共截获电脑端新增勒索软件变种183种,新增控制域名238个。全国至少有472.5多万台用户电脑遭到了勒索软件攻击,平均每天约有1.4万台国内电脑遭到勒索软件攻击。

  特别说明,2017年截获的某些勒索病毒,如Cerber病毒,会向某个IP地址段进行群呼,以寻找可能响应的控制服务器。病毒这样做的目的可能是为了避免其服务器被拦截。如果没有服务器响应群呼消息,病毒则会按照其他既定流程执行代码。2017年,360互联网安全中心共截获新增此类IP地址段51个。

  下图给出了勒索软件1月至11月期间每月攻击用户数的情况。从图中可见,4月攻击高峰期时的攻击量为81.1万,一天之内被攻击的电脑平均可达2.7万台。11月是第二个攻击小高峰,一天之内被攻击的电脑平均可达3.1万台。下图分别给出了2017年1月至11月勒索软件每月攻击的态势分析图形。注意,此部分攻击态势分析数据不包含WannaCry勒索蠕虫的相关数据。

  2017年四月份发生的大规模勒索软件攻击,主要是因为Shadow Brokers(影子经纪人)组织公开了披露美国国家安全局发现的漏洞“永恒之蓝”,虽然“WannaCry”是在五月份爆发的,但此漏洞一直都有被别的勒索软件利用进行攻击。

  10月至11月发生的大规模勒索软件攻击,主要是因为在10月份时出现了一种以.arena为后缀的勒索软件,11月份时出现了一种以.java为后缀的勒索软件。这两款勒索软件主要是由攻击者通过娴熟的手法入侵服务器后释放勒索病毒的。以.arena和.java为后缀的勒索软件在10月至11月流行的主要原因有三:

  3)以.arena和.java为后缀的这两款勒索软件都属于Crysis家族,这个家族每次更换新的私钥都会换一个后缀(10月份是.arena后缀,11月份是.Java后缀)。新出现的.arena和.java替代了.wallet开始流行。

  统计显示,在向360互联网安全中心求助的勒索软件受害者中,Cerber、Crysis、WannaCry这三大勒索软件家族的受害者最多,共占到总量的58.4%。其中,Cerber占比为21.0%,Crysis 占比为19.9%,WannaCry占比为17.5%,具体分布如下图所示。

  结合360互联网安全中心的大数据监测分析,下图给出了2017年不同勒索软件家族在国内的活跃时间分析。特别需要说明的是:“类Petya”勒索病毒(该病毒说明请参考第四章的第二节介绍),虽然在国外发动了大规模的攻击行为,产生了及其重要影响,但是在国内基本就没有传播,所以在下图中没有体现这两个家族。

  360互联网安全中心监测显示,黑客为了提高勒索软件的传播效率,也在不断更新攻击方式,钓鱼邮件传播依然是黑客常用的传播手段,服务器入侵的手法更加娴熟运用,同时也开始利用系统自身的漏洞进行传播。今年勒索软件主要采用以下五种传播方式:

  以Crysis家族为代表的勒索软件主要采用此类攻击方式。黑客首先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如:卸载服务器上的安全软件并手动运行勒索软件。所以,在这种攻击方式中,一旦 服务器被入侵,安全软件一般是不起作用的。

  服务器能够被成功入侵的主要原因还是管理员的帐号密码被破解。而造成服务器帐号密码被破解的主要原因有以下几种:为数众多的系统管理员使用弱密码,被黑客暴力破解;还有一部分是黑客利用病毒或木马潜伏在用户电脑中,窃取密码;除此之外还有就是黑客从其他渠道直接购买账号和密码。黑客得到系统管理员的用户名和密码后,再通过远程登录服务器,对其进行相应操作。

  今年,通过系统自身漏洞进行传播扩散成为勒索软件的一个新的特点。上半年震动世界的WannaCry勒索病毒就是利用微软的永恒之蓝(EternalBlue)漏洞进行传播。黑客往往抓住很多人认为打补丁没用还会拖慢系统的错误认识,从而利用刚修复不久或大家重视程度不高的漏洞进行传播。如果用户未及时更新系统或安装补丁,那么即便用户未进行任何不当操作,也有可能在完全没有预兆的情况下中毒。此类勒索软件在破坏功能上与传统勒索软件无异,都是加密用户文件勒索赎金。但因为传播方式不同,导致更加难以防范,需要用户自身提高安全意识,尽快更新有漏洞的软件或安装对应的安全补丁。

  软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。

  2017年爆发的Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner等后门事件均属于软件供应链攻击。而在乌克兰爆发的类Petya勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。

  通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件。一旦用户打开邮件附件,便会执行里面的脚本,释放勒索病毒。这类传播方式的针对性较强,主要瞄准公司企业、各类单位和院校,他们最大的特点是电脑中的文档往往不是个人文档,而是公司文档。最终目的是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。

  通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播,并没有特定的针对性,一般中招的受害者多数为裸奔用户,未安装任何杀毒软件。

  360互联网安全中心监测显示,遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中,广东占比最高,为14.9%,其次是浙江8.2%,江苏7.7%。排名前十省份占国内所有被攻击总量的64.1%。

  360互联网安全中心针对最为活跃的部分勒索软件的C2服务器域名后缀的归属地进行了分析,结果显示:名被使用的最多,约为总量的一半,为48.7%,比分别为3.8%和1.7%。此外,属于欧洲国家的域名最多,占31.9%,其次是亚洲国家4.6%,南美洲国家1.7%,大洋洲国家1.7%,北美洲国家1.3%。

  特别值得注意的是,主流的大勒索家族都不再使用C2服务器加密技术了,但还是有很多小众勒索家族在使用C2服务器的加密技术。

  为更加深入的了解各行业勒索软件遭到攻击的情况,360威胁情报中心 联合全国一百余家政府机构、事业单位和大中型企业的IT管理人员,对各企业遭勒索软件攻击情况展开了深入的调查分析。并希望此项研究能够对更多机构的网络管理者提供有价值的参考信息。

  不同行业政企机构遭受勒索软件攻击的情况分析显示,能源行业是遭受攻击最多的行业,占比为42.1%,其次为医疗行业为22.8%,金融行业为17.8%,具体分布如下图所示。需要说明的是,遭到攻击多不代表被感染的设备多。攻击量是通过企业级终端安全软件的监测获得的。

  从上图中,我们知道能源、医疗卫生、金融是遭受勒索软件攻击最多的三个行业,那么究竟是哪些家族对这三个行业发动的攻击呢?下表分别给出了每个行业遭受勒索软件攻击最多的前五个家族,具体如下表所示。可以看出,针对不同行业,攻击者者所使用的勒索软件类型是有很大区别的。

  如果说,挂马攻击是2016年勒索软件攻击的一大特点,那么2017年,勒索软件的攻击则呈现出以下六个明显的特点:无C2服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、影响大的家族赎金相对少、境外攻击者多于境内攻击者。

  2017年,我们发现黑客在对文件加密的过程中,一般不再使用C2服务器了,也就是说现在的勒索软件加密过程中不需要回传私钥了。

  3)把新生成的私钥采用黑客预埋的公钥进行加密保存在一个ID文件或嵌入在加密文件里

  1)通过邮件或在线提交的方式,提交ID串或加密文件里的加密私钥(该私钥一般黑客会提供工具提取);

  通过以上过程可以实现每个受害者的解密私钥都不相同,同时可以避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至是在隔离网环境下,依然可以对文件和数据进行加密。显然,这种技术是针对采用了各种隔离措施的政企机构所设计的。

  2017年,勒索软件的攻击进一步聚焦在高利润目标上,其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长,已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。

  客观的说,中小企业往往安全架构单一,相对容易被攻破。同时,勒索软件以企业服务器为攻击目标,往往也更容易获得高额赎金。例如:针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是震惊全球的永恒之蓝全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。这款勒索病毒的覆盖面有限,韩国几乎是唯一的重灾区。

  以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。

  顾名思义,勒索软件自然就是要勒索钱财。但这种传统认知已经在2017年被打破。以网络破坏、组织破坏为目的的勒索软件已经出现并开始流行。其中最为典型的代表就是类Petya。与大多数勒索软件攻击不同,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。

  这些不仅以“勒索”为目的的“勒索软件”,实际上只是结合了传统勒索软件对文件进行加密的技术方法来实现其数据破坏、信息窃取等其他攻击目的。相比于勒索金钱,这种攻击将给对手带来更大的破坏和更大的威胁。这不仅会引发网络犯罪“商业模式”的新变种,而且会反过来刺激网络保险市场的进一步扩张。

  2017年,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“SatanRansomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。

  RaaS服务允许任何犯罪者注册一个帐户,并创建自己定制版本的撒旦勒索软件。一旦勒索软件被创建,那么犯罪分子将决定如何分发勒索软件,而RaaS服务平台将处理赎金支付和增加新功能。对于这项服务,RaaS服务平台的开发者将收取受害者所支付赎金的30%,购买RaaS服务者将获取剩余70%的赎金。

  2017年,勒索软件的攻击源头以境外为主。绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。

  2017年1月至11月,360反勒索服务共接到了2325位遭遇勒索软件攻击的受害者求助。为了更好的了解勒索软件的感染原因及受害者特点,以帮助更多的用户提高安全意识,免遭勒索软件侵害,本次报告特别对这两千多位求助受害者进行了随机抽样调研,并从中选取了有效的452份调研问卷进行分析。本报告的第二章内容中的各项数据统计,均是来源于本次抽样调研的统计结果。

  2017年1月至11月,360反勒索服务共接到了2325位遭遇勒索软件攻击的受害者求助。从数据统计中可以看到,5月份是受害者求助的高峰期,主要是因为WannaCry勒索蠕虫的爆发。受害者每月求助情况具体如下图所示。

  调研发现,目前绝大多数求助用户并不是在安装了360安全卫士,并开启了反勒索服务的情况下感染的勒索软件。特别值得注意的是,还有相当数量的受害者在感染勒索软件时,电脑上没有安装任何安全软件。

  调研数据显示,男性是最容易受到勒索软件攻击的对象,占比高达90.5%,而女性占比仅为9.5%。

  在360互联网安全中心接到的受害者主动寻求帮助的人群中,63.5%为企业用户,36.5%为个人用户。通过对受害者的调研分析发现,攻击者会针对企业用户采取服务器入侵、邮件传播等方式传播勒索软件,造成的危害比较高。企业用户电脑中毒以后,由于被加密的多是相对更加重要的公司办公和业务文件,因此,企业用户往往会更加积极寻求解决办法,特别是更加积极向专业安全厂商寻求帮助。

  从求助的受害者所在的行业分类(注:此处与上一章中根据攻击量监测进行的行业分析统计方法有所不同)中可以看出,IT/互联网行业的受害者最多,占比为27.0%;其次是制造业,占比为18.6%;教育行业占比为14.8%。具体分布如下图所示。

  从求助的受害者所在的职位分类中可以看出,普通职员是遭遇勒索软件攻击次数最多的受害者,超过受害者总数的一半以上,占比为51.8%,其次是经理、高级经理,占比为33.0%,企业中、中高管理层,占比为13.4%,CEO、董事长、总裁等企业的掌舵者被勒索软件攻击的比例也达到1.8%。

  从求助的受害者感染勒索软件的途径可以看出,44.0%的受害者不知道自己是如何感染的勒索软件,可见该病毒在感染、执行过程中具有极强的隐蔽性,让受害者难以察觉。20.4%的受害者是因为服务器被入侵而感染的勒索软件,7.3%的受害者是因为开启3389端口(Windows系统自带的远程控制端口),黑客通过远程控制用户的电脑,进而让其感染勒索软件。具体如下图所示。可见,2017年,带毒电子邮件已经不是再是勒索软件传播的主要途径。

  从求助的受害者文件感染类型可以看出,87.6%是受害者电脑上的办公文档被感染,其次,77.4%的图片文件被感染,54.0%的视频文件被感染,48.7%的音频文件被感染,8.2%的数据库文件被感染。数据库文件被加密主要是由于今年发现了大量针对服务器的攻击,尤其是针对网络安全措施相对较弱的中小企业,从而导致数据库被加密的现象时有发生。

  在被询问到哪种被病毒加密的文件类型造成损失更加重大的问题时,77.4%的受害者认为办公文档被加密造成的损失破坏最大;其次是认为照片视频文件造成的损失严重,占比为46.7%;邮件和聊天记录占比为13.5%;数据库类文件占比为11.9%;游戏存档类文件占比为4.2%。

  我们发现,在主动寻求帮助的受害者中,办公文档是感染数量最多,同时也是导致受害者损失最大的文件类型。因为办公文档中往往含有我们工作中用到的重要资料,更加被我们重视和关注。

  根据360反勒索服务平台对受到勒索软件攻击用户的统计数据显示,绝大多数的勒索软件均以比特币为赎金支付方式,从而使资金流向和攻击者本人都无法被追踪。但是,9月底时比特币在中国已经全面停止交易了,导致受害者文件被勒索病毒感染后更加难以恢复。

  抽样调查显示,在这些求助的受害者中,已有5.8%的受害者为了恢复文件而支付赎金,另外94.2%的受害者选择了拒绝为恢复文件而支付赎金。

  进一步调查显示,在支付赎金的受害者中,46.2%的受害者是自己按照病毒提示兑换比特币的方式付款的,26.9%的受害者是通过在淘宝平台找代付赎金服务付款的,26.9%的受害者是通过请朋友帮助操作付款的。

  另外,我们发现用户通过不同方式支付赎金的成功率有很大的不同。比如,在淘宝平台找勒索软件代付赎金服务的用户中,85.7%的受害者最终成功支付了赎金,并恢复了文件;朋友帮忙付款的,57.1%的受害者成功支付了赎金,并恢复了文件;而自己按照勒索软件提示去兑换比特币付款的用户中,仅有50.0%的受害者成功支付赎金,并恢复了文件。

  如前所述,绝大多数,即94.2%的受害者选择了拒绝为恢复文件而支付赎金。本次报告也特别对这些受害者为什么会拒绝支付赎金的问题进行了调研。结果显示:39.4%的受害者是因为不相信支付赎金后会给自己的文件解密,27.0%的受害者是因为不想继续纵容黑客进而选择拒绝支付赎金,15.5%的受害者是因为相信会有恢复工具能够修复加密的文件,具体如下图所示。

  用户调研显示,影响支付赎金的最重要、最根本的因素是被感染文档本身的重要性。不过,除了文件本身的重要性之外,究竟还有哪些因素会影响用户赎金支付意愿呢?本次报告从受害者的月收入和所在行业这两个方面对用户进行了调研。

  从受害者的收入方面来看,月收入在1.5W以上的受害者最愿意支付赎金,他们选择支付赎金的人占比为10.3%。对于高收入人群来说,电脑中的文件尤其是办公文档非常重要,而且他们支付能力更强,所以他们往往更愿意支付赎金。下图给出了具体情况分析。

  下图给出了求助的不同行业受害者支付赎金的比例对比。统计显示,金融行业中招的受害者竟无一人支付赎金,这与2016年的情况大相径庭。在2016年的调研统计中,金融行业受害者支付赎金的比例最高,达33.3%。此外,2017年,求助的金融行业受害者仅占求助者总数的2.9%,相比去年4.5%有一定的下降趋势。进一步的调研分析发现,造成这种明显变化的主要原因是:金融机构在2017年普遍加强了网络安全建设和灾备恢复能力,虽然也有感染情况发生,但抗灾容灾能力明显增强。

  综合收入、职位和行业这三方面因素来看,受害者所属的行业是对支付意愿影响最大的因素。

  感染勒索软件后,对于用户来说,最重要的是能否恢复被加密的文件。目前来看,成功支付赎金的受害者都成功的恢复了被加密的文件。可见,目前勒索软件攻击者的“信用”还是不错的。此外,由于目前仍有相当一部分的勒索软件并未规范使用加密算法,对文件进行加密,所以,对于感染了此类勒索软件的用户来说,即便不支付赎金,也可以通过专业安全机构,如360等安全厂商提供的一些解密工具对文件进行解密。还有一些用户提前对重要文件进行了备份,所以也最终成功恢复了文件。

  总体来看,在接受调研的受害者中,有11.5%的受害者最终成功恢复了文件,另外88.5%的受害者没有恢复文件。在受害者恢复文件的方式中,30.8%的受害者是通过支付赎金恢复的文件,25.0%的受害者是通过历史备份(如云盘、移动硬盘等)恢复的文件,23.1%的受害者是通过解密工具恢复文件的,21.2%的受害者是通过专业人士破解恢复文件的。

  用户电脑感染勒索软件后,需要进行及时的清除。但不同的人也会选择不同的方法进行清除。抽样调查结果显示:38.9%的受害者通过重装系统清除了病毒,18.1%的受害者通过安装安全软件查杀掉病毒,6.0%的受害者直接删除中毒文件。

  特别值得注意的是,我们发现有36.9%的受害者在知道自己电脑已经感染勒索软件后,没有采取任何措施清除病毒。这是十分危险的,因为尽管目前已知的绝大多数勒索软件的攻击都是“一次性”的,但也有一部分病毒会带有诸如“下载者”这样的病毒成分,不及时处理,电脑就有可能会持续不断的遭到更多的木马病毒的侵害。

  另外,研究发现,受害者选择采用何种方式清除病毒,与用户是否支付了赎金没有关系。

  还有一点特别值得注意。在我们协助受害者进行电脑检测时发现,有相当数量的受害者在感染勒索软件时,并未安装任何安全软件。

  调查中还发现,对于没有安装安全软件的受害者,在感染勒索软件后会首先下载并安装安全软件进行病毒查杀。但是,这种操作是存在一定的风险性的。如果受害者自行清除病毒,可能会同时删除掉被加密的文件和本地保留的密钥文件,造成文档无法解密。

  2017年5月,影响全球的勒索软件永恒之蓝勒索蠕虫(WannaCry)大规模爆发,它利用了据称是窃取自美国国家安全局的黑客工具EternalBlue(永恒之蓝)实现了全球范围内的快速传播,在短时间内造成了巨大损失。本章主要针对永恒之蓝勒索蠕虫事件进行分析。关于WannaCry的深入技术分析,详见本报告“附录2 WannaCry攻击技术详解”。

  永恒之蓝勒索蠕虫(WannaCry)可能是自冲击波病毒以来,影响范围最广,破坏程度最大的一款全球性病毒。特别是在该病毒的攻击过程中,大量“不联网”的、一向被认为是相对比较安全的企业和机构的内网设备也被感染,这给全球所有企业和机构都敲响了警钟:没有绝对的隔离,也没有绝对的安全,不联网的不一定比联网的更加安全。

  作为一款“破坏性”病毒,WannaCry的传播速度和影响都是十分惊人的。360互联网安全中心于2017年5月12日中午13点44分,截获了WannaCry的首个攻击样本,是世界上最早截获该病毒的公司。而在随后的短短几个小时内,就有包括中国、英国、美国、德国、日本、土耳其、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等国家被报告遭到了WannaCry的攻击,大量机构设备陷入瘫痪。

  根据360互联网安全中心的数据统计,仅仅30多个小时,截至2017年5月13日20:00时,360互联网安全中心便已截获遭WannaCry病毒攻击的我国政企机构IP地址29372个。而从后续国内外媒体披露的情况来看,在全球范围内遭受此次WannaCry病毒攻击的国家已超过了100个。

  WannaCry感染电脑设备后,会将电脑中的办公文档、照片、视频等文件加密,并向用户勒索比特币。

  2017年5月12日下午14时许,距发现WannaCry病毒仅仅十几分钟,360安全监测与响应中心就启动了针对WannaCry的黄色应急响应程序,并于当日下午14:26,通过360安全卫士微博发出全面预警通告。与此同时,CNCert、各地网信办、公安机关等部门也都先后启动了全国范围内的大规模应急响应预警和处置工作。经过全国安全工作者大约72小时的连续奋战,截至2017年5月15日下午,WannaCry的快速传播得到了有效的抑制,到5月16日,新增感染者数量已经非常有限。

  360互联网安全中心监测显示,WannaCry自被发现以来,相关网络攻击一直存在,而且攻击范围越来越广。

  WannaCry病毒入侵到用户的电脑后,首先会先访问一个特定的,原本并不存在的网站:

  如果连接成功则退出程序,连接失败则继续攻击(相当于是个开关)。但在WannaCry大爆发第二天(2017年5月13日晚),英国的一个分析人员对这个域名进行了注册,病毒再访问这个网站就发现能访问了,即不再加密用户数据。所以5月份之后,遭到WannaCry攻击的联网电脑中的文件不会被实质性加密。也就是说虽然该病毒还在传播,但已经没有实际危害了。2017年5月-11月,永恒之蓝勒索蠕虫WannaCry攻击态势分析如下图所示。

  360威胁情报中心及360天擎的监测信息显示,不同行业遭受永恒之蓝勒索蠕虫攻击的情况也有所不同,工程建设行业是遭受攻击最多的行业,占比为20.5%,其次制造业为17.3%,能源行业为15.3%,具体分布如下图所示。需要说明的是,该数据是根据2017年5-11月的总体情况进行分析和统计的,与5月份永恒之蓝勒索蠕虫刚刚爆发时相关数据统计有一定的区别。

  从事后分析来看,WannaCry的大规模传播绝非偶然。除了政企机构普遍存在的电脑更新不及时,系统防护能力弱等客观原因外,WannaCry所独有的一些新型特点也是其得以成功传播的关键。WannaCry最主要的特点是:勒索软件+蠕虫病毒+永恒之蓝。也正是由于这一特点,360互联网安全中心将该病毒的中文名称译为:永恒之蓝勒索蠕虫。

  勒索软件是最近一两年开始流行起来的一种趋利明显的恶意程序,它会使用非对称加密算法加密受害者电脑内的重要文件并以此来向受害者索要赎金,除非受害者支付赎金,否则被加密的文件无法被恢复。而以往的勒索软件,大多是通过挂马、邮件以及其他一些社工手段进行点对点的传播,从未出现过众多用户被自动攻击的情况。

  而蠕虫病毒的历史则比较久远,最早可以追溯到1988年著名的莫里斯蠕虫。这类病毒主要是利用系统漏洞,对联网设备进行扫描,并发起自动攻击。早些年也曾出现过类似“冲击波”这样破坏性明显的蠕虫病毒,但近年来,蠕虫病毒则主要被用于制造僵尸网络,用以发动诸如垃圾邮件攻击和DDoS攻击等,少量蠕虫会进行盗窃数字资产等活动。

  但WannaCry则是首次将“勒索”与“蠕虫”相结合,从而使勒索软件获得了一种超低成本的攻击方式,并在现实攻击中得以猖獗。从结果来看,WannaCry破坏了海量的数据,不仅导致了信息的损毁,还直接导致依赖文件进行工作的电脑和设备失去服务能力,引发业务的中断,影响从线上波及线下,甚至使很多政府机构对外办事机构都停了工。

  蠕虫病毒的攻击其实每天都在发生。但如果只是一般的蠕虫病毒,也不至于传播得如此广泛。而WannaCry的一个重要特点,就是整合了Shadow Brokers(影子经纪人,黑客组织)所公布的,据称是NSA数字武器库中最好用的武器:ETERNALBLUE(永恒之蓝) SMB漏洞利用工具。尽管在WannaCry爆发时,永恒之蓝所利用的系统漏洞已经被微软的官方补丁修护,但由于该漏洞补丁仅推出一个月,很多政企机构还未能及时给自己的内网设备全面更新,加之永恒之蓝是一款军用级网络攻击武器,未打补丁的设备很难有效防护,所以使得WannaCry的攻击异常顺利。

  事实上,早在2015年Hacking Team武器库泄漏事件后,军用网络武器的民用化趋势就已经呈现了出来,WannaCry的出现,使这种趋势成为了噩梦。

  WannaCry在逻辑设计上,有一个非常不可思议的特点,就是该病毒启动时,会首先访问一个原本并不存在的网址URL:。之后,WannaCry会根据对该URL的访问结果来决定是否再继续执行下去:如果访问成功,程序会直接退出;如果访问失败,程序才会继续攻击下去。

  这的确是一个非常罕见的病毒设计逻辑。起初我们猜测这个启动逻辑可能是蠕虫作者为了控制蠕虫活跃度而设计的一个云开关,而蠕虫作者最终可能是因为害怕被追踪而放弃了注册这个域名。但在分析该病毒的其他部分代码时,我们发现WannaCry的作者应该是一名对病毒检测对抗拥有丰富经验的人,所以我们又猜测作者可能是出于对抗检测的目的而设计了这个开关。

  具体来说,目前的病毒检测分为在线检测和离线检测两种。离线检测能保证病毒检测系统以安全高效的方式工作。但要做“离线病毒分析”,就需要对病毒检测系统做很多特殊处理,比如检测系统需要欺骗病毒程序使其认为自己是运行在连线的网络环境中。这就需要使用到Fake Responses(欺骗响应)技术:即病毒的所有网络请求都会被病毒检测系统模拟响应。所以,病毒作者可能是想使用这个启动逻辑来识别病毒检测系统是否有网络欺骗行为,以保护病毒在传播初期不被杀毒厂商快速检测封杀,从而错过控制蠕虫病毒大范围感染传播的最佳时机。而一旦病毒感染的设备达到一定的规模,就会呈现几何基数的快速增长,进而变得不可控。

  但从实战情况来看,也恰恰这个被特殊设计的自杀开关,成为了安全人员追踪和反制WannaCry传播的重要方法。首先,由于英国的一组安全研究人员快速注册了这个本不存在URL,从而直接避免了大量联网设备感染WannaCry后被锁;第二,我们可以通过WannaCry对该URL的访问请求量或DNS解析量进行分析,来实现对WannaCry感染疫情的总体监控。360互联网安全中心也正是基于DNS解析量的分析,快速实现了对WannaCry感染疫情态势感知。

  在WannaCry后期的各类变种中,有的修改了自杀开关的URL地址,有的则是直接删除了该自杀开关。

  2017年5月,影响全球的永恒之蓝勒索蠕虫(Wannacry)大规模爆发后,有两个重要问题一直让很多我国政企机构管理者和安全从业者感到困惑:一个是内网穿透问题,一个是同业差距问题。

  WannaCry传播和攻击的一个明显的特点,就是内网设备遭感染的情况要比互联网设备遭感染的情况严重得多。虽然说,未打补丁是内网设备中招的根本原因,但WannaCry究竟是如何穿透的企业网络隔离环境,特别是如何穿透了物理隔离的网络环境,一直是令业界困惑的问题。

  WannaCry传播和攻击的另外一个重要特点,就是有些机构大面中招,而有些机构则几乎无一中招。而且,即便是在同行业、同规模、同级别,甚至是安全措施都差不太多的大型政企机构中,也是有的机构全面沦陷,有的机构却安然无事。究竟是什么原因导致这种天差地别的结果呢?

  为能深入研究上述两个问题,寻找国内政企机构安全问题的症结所在及有效的解决途径,360威胁情报中心联合360安全监测与响应中心,对5月12日-5月16日间,国内1700余家大中型政企机构的网络安全应急响应情况进行了抽样调研。并对上述问题得出了一些初步结论。

  此次调研显示,在大量感染WannaCry的机构案例中,病毒能够成功入侵政企机构内部网络,主要原因有以下几类:

  一机双网或一机多网问题,是此次WannaCry能够成功入侵物理隔离网络的首要原因。一机双网问题是指一台电脑设备既连接在物理隔离的网络中,同时又直接与互联网或其他网络相连。病毒首先通过互联网感染某台设备,随后再通过这台染毒设备攻击内网系统中的其他设备。

  将未打补丁或有安全缺陷的设备带出办公场所,并与互联网相连,是此次WannaCry感染内网设备的第二大主要原因。WannaCry爆发初期,时逢“一带一路”大会前夕。很多机构在此期间进行了联合集中办公,其中就不乏有机构将内部办公网上电脑设备被搬到了集中办公地点使用。这些电脑日常缺乏有效维护,未打补丁,结果不慎与互联网相连时就感染了WannaCry。而这些被带出办公区的缺欠电脑,又由于工作需要,持续的,或不时的会通过VPN、专线等方式与机构内网相连,于是又将WannaCry感染到了机构的内网设备中。

  这是一类比较特殊的问题,但在某些政企机构中比较突出。即,某些机构在其办公系统或生产系统中,同时使用了多个功能相互独立,但又需要协同运作的网络系统;而这些协同工作的网络系统中至少有一个是可以与互联网相连的,从而导致其他那些被“物理隔离”的网络,在协同工作过程中,因网络通信而被病毒感染。

  这一问题主要发生在政企机构内部的不同子网之间。大型政企机构,或存在跨地域管理的政企机构之中,发生此类问题的较多。一般来说,企业使用的防火墙设备,大多会对互联网访问关闭445端口。但很多企业在内部多个子网系统之间的防火墙(内部防火墙)上,却没有关闭445端口。从而导致这些政企机构内部的某个子网中一旦有一台设备感染了WannaCry(可能是前述任何一种原因),病毒就会穿透不同子网之间防火墙,直接对其他子网系统中的设备发动攻击,最终导致那些看起来相互隔离的多个子网系统全部沦陷,甚至有个别企业的共享服务器被感染后,直接导致其在各地分支机构的网络设备全部中招。

  这一问题在某些超大型政企机构中比较突出。受到历史、地理等复杂因素的影响,这些机构大多自行建设了规模非常庞大的内部网络,而且这些网络本身并未进行非常有效的功能隔离。特别是这些企业在办公区附近自建的家属楼、饭店、网吧,及其他一些娱乐场所,其网络也往往是直接接入了企业的内部网络,而没有与办公区的网络进行有效隔离。这也就进一步加剧了不同功能区电脑设备之间的交叉感染情况。

  这也是一类比较特殊,但在某些政企机构中比较突出的问题。产生这一问题的主要原因是:某些政企机构,出于管辖、服务等目的,需要将自己的电脑设备放在关联第三方的办公环境中使用;但这些关联第三方可能是多家其他的政企机构,办公网点也可能分散在全国各地,甚至是一个城市中的多处不同地点;由此就导致了这些设备虽然被经常使用,但却长期无人进行安全管理和维护,电脑系统长期不打补丁,也不杀毒的情况,所以也有相当数量的电脑中招。

  员工甚至IT管理者的安全意识差,轻视安全问题,不能对突发安全事件做出正确的判断,是本次永恒之蓝勒索蠕虫在某些机构中未能做到第一时间有效处理的重要原因。具体表现在以下几个主要方面:

  1)病毒预警不在乎:很多企业员工或管理者根本不相信会有严重的病毒爆发,即便是看到国家有关部门的预警公告后,也毫不在意。这种倾向在越低层的员工中越明显。

  2)管理规定不遵守:政企机构中普遍存在上班时间上网购物,上色情网站的情况;还有很多私自搭建WiFi热点,造成了机构内网暴露。而这些行为,在绝大多数机构中都是明文禁止的。

  3)应急方案不执行:看到企业紧急下发的安全须知、应急办法和开机操作规范等材料,很多机构员工仍然我行我素,不按要求操作。

  4)风险提示不满意:有很多员工看到安全软件进行风险提示,仍然选择放行相关程序或网页;甚至有人反馈要求安全厂商不要对某些恶意软件或恶意网站进行风险提示。

  从永恒之蓝勒索蠕虫事件来看,凡是出现较大问题的政企机构,其内部的安全管理也普遍存在非常明显的问题。具体也表现在以下几个方面:

  1)业务优先忽视安全:很多政企机构非常强调业务优先,并要求任何安全措施的部署都不得影响或减缓业务工作的开展;甚至有个别机构在明知自身网络系统及电脑设备存在重大安全漏洞或已大量感染病毒的情况,仍然要求业务系统带毒运行,拒绝安全排查和治理。更有个别机构为保证信息传达的及时,上级部门领导即便收到了带毒邮件,看到了安全软件的风险提示后,仍然会坚持向下级部门进行转发。

  style=margin-left: 0cm; 2)安全监管地位较低:政企机构中的安全监管机构,安全监管领导的行政级别较低,缺乏话语权和推动力,难以推动落实网络安全规范,无法及时有效应对实时威胁,也是大规模中招企业普遍存在的一个典型特征。

  3)管理措施无法落实:由于安全监管部门在机构内的地位较低,日常的安全教育和培训又十分缺乏,从而导致了很多政企机构内部的安全管理措施无法落实。

  客观的说,通过员工教育来提高整体安全意识,在实践中往往是难以实现的。采用必要的技术手段还是十分必须的。从永恒之蓝勒索蠕虫的应急过程来看,政企机构内网设备遭大规模感染的主要技术原因有以下几个方面:

  1)物理隔离网络缺乏外联检测控制:很多采用物理隔离网络的机构,仅仅是在网络建设方面搭建了一张与互联网物理隔离的网络,而对联网设备本身是否真的会连接到互联网上,则没有采取任何实际有效的技术检测或管理方法。

  2)逻辑隔离网络缺乏内网分隔管理:采取逻辑隔离的网络,很多都存在内部子网之间边界不清的问题。这一方面表现为很多不同功能的网络设备完全没有任何隔离措施——如前述的某些大型政企机构自建的家属区、饭店、网吧等的网络与办公网没有隔离;另一方面则表现为尽管子网之间有相互隔离,但由于配置不当导致措施不够有效。

  3)隔离网内电脑不打补丁情况严重:电脑不打补丁,是永恒之蓝勒索蠕虫能够大范围攻击内网设备的根本原因。而政企单位内部隔离网络中的设备不打补丁的情况实际上非常普遍,但原因却是多种多样的。

  也就是说,永恒之蓝勒索蠕虫在爆发之前,我们是有58天的时间可以布防的,但因为很多政企单位在意识、管理、技术方面存在一些问题,导致平时的安全运营工作没有做到位,才会在永恒之蓝来临之际手忙脚乱。

  对于为何有大量的政企机构不给内网电脑打补丁这个具体问题,我们也一并在这里进行一个归纳总结。具体如下:

  很多机构管理者想当然的认为隔离的网络是安全的,特别是物理隔离可以100%的保证内网设备安全,因此不必增加打补丁、安全管控和病毒查杀等配置。

  在那些缺乏补丁集中管理措施的机构,业务系统过于复杂的机构,或者是打补丁后很容易出现异常的机构中,此类观点非常普遍。

  很多带宽资源紧张或是内网设备数量众多的机构都持这一观点。有些机构即便是采用了内网统一下发补丁的方式,仍然会由于内网带宽有限、防火墙速率过低,或补丁服务器性能不足等原因,导致内部网络拥塞,进而影响正常业务。

  因为很多机构内部的办公系统或业务系统都是自行研发或多年前研发的,很多系统早已多年无人维护升级,如果给内网电脑全面打补丁,就有可能导致某些办公系统无法再正常使用。

  这主要是因为某些机构内部电脑的软硬件环境复杂,容易出现系统冲突。如主板型号过老,长期未更新的软件或企业自用软件可能与微软补丁冲突等,都有可能导致电脑打补丁后出现蓝屏等异常情况。

  综上所述,很多政企机构不给隔离网环境下的电脑打补丁,也并不都是因为缺乏安全意识或怕麻烦,也确实有很多现实的技术困难。但从更深的层次来看,绝大多数政企机构在给电脑打补丁过程中所遇到的问题,本质上来说都是信息化建设与业务发展不相称造成的,进而导致了必要的安全措施无法实施的问题。所以,企业在不断加强网络安全建设的同时,也必须不断提高信息化建设的整体水平,逐步淘汰老旧设备,老旧系统,老旧软件。否则,再好的安全技术与安全系统,也未必能发挥出最好的,甚至是必要的作用。

  永恒之蓝来势汹汹,在最为关键的72小时内,所有政企单位都在争分夺秒:已经感染的要控制风险扩散,尚未感染的要加固防线避免感染。

  2017年5月12日14:26,360互联网安全中心发现安全态势异常,启动黄色应急响应程序,安全卫士在其官方微博上发布永恒之蓝紧急预警。5月13日凌晨1:23’,360安全监测与响应中心接到某大型能源企业的求助,反映其内部生产设备发现大规模病毒感染迹象,部分生产系统已被迫停产。360安全监测与响应中心的安全服务人员在接到求助信息后,立即赶往该单位总部了解实际感染情况。

  初步诊断认为:WannaCry病毒已在该机构全国范围内的生产系统中大面积传播和感染,短时间内病毒已在全国各地内迅速扩散,但仍处于病毒传播初期;其办公网环境、各地业务终端(专网环境)都未能幸免,系统面临崩溃,业务无法开展,事态非常严重。

  进一步研究发现,该机构大规模感染WannaCry的原因与该机构业务系统架构存在一定的关联;用户系统虽然处于隔离网,但是存在隔离不彻底的问题;且存在某些设备、系统的协同机制通过445端口来完成的情况。

  安服人员第一时间建议全网断开445端口,迅速对中招电脑与全网机器进行隔离,形成初步处置措施。随后,针对该企业实际情况,制定了应急处置措施,提供企业级免疫工具并开始布防。该企业在全国范围内针对该病毒发送紧急通知,发布内部应急处理和避免感染病毒的终端扩大传播的公告。

  5月16日,病毒蔓延得到有效控制,染毒终端数量未继续增长,基本完成控制及防御工作。整个过程中,该企业和安全厂商全力协作配合,监控现场染毒情况、病毒查杀情况,最终使病毒得到有效控制。

  5月13日上午9:00许,某大型政府机构接到安全厂商(360)工作人员打来的安全预警电话。在全面了解“永恒之蓝”病毒的爆发态势后,总局领导高度重视,立刻提高病毒应对等级。随机,安全公司在该机构的驻厂人员立即对该政府机构进行现场勘测。

  检测结果显示:该机构在各地都布置了防火墙设备,并且445端口处于关闭状态,而且统一在全国各地布置了终端安全软件,但是仍有终端电脑存在未及时打补丁情况。尽管该机构尚未出现中毒电脑,但是系统仍然存在安全隐患、有重大潜在风险。

  应急指挥小组与安全公司驻厂工作人员协同明确应对方案:首先,优先升级总局一级控制中心病毒库、补丁库,确保补丁、病毒库最新;随后,开始手动升级省级二级控制中心,确保升级到最新病毒库和补丁库;对于不能级联升级的采用远程升级或者通知相关管理员手动更新;进一步对系统内各终端开展打补丁、升级病毒库、封闭端口工作。

  5月13日凌晨3:00许,360安全监测与响应中心接到某单位(市级)电话求助,称其在全市范围内的的视频监控系统突然中断了服务,大量监控设备断开,系统基本瘫痪。安服人员第一时间进行了远程协助,初步判断:猜测可能是监控系统的服务器遭到攻击感染了勒索病毒,进而感染了终端电脑,建议立即逐台关闭Server服务,并运行免疫工具,同时提取病毒样本进行分析。

  安服人员现场实地勘察后发现:确实是该视频监控系统的服务器中招了,罪魁祸首正是WannaCry,并且由于服务器中招已经使部分办公终端中招。溯源分析显示,“永恒之蓝”先在一台视频网络服务器上发作,然后迅速扩散,导致该市局视频专网终端及部分服务器(大约20多台)设备被病毒感染,数据均被加密,导致大量监控摄像头断开连接。断网将对当地的生产生活产生重要影响。

  安服人员首先在交换机上配置445端口阻塞策略;其次,分发勒索病毒免疫工具,在未被感染的终端和服务器上运行,防止病毒进一步扩散;另外,对于在线终端,第一时间推送病毒库更新和漏洞补丁库;由于部分被加密的服务器在被感染之前对重要数据已经做了备份,因此对这些服务器进行系统还原,并及时采取封端口、打补丁等措施,避免再次感染。

  至5月16日,该机构的视频监控系统已经完全恢复正常运行,13日凌晨被感染的终端及服务器以外,没有出现新的被感染主机。

  5月13日,某单位信息化部门工作人员看到了媒体报道的永恒之蓝勒索蠕虫事件。虽然该单位内部尚未发现感染案例,但考虑到自身没有全面部署企业级安全管理软件,所以对自身安全非常担忧。5月14日上午8:00,该单位紧急打电线安全监测与响应中心求助。

  安服人员现场实际勘测后发现:该机构实际上已经部署了防火墙、上网行为管理等网关设备,但是内部没有使用企业级安全软件,使用的是个人版安全软件。所以难以在很短的时间内摸清内部感染情况。

  在安服人员协助下,该单位开始进行全面的排查,并采取必要的防护措施。在NGFW设备上开启控制策略,针对此次重点防护端口445、135、137、138、139进行阻断;同时,将威胁特征库、应用协议库立即同步至最新状态;在上网行为管理设备中更新应用协议库状态,部署相应控制策略,对“永恒之蓝勒索蠕虫”进行全网阻塞。

  在病毒爆发72小时之内,该机构未出现一起感染事件。但是,在第一时间该机构无法准确判断自己的实际感染情况,造成恐慌。经过此次事件,该机构已经充分认识到企业级终端安全管理的重要性。

  2017年6月9日,某新能源汽车制造商的工业控制系统开始出现异常。当日晚上19时,该机构生产流水线的一个核心部分:动力电池生产系统瘫痪。这也就意味着所有电动车的电力电机都出不了货,对该企业的生产产生了极其重大的影响。该机构紧急向360安全监测与响应中心进行了求助。

  实际上,这是永恒之蓝勒索蠕虫的二次突袭,而该企业的整个生产系统已经幸运的躲过了5月份的第一轮攻击,却没有躲过第二次。监测显示,这种第二轮攻击才被感染情况大量存在,并不是偶然的。

  安服人员现场实际勘测发现:该机构的工业控制系统已经被WannaCry感染,而其办公终端系统基本无恙,这是因其办公终端系统上安装了比较完善的企业级终端安全软件。但在该企业的工业控制系统上,尚未部署任何安全措施。感染原因主要是由于其系统存在公开暴露在互联网上的接口。后经综合检测分析显示,该企业生产系统中感染WannaCry的终端数量竟然占到了整个生产系统电脑终端数量的20%。

  事实上,该企业此前早已制定了工业控制系统的安全升级计划,但由于其生产线上的设备环境复杂,操作系统五花八门(WinCE终端、WinXP终端及其他各种各样的终端都会碰到),硬件设备也新老不齐(事后测试发现,其流水线年以上历史),所以部署安全措施将面临巨大的兼容性考验,所以整个工控系统的安全措施迟迟没有部署。

  因该厂商的生产系统中没有企业级终端安全软件,于是只能逐一对其电脑进行排查。一天之后也仅仅是把动力电池的生产系统救活。此后,从6月9日开始一直到7月底差不多用了两个月时间,该企业生产网里中的带毒终端才被全部清理干净。经过此次事件,该机构对工业控制系统安全性更加重视,目前已经部署了工控安全防护措施。经过测试和验证,兼容性问题也最终得到了很好的解决。

  类Petya病毒是2017年全球流行并造成严重破坏的一类勒索软件。具体包括Petya病毒,NotPetya病毒和BadRabbit病毒(坏兔子)三种。从纯粹的技术角度看,类Petya病毒的三个子类并不属于同一木马家族,但由于其攻击行为具有很多相似之处,因此有很多安全工作者将其归并为一类勒索软件,即类Petya病毒。

  Petya病毒主要通过诱导用户下载的方式进行传播。病毒会修改中招机器的MBR(主引导记录,Master Boot Record)并重启设备。重启后,被感染电脑中MBR区的恶意代码会删除磁盘文件索引(相当于删除所有文件) ,导致系统崩溃和文件丢失。

  NotPetya主要通过永恒之蓝漏洞进行初次传播。破坏方式同Petya相同(具体实现上的技术细节略有不同)。其后期版本还会通过局域网弱口令或漏洞进行二次传播。2017年6月底爆发在乌克兰、俄罗斯多个国家的勒索软件攻击事件,实际上就是NotPetya的攻击活动。由于其行为与Petya及其类似,因此一开始被很对人误认为是Petya病毒攻击。由于NotPetya存在破坏性删除文件的行为,因此,即便支付了赎金,数据恢复的可能性也不大。关于NotPetya的真实攻击目的,目前业界也还有很多不同的看法。

  BadRabbit主要通过诱导用户下载进行初次传播。会通过一般的勒索软件常用的不对称加密算法加密用户文件,并修改MBR导致用户无法进入系统。同时,还会通过局域网弱口令或漏洞进行二次传播。

  2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模“类Petya”勒索病毒袭击,该病毒远程锁定设备,然后索要赎金。其中,乌克兰地区受灾最为严重,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响,包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行(Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。

  根据事后的分析,此次事件在短时间内肆虐欧洲大陆,在于其利用了在乌克兰流行的会计软件M.E.Doc进行传播。这款软件是乌克兰政府要求企业安装的,覆盖率接近50%。更为严重的是,根据安全机构的研究,M.E.Doc公司的升级服务器在问题爆发前接近三个月就已经被控制。也就是说,攻击者已经控制了乌克兰50%的公司的办公软件升级达三个月之久。类Petya攻击只是这个为期三个月的控制的最后终结,目的就是尽可能多的破坏掉,避免取证。至于在之前的三个月当中已经进行了什么活动,已无法得知了。

  勒索病毒是个舶来品,无论是英文版的勒索信息,还是比特币这一赎金交付方式,都透漏着浓浓的国际化味道。而最近,360威胁情报中心却发现一款国产化的勒索病毒。该病毒为国内黑客制造,并第一次以乐队名字MCR命名,即称该病毒为MCR勒索病毒。该病毒在2017年7月底首次出现,采用python语言编写。

  该病毒加密文件后,文件扩展名会变为“.MyChemicalRomance4EVER”。而扩展名中的“My Chemical Romance”,其实是源自一支美国新泽西州的同名朋克乐队。该乐队成立于2002年,十一年后的2013年宣告解散。朋克这种充满了叛逆与不羁的音乐风格向来深受年轻人的喜爱。

  该勒索软件的特点是:在加密的文件类型列表中,除了大量的文档类型外,还包括有比特币钱包文件和一些较重要的数据库文件。而另一个更大的特点则是,该木马不同于以往的勒索软件使用不对称加密算法,而是采用了AES对称加密算法,并且用于加/解密的密钥则是硬编码在脚本中的:“MyChemicalRomance4EVER_tkfy_lMCR”中。因为使用对称加密算法,并且密钥可以从脚本中获得。所以在不支付赎金的情况,被加密的文件资料也可以比较容易的被解密恢复。

  2017年8月5日,某公共服务系统单位的工作人员在对服务器进行操作时,发现服务器上的Oracle数据库后缀名都变为了“.MyChemicalRomance4EVER”,所有文件都无法打开。该IT人员怀疑自己的服务器被勒索软件进行了加密,因此向360安全监测与响应中心进行求助。

  安全人员现场勘测发现,该公共服务系统感染的是MCR勒索病毒。该病毒名字起的很“朋克”,但传播方式却颇为老套,即伪装成一些对广大网民比较有吸引力的软件对外发布,诱导受害者下载并执行。比如我们现场截获并拿来分析的这个样本,就自称是一款叫做“VortexVPN”的VPN软件。除此之外,还有类似于PornDownload、ChaosSet、BitSearch等,基本都是广大网友都懂得的各种工具软件。

  而与众不同的是,这款病毒竟然是用Python语言编写了木马脚本,然后再打包成一个.exe的可执行程序。首先,木马会判断自身进程名是否为systern.exe。如果不是,则将自身复制为C:\Users\Public\systern.exe并执行。之后,木马释放s.bat批处理脚本,关闭各种数据库和Web服务及进程。接下来,就是遍历系统中所有文件并加密且留下勒索信息了。当然,为了避开敏感的系统文件,代码有意避开了“C:\Documents and Settings”和“C:\Windows”两个目录。最终木马会调用系统的wevtutil命令,对系统日志中的“系统”、“安全”和“应用程序”三部分日志内容进行清理,并删除自身,以求不留痕迹。

  安服人员发现该勒索软件程序写的有漏洞,可直接利用360解密工具恢复数据。因此,在未向黑客支付一分钱的前提下,360帮助该单位成功的恢复了所有被加密的文件。建议该企业员工:不要从不明来源下载程序;安装杀毒软件并开启监控;更不要相信所谓外挂、XX工具、XX下载器一类的程序宣称的杀软误报论。

  2016年2月,在国外最先发现的一款能够通过Java Applet传播的跨平台(Windows、MacOS)恶意软件Crysis开始加入勒索功能,并于8月份被发现用于攻击澳大利亚和新西兰的企业。Crysis恶意软件甚至能够感染VMware虚拟机,还能够全面收集受害者的系统用户名密码,键盘记录,系统信息,屏幕截屏,聊天信息,控制麦克风和摄像头,现在又加入了勒索功能,其威胁性大有取代TeslaCrypt和对手Locky勒索软件的趋势。

  Crysis勒索软件的可怕之处在于其使用暴力攻击手段,任何一个技能娴熟的黑客都可以使用多种特权升级技术来获取系统的管理权限,寻找到更多的服务器和加密数据来索取赎金。主要攻击目标包括Windows服务器(通过远程爆破RDP账户密码入侵)、MAC、个人PC电脑等。该勒索软件最大特点是除了加密文档外,可执行文件也加密,只保留系统启动运行关键文件,破坏性极大。

  2017年10月15日,某云平台服务商,发现托管在自己机房的用户服务器上的数据均被加密,其中包含大量合同文件、财务报表等文件都无法打开。该IT人员怀疑自己的服务器被勒索软件进行了加密,因此向360安全监测与响应中心进行求助。

  安服人员现场实际勘测发现:该机构的公共服务器被暴露在公网环境中,并且使用的是弱密码;黑客通过暴力破解,获取到该服务器的密码,并使用远程登录的方式,成功的登录到该服务器上。黑客在登陆服务器后,手动释放了Crysis病毒。

  因其服务器上存储着大量重要信息,其对企业发展产生至关重要的作用,所以该机构选择支付赎金,成功恢复所有被加密的文档。下图为该机构支付赎金的解密过程示意图。

  GlobeImposter病毒最早出现是在2016年12月份左右,第一个版本存在漏洞,可解密,但后期版本只能支付赎金解密。2017年5月份出现新变种,7、8月初进入活跃期。该病毒从勒索文档的内容看跟Globe家族有一定的相似性。

  2017年7月12日,某大型房地产企业发现自己的服务器上数据库被加密,该企业的IT技术人员担心受到责罚,隐瞒实际情况未上报。10月18日,该企业领导在查询数据时,发现服务器上的数据均已经被加密,且长达数月之久,意识到自己内部员工无法解决此问题,于是向360安全监测与响应中心进行求助。

  安全厂商人员实际勘测发现:攻击者主要是使用带有恶意附件的邮件进行钓鱼攻击。受害者在点击了附件中的VBS脚本文件,即GlobeImposter病毒后,VBS脚本文件负责从网络上下载勒索软件,通过rundll32.exe并带指定启动参数进行加载。样本执行后在内存中解密执行,解密后才是真正的功能代码。该勒索软件会对系统中的文件进行扫描,对磁盘上指定类型的文件进行加密,被样本加密后的文件后缀为.thor。样本加密文件所使用的密钥为随机生成,加密算法为AES-CBC-256,用样本内置的RSA公钥,通过RSA-1024算法对随机生成的AES加密密钥进行加密处理。

  由于距离加密时间太久,黑客密钥已经过期,被加密的数据和文件无法恢复,给该企业造成了大量的财产损失。

  CryptON病毒最早出现在2016年12月,该病毒是一系列Cry9,Cry36,Cry128,Nemsis等勒索病毒的统称,早期版本可通过对比加密和未加密的文件来暴力运算破解获取解密密钥,后期版本无法解密。

  2017年11月26日,某市政务系统被发现其服务器上的数据库、业务系统不能使用,文件内容无法存储,所有文件都打不开了。该机构紧急向360安全监测与响应中心进行求助。

  安服人员现场勘测发现:该系统感染的勒索软件为CryptON病毒。攻击者首先使该机构的IT运维人员的电脑感染木马程序,之后在IT人员登录服务器时窃取了账号和密码,再通过窃得的帐号密码远程登录到服务器上,最后释放勒索软件。

  由于CryptON病毒的不可解性,要想恢复数据文件,只能支付赎金。该机构在得知只有支付赎金才能解密的情况下,放弃了数据恢。

http://kingkaiju.com/ruanjianfenfaban/468.html
点击次数:??更新时间2019-07-03??【打印此页】??【关闭
  • Copyright © 2002-2017 DEDECMS. 织梦科技 版权所有  
  • 点击这里给我发消息
在线交流 
客服咨询
【我们的专业】
【效果的保证】
【百度百科】
【因为有我】
【所以精彩】