×

警惕勒索病毒,互联网时代的新型敲诈行为
  

深信服安全产品研发 25102

{{ttag.title}}

                                                                                                      

超级勒索犯,勒索了数亿美元仍不停手!


你遭遇过勒索吗?

小时候被不良少年勒索:

个人隐私外泄被勒索:


以及,近几年流行的碰瓷……



勒索软件汹涌来袭

但,传统的勒索手段已经OUT了!近期,越来越多的人被一种恶意软件程序勒索,电脑上的多种重要文件都被加密而无法打开,并且无计可施,只能乖乖支付赎金,以对文件解密。


据纽约时报报道,2月份,洛杉矶的一家医院在电脑系统宕机超过一周后,付给了黑客价值1.7万美元的比特币。


此软件在德国也泛滥成灾,据某公司报道德国每小时被感染5300台计算机


国内的情况同样不容乐观,某公司在去年5月份还进行了报道:


今年,黑客依旧利用该类病毒进行勒索,勒索病毒在全国大部分地区呈愈演愈烈之势,不少地方媒体都开始关注并呼吁市民防范:


手机也未能幸免。勒索病毒经常伪装成成人应用软件等,并以机主已经“违法”为借口劫持其移动设备:


什么?你用的是苹果电脑?不好意思,一向号称足够安全的MAC OS也沦陷了


据报道,仅CryptoWall一种勒索软件的的编写者,就赚取超过3.25亿美元了。


看到这里,信服君的心理是这样的:我#%@#!*%,这都是些什么病毒?


为此,信服君彻查了勒索小能手的家族史。

勒索软件大揭底

维基百科显示,勒索类恶意程序最早被发现的是1989年的“艾滋病”木马,中招的电脑系统被锁住,并显示“您的软件许可已过期!”需要向PC Cyborg公司付费189美金才能继续使用。


05和06年,勒索木马又在国外引起过一阵关注。而国内是在07年左右开始关注,勒索木马Redplus以及QiaoZhaz相继在国内用户中被发现。当时央视国际也进行了相关报道:


2013年下半年,勒索病毒已经广泛出现在我们的视野,一种叫做CryptoLocker的勒索病毒,以邮件附件形式进行传播,加密电脑上近百种格式的文件(包括电子表格、数据库、图片等),并向用户勒索价值数千甚至上万元的比特币。

值得一提的是,该病毒传播速度非常快,据统计,仅在最初的100天时间内,该勒索软件就感染了20万至25万个系统。
从2015年年初到现在,勒索软件又开始大规模爆发。同时,CryptoLocker还出现了很多不同的变种,如
CryptoWall、TeslaCrypt等等。

那么,最近的这些勒索软件都有啥特征呢?信服君奋笔疾书,掰着指头总结了几点:

勒索软件的特征

1、主要通过邮件和钓鱼网站进行传播


2、难以清除

勒索软件病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析

(图片来自百度贴吧)

3、被加密文件除了支付赎金,暂无其他解决办法

勒索软件除了给个人电脑中的文件进行高强度加密(据说需要大型计算机跑几十年才能破解的RSA2048和RSA4096),还会删除这些文件的备份。一旦中招,除了支付赎金外,暂无解决办法,FBI也建议如果数据非常重要且无其他备份,那就只好支付赎金了。


什么?还有技术流小伙伴想要了解勒索软件源码特征神马的?别着急,信服君准备了专家们提供的勒索软件行为、代码等详细分析,点击这里(官微)了解更多。

这么丧心病狂的勒索小能手有办法应对吗?

NGAF防病毒特征库第一时间更新了数十万Locky病毒防御特征,此外,还可以使用NGAF6.7版本的防垃圾邮件功能自动封堵不良的邮件发送者,也可以在邮件附件过滤功能里面设置对诸如js等文件类型进行过滤设置,比如直接过滤掉,或者提示风险,有效防范Locky病毒文件通过邮件感染本地网络!

某公司千里目实验室在对巨量Locky勒索样本分析与研究的基础上,编写了针对Locky勒索软件的专防工具,安装运行后可完美防御目前已知Locky勒索样本,帮您规避Locky的困扰,快快来试试吧!

前面提到了,如果中招,文件被加密,除了支付赎金就很难解密了(当然,据信服君家的安全专家说,有些是AES加密的,还是可以解密的,点击这里了解具体方法),所以主要以防御为主。此外,这种勒索软件变种不断,相关杀毒软件等防御手段并不能保证100%防御,所以建议小伙伴们提高警惕,做好防护措施。

信服君提供建议如下:

1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;
4、企业用户可使用某公司NGAF进行防御,升级最新特征库可拦截95%以上的勒索病毒;
5、某公司升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复;
7、安装某公司千里目实验室开发的针对Locky勒索软件的专防工具

已经遭遇病毒肿么办?
1、使用金山毒霸、腾讯安全管家、安天杀毒软件等清除病毒源;
2、删除勒索信息及加密文件;
3、从备份文件或其他人那获取被加密文件的原件;
4、如数据实在非常重要,又没有其他备份,那只好按要求交赎金了;

但支付赎金需谨慎!!

第一,比特币购买不受法律保护,并且即使支付了比特币给勒索者,也不一定能够获取私钥进行解密;
第二,支付赎金会助长黑客扩散勒索病毒的行为,导致更多人受害。


信服君提醒:网络环境越来越复杂,保护好自己的数据,且行且珍惜。


某公司,企业级安全的赋能者

点击以下链接,获取更多某公司安全资讯:
http://sec.sangfor.com.cn:88


欢迎小伙伴们跟贴讨论,内容包括:
1、您对勒索病毒的看法;
2、您或您身边的朋友遇到的勒索病毒事件,以及最后的解决方法!

即日起至4月25日,发表您对勒索病毒的看法分享您遇到的勒索病毒事件即可获得100S~

分享送豆活动已结束,100S豆已存入以下用户账号,请查收:
帖子评论回复者
4楼回复:自身防范意识要到位,谨防个人信息泄露。各位要参考信服君的防护建议!
本人重要数据使用微软证书加密,私人数据盘使用bitlocker加密,PC使用杀毒安全软件。
王亮
5楼回复:比特币的购买途径对普通人来说就是一个难题了!!!灰玩
7楼回复:针对于这个类型的病毒,我一般的做法是重装系统,当然很彻底的重装,平时的防范措施是:
1、不贪小便宜,不乱安装软件
2、不会打开未知邮件的附件
3、在打开邮件附件或其他文件时,都用防病毒软件扫描之后再操作
4、尽量使用可靠的防病毒软件,建议企业可以在网络出口上一下过滤及防护设备,推荐使用某公司的NGAF,当让也可以使用其他厂商的一下防护软件,知名的会好一点。
...
Beijixiong
8楼回复:在三月初,我有两个客户中招了,一个是伪装公司钓鱼网站,另外一个到现在都没查出来。。悲剧952788
9楼回复:好,大力推广新手669092
10楼回复:学习了
11楼回复:听信服君这么一说,我想起来,前段时间一个朋友的苹果手机、Pad都被提示注册码过期,而后有人发邮件说,支付赎金可以给解决问题。后悔,当时没详细问问具体的情况,不知道这个和君说的是不是一个病毒。最后花钱找的售后给解决了,没有给敲诈者留任何的余地。
由此我想到了,不做黑客,也要懂得黑客的思维,安全是一把双刃剑,防患于未然吧
tszyz
12楼回复:建议重要文件至少要有三个及以上的副本,且每个副本不同介质。
13楼回复:这个贴子图文并茂,层层递进,看完有种豁然开朗的感觉。
看完觉得,这个勒索病毒确实是个发家致富的捷径。
避免的最好办法是:数据实时备份,及时中招也不怕。
adds
14楼回复:身边有朋友中招过,并且查阅了相关的可能解决的办法和病毒的原理等信息。多数信息已给截图展示出来,更多相信的可以查阅知乎。所以,数据无价啊,大家要做好安全和备份,比如使用防火墙、杀毒软件等作为防范,然后针对未知的文档不要启动宏。其次是企业内还是希望使用上某公司的防火墙来做安全与过滤,避免不必要的痛啊XiaoYang
15楼回复:魔高一尺道高一丈啊,安全行业更是时刻充满危险紫色焰火
16楼回复:无药可救了啊新手920610
17楼回复:我们有客户已经中招了,各种资源都没有办法解密。Forever
18楼回复:这个病毒在去年就有见到过,也拿到分析,目前就有好奇的人去修改一些提示然后自用。lchduck
19楼回复:单靠网络,技术,公安这些单位是解决不了问题的,要从根源银行上解决,还会有类似的什么网络敲诈吗?陈经途
21楼回复:有个客户前两个月中了。。。还好只有一台并不严重。所以还是那句老话,不做就不会死,不乱点就没事kuoner
22楼回复:在我们学校,最近遭到一次攻击,将学校某公司的链接伪装成了钓鱼网站招兵买马
23楼回复:其实,咱们某公司团队这么强大,应该也研究出一个什么什么的。。来而不往非礼也。。。。你懂得 嘿嘿。。容我再补上一刀
24楼回复:这病毒太丧心病狂了。
不过主要还是要有安全意识,不要随意点击钓鱼网站和有异常的office宏等。最主要的是做好数据备份和异地备份确保万无一失。常在河边走哪有不湿鞋。
魅力长安
25楼回复:感觉好恐怖,好吓人❤★陈智强★❤
26楼回复:给360杀毒软件干掉了金诺网络_JET

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

SteveNiaobs 发表于 2016-3-26 12:29
  
影响还是很大。安全,防范于未然
Sangfor_闪电回_朱丽 发表于 2016-3-29 09:37
  
针对勒索,真的忍无可忍,但如果真的不小心中招,又无计可施~~~
请各位手机、电脑用户,参考信服君的防护建议!
王亮 发表于 2016-3-29 12:47
  
自身防范意识要到位,谨防个人信息泄露。各位要参考信服君的防护建议!
本人重要数据使用微软证书加密,私人数据盘使用bitlocker加密,PC使用杀毒安全软件。
灰玩 发表于 2016-3-29 15:16
  
比特币的购买途径对普通人来说就是一个难题了!!!
Beijixiong 发表于 2016-3-29 16:10
  
警惕,目前我们已经跟客户都通报了该类型的病毒!
Beijixiong 发表于 2016-3-29 16:17
  
针对于这个类型的病毒,我一般的做法是重装系统,当然很彻底的重装,平时的防范措施是:
1、不贪小便宜,不乱安装软件
2、不会打开未知邮件的附件
3、在打开邮件附件或其他文件时,都用防病毒软件扫描之后再操作
4、尽量使用可靠的防病毒软件,建议企业可以在网络出口上一下过滤及防护设备,推荐使用某公司的NGAF,当让也可以使用其他厂商的一下防护软件,知名的会好一点。
我目前有个客户中了该类型的病毒,处理方法入下:
1、断开该计算机联网,直接拔网线(台式机)
2、关机
3、将硬盘拆出来,用一台干净不联网的电脑读取硬盘数据,将没被加密的文件拷贝出来,将邮件中的附件提交分析,并报警(网警)。
4、低格硬盘,重装系统
5、检测拷贝出来的文件,重新拷贝会新装的系统
952788 发表于 2016-3-30 08:29
  
在三月初,我有两个客户中招了,一个是伪装公司钓鱼网站,另外一个到现在都没查出来。。悲剧
新手669092 发表于 2016-3-30 08:52
  
好,大力推广
发表于 2016-3-30 08:58
  
学习了
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人