网站首页

摘要:

我被说服对全国11个行业超过10w的域名(或IP)进行安全防御，阻止163250次勒索软件攻击。从攻击流量数据来看，敲诈软件攻击流量最高的三个月分别是5月、6月和10月。

文本:

正如许多安全专家预测的那样，讹诈软件将在未来的网络犯罪中发挥重要作用，而过去两年中恶意软件的活动恰好验证了这一预测。低技术门槛、低风险、高回报使得“敲诈勒索服务”迅速发展。

所谓知己知彼，百战不殆。勒索病毒是什么样的前世？如何预防？这篇文章摘自“深层说服2017安全威胁分析报告”，为您完全解密勒索病毒。

勒索病毒进化

最早的勒索软件

已知最早的勒索软件出现在1989年。勒索软件运行后，所有的文件名和C盘也将被加密(从而导致系统无法启动)。此时，屏幕将显示一条消息，说明用户的软件许可证已过期，并要求用户将189美元发送到PCCyborg的巴拿马邮箱，以解锁系统。从那以后，讹诈病毒开始了近30年的攻击过程。

首次使用RSA加密的勒索软件

Archievus是2006年出现的勒索软件。勒索软件爆发后，它将加密系统中“我的文档”目录中的所有内容，并要求用户从特定网站购买以获得密码解密文件。它在勒索软件的历史舞台上第一次使用了RSA加密算法。RSA是一种非对称加密算法，它使得加密文档更难恢复。

中国第一款勒索软件

Redplus勒索特洛伊木马(特洛伊木马/Win32。Pluder)是中国第一款勒索软件，出现于2006年。特洛伊木马会隐藏用户的文档，然后弹出窗口要求用户将赎金汇至指定的银行账户。

敲诈勒索是天生的服务

2015年，第一次勒索即服务(RaaS)Tox风靡一时。毒理工具包在黑网上出售。Tox允许用户访问购买页面并创建一个定制的勒索软件。在此页面上，用户可以自定义勒索描述文本、赎金价格和验证码。之后，Tox服务将生成一个2MB的可执行文件，其中包含勒索代码并伪装成屏幕保护程序。

同年，卡门勒索软件出现。勒索软件即服务(RaaS)的这种新变体为购买者提供了一个用户友好的图形仪表板，允许购买者访问位于黑暗网络上的基于网络的控制面板，从而允许购买者配置卡门勒索软件的个性化版本。

自那以后，其他RaaS工具包如雨后春笋般涌现，如Fakben、Encrytor、Raddamant、Cerber、Stampado和其他勒索服务不断冲击市场，勒索软件工具包的价格也相应下降。

如敲诈软件鲨鱼，软件本身是免费的，开发者从赎金中赚取20%；勒索软件Stampado的价格为39美元，允许买家终身使用该套件。最近，RaaS工具包在恶意软件论坛上被搜索到，价格在15美元到95美元之间。

敲诈病毒利润模型

随着黑市的扩张，勒索市场也受到了其他经营模式的冲击。一种新的商业模式应运而生——敲诈即服务。勒索软件开发商出售一些软件功能作为服务，并继续提供更新和免费服务。小黑客和供应商通过网络钓鱼或其他攻击传播，然后分享好处。操作模式如下图所示:

在勒索即服务市场中，人们无论技术、能力如何，甚至没有编程经验，只要愿意付钱，都可以获得相应的服务，从而发动敲诈软件攻击。勒索即服务通常有三种交付方式。第一种是最常见的，即直接支付购买费用并获得勒索软件的终身使用权。勒索说明，赎金价格和验证码可以定制。另一种是提供免费的勒索软件，但开发者必须从赎金中抽取一定的比例。最后是定制服务，根据付款人的要求提供开发服务。

传播方式

勒索软件的传输方式主要是邮件传输，成本较低。与此同时，还存在对医院和企业等特定组织的攻击，它们通过入侵组织内部的服务器来传播勒索软件。随着人们对勒索软件越来越警惕，勒索者也增加了其他的沟通渠道。具体沟通方式如下:

邮件传播:攻击者以广泛传播的方式大量传播垃圾邮件和网络钓鱼邮件。一旦收件人打开邮件附件或点击邮件中的链接地址，勒索软件将以用户看不见的形式无声地安装在后台，并实施敲诈。

漏洞传播:当用户正常访问网站时，攻击者利用网页上的恶意广告来验证用户的浏览器是否存在可利用的漏洞。如果存在，则利用该漏洞将勒索软件下载到用户的主机上；

捆绑传播:与其他恶意软件捆绑传播；

僵尸网络传播:一方面，僵尸网络可以发送大量垃圾邮件；另一方面，僵尸网络在开发勒索软件即服务(RaaS)方面发挥了支持作用；

可移动存储介质、本地和远程驱动器(如C盘和挂载盘)传播:恶意软件会将其自身复制到所有本地驱动器的根目录中，并成为具有隐藏属性和系统属性的可执行文件；

文件共享网站传播:勒索软件存储在一些少数文件共享网站，等待用户点击链接下载文件；

网页挂马传播:当用户意外访问恶意网站时，浏览器会自动下载勒索软件并在后台运行；

社交网络传播:敲诈软件是通过。社交网络中的JPG图片或其他恶意文件载体。

2017年，wannacy和Petya的出现，彻底打开了我国敲诈勒索犯罪市场，尤其是wannacy，并为中国人开发了中文版界面，如下图所示:

这两个漏洞通常是通过漏洞和共享传播的。Wanacry勒索软件利用了MicrosoftWindows中一个众所周知的安全漏洞。彼佳讹诈软件是通过ME文档软件更新的漏洞传播的。WannaCry和Petya的出现也表明，利用世界各地常见漏洞的勒索软件攻击将给全人类带来灾难性的后果。

全年勒索病毒情况

2017年，勒索软件的数量激增。随着勒索服务的逐渐发展，勒索软件的成本越来越低，受到黑客的喜爱。在过去的一年里，各行各业都受到了勒索软件的攻击。2017年，流行的勒索软件使用了非对称和复杂的加密算法。一旦受害者被招募，只有支付赎金才能安全地恢复数据。

从2017年1月1日至2017年12月31日，我们深信下一代防火墙、云盾等安全防护产品将为11个行业(包括政府、教育、医疗、金融、企业、能源等)的10w以上域名(或IP)提供安全防护。)，阻止163250勒索软件的攻击。每月拦截和勒索软件攻击的趋势图如下:

从攻击流量数据来看，敲诈软件攻击流量最高的三个月分别是5月、6月和10月。由此可见，恶意软件在重大安全事件爆发期间和重大全国性会议期间传播非常频繁。因此，网络安全工作不能一直放松，在特殊时期要加强网络保护，避免被招募。

回应建议

目前，针对敲诈软件的措施主要是更新补丁和阻止恶意来源。但这些只能在威胁造成损害后才能开始。尽管反病毒和反恶意软件产品得到了很好的保护，但威胁发展如此之快，以至于没有任何工具可以提供100%的保护。因此，我确信可以提供以下10条建议来保护您和您的组织免受软件讹诈:

1.制定备份和恢复计划。经常备份您的系统，并将备份文件脱机存储到单独的设备上；

2.使用专业的电子邮件和网络安全工具，您可以分析电子邮件附件、网页或文件是否包含恶意软件，并且可以隔离与业务无关的潜在破坏性广告和社交媒体网站。

3.及时修补和更新操作系统、设备和软件；

4.确保您的安全设备和软件升级到最新版本，包括网络上的防病毒、入侵防御系统和防恶意软件工具。

5.在可能的情况下，使用应用程序白名单来防止非法应用程序下载或运行；

6.做好网络安全隔离工作，将你的网络隔离到一个安全的区域，确保一个区域的感染不会轻易传播到其他区域；

7.建立并实施一个权利和特权系统，以防止未经授权的用户访问关键应用程序、数据或服务；

8.建立并实施BYOD安全策略，检查并隔离不符合安全标准的设备(未安装防恶意软件、防病毒文件过期、操作系统需要关键补丁等)。)；

9.部署身份验证和分析工具，这些工具可以在攻击后得到确认:

a)感染来自哪里；

b)病毒在你的环境中潜伏了多久？

c)受感染文件是否已从所有设备中删除；

d)所有设备是否恢复正常。

10.最重要的是加强用户安全意识的培训。不要下载未知文件，点击未知的电子邮件附件，或点击电子邮件中的未知网络链接。毕竟，人是安全链中最薄弱的一环，需要围绕他们制定计划。

此外，我深信我在对付勒索病毒方面积累了很多实战经验。我有勒索病毒检测解决方案，勒索病毒防御响应解决方案和系统解决方案，以帮助更多的用户冷静地处理勒索病毒。

这篇文章是由网站管理员的用户提交的。未经网站管理员同意，严禁复制。例如，如果大多数用户在稿件中发现虚假报告，欢迎读者反馈、纠正和报告问题(反馈入口)。

免责声明:本文是对用户的贡献。站长之家发布这篇文章只是为了传达信息。这并不意味着站长之家同意其观点，不对内容的真实性负责，仅供用户参考，不构成任何投资或使用建议。读者被要求核实真实性和可能的风险，任何后果将由读者自己承担。

• 上一篇：“法国足球”宣布现任足球教练的薪酬排名:国际蔻驰孔
• 下一篇：苹果展示伟大精神:iOS 13将为iPad带来许多有用的新功