这个时候病毒会告诉你文件被锁住了,如果想解锁,那就得乖乖交钱。不过,这次这个竹杠敲得属实有点狠。网传有一家公司因勒索病毒入侵,斥 197 万巨资买了解锁密钥,才解决了危机。【 图片来源:黑白之道所有者:黑白之道 】有安全从业人员告诉雷锋网,这个病毒很可能是之前已经出现的病毒,为了确定真假,雷锋网采访了深信服安全专家欧和一探究竟。据欧和介绍,这个病毒就是此前的 Sodinokibi 勒索病毒。在进入正题前,先给大家科普下 Sodinokibi 勒索病毒:它继承了 GandCrab 的代码结构,其特点是使用随机加密后缀,并且加密后会修改主机桌面背景为深蓝色,最早出现于今年 4 月底,早期使用 Web 服务相关漏洞传播,后来发现其会伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播,但谁还没个手滑的时候呢,因此不少企业深受其害。那么,他们是如何入侵的呢?一般来说,该病毒在企业网络找到突破口后,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和 PC 进行加密,然后尝试内容横向移动,加密整个企业内网尽可能多的主机或服务器,可谓一台失陷,全网遭殃。上一秒文件还能打开,下一秒,对不起,花钱才能访问哦。要说套路深,勒索病毒制造者才是第一。但万万没想到,这个勒索病毒背后还有个团伙,那么,他们又是怎么合作的呢?欧和向雷锋网介绍道, Sodinokibi 勒索病毒的爆发主要得益于其形成的产业化规模,即分布式团伙作案,每个人各司其职,按劳分配,多劳多得。首先, Sodinokibi 勒索病毒运行成功后,会在主机上留下如下勒索信息,形如“随机后缀- readme.txt ”的文档:为了让你更容易找到他付费,他们还“贴心”的为你留了线索.......一个是暗网聊天网页,一个是普通聊天网页,受害企业可以根据自身情况任意联系(访问)其中一个链接。访问该链接后,可以通过网页进行聊天,设计十分专业,黑客可以与受害企业就赎金问题进行协商。而当黑客有钱了,他们还给自己找了线上保镖,专门负责谈判,24 小时在线。当然,线上客服没有最终定价权,最终赎金价格由上级老板拍板,即Sodinokibi勒索病毒的组织运营者。而 Sodinokibi 勒索病毒的要价普遍偏高,多数是在 3 到 6 个比特币,所以其主要攻击对象是企业,并且是中大型企业,其攻击目的是瘫痪企业核心业务网络,因此很多受害企业迫于无奈交了不少赎金。并且由于其为产业化运作,故每个参与者都有相应的分成。当受害企业向黑客钱包转入比特币的时候,此钱包会分批次转入其它成员的钱包。例如,某次攻击成功后,将赎金分 2 批转给了 4 个钱包,分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。勒索病毒作者、集成平台提供商属于薄利多销型,每一笔交易都有提成,所以单次提成比例虽低,但总数是非常客观的;线上客服按劳分配,说服一个客户,就有一小笔提成,当然大头不在他们,因为他们可替代性比较强,技术难度也不大。 每次攻击所得的赎金,大头由统筹钱包分配给了攻击者和组织运营者,所以单次成功后的贡献比较大,而任何个人和团队都能参与到不同客户的攻击活动中来,类似销售团队,每成一单,提成都比较可观。最后的大头,当然给了组织运营者,其负责拉通各个环节和资源,保障平台和团伙的正常运作。这简直就是一个黑吃黑且绝对不亏的买卖啊,但雷锋网编辑还是很好奇,有没有可能通过安全技术不花赎金解决问题?“大概率是不能的,大多数情况下,黑客都会采用 RSA+AES ,对称与非对称复合加密的方式,单纯破解难度极大,甚至是不可能的。”深信服安全专家H说。那么,作为受害者我们只能坐以待毙,乖乖掏钱吗?当然不可以,所以为今之计企业只有两个选择,一是安全加固,二是花钱安全加固。怎么加固呢?深信服安全专家欧和谈到企业自身应该如何做时,主要方式有:a、及时给电脑打补丁,修复漏洞。b、对重要的数据文件定期进行非本地备份。c、不要点击来源不明的邮件附件,不从不明网站下载软件。d、尽量关闭不必要的文件共享权限。e、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。f、如果业务上无需使用 RDP 的,建议关闭 RDP 。至于花钱加固,就不用了雷锋网多说了吧,比如雷锋网之前了解过的深信服勒索病毒防护方案,能够基于勒索病毒的感染传播过程进行分析和防护,并联动云端进行新型威胁的检测,实现主动防御。接下来说的话,相信你听无数安全从业人员都说过,但依旧值得重复一遍:别上不该上的网站,别点不该点的链接,别下不该下的东西。大多数上网需求,都可以在正规网站上搞定,如果觉得自己安全水平不够,就别瞎逛。否则,只能乖乖交赎金。
(图片来源网络,侵删)
0 评论