勒索变种有不变的特征吗?有相应的防护手段吗?
一、勒索变种肆虐全球
随着勒索软件即服务“RaaS”的出现,勒索产业化逐渐成熟,专业化的分工也让大量黑客投入到勒索病毒的制作研发中,包括LockBit、BlueSky、Deno、RedAlert、Hive 和 Again 等勒索家族变种频出,这也是导致勒索变种肆虐全球的重要原因。根据NCC Group的最新数据表明,仅今年第一季度,勒索软件攻击数量就激增288%。
二、勒索病毒攻击全流程
知己知彼,百战不殆,要想有效地防护勒索病毒,一定先要深度剖析勒索病毒。在勒索攻击的全流程中,主分为前期的网络攻击渗透阶段和后期的数据加密阶段。
前期网络攻击渗透阶段,勒索病毒会通过捆绑式下载、水坑攻击、钓鱼软件、暴力破解等方式,攻击渗透到内网中。随后通过RDP爆破、office脚本、批处理等方式,进行内网横向渗透,尽可能增加受控设备数量,扩大攻击范围。经过一段时间潜伏,逐渐掌握企业机密文件以及核心业务主机信息之后,通过C&C外联,获取密钥等方式,准备进行勒索加密。
后期数据加密勒索阶段,主要通过读取文件、加密文件以及勒索泄密三个步骤完成。通常采取磁盘读写、映射内存读写,顺序读等方式对重要文件进行读取。选择对称、非对称、两者组合等方式对文件、数据库、系统设备进行恶意加密;由于加密方式难以破解,导致除病毒开发者本人,其他人几乎无法解密。最终攻击者将弹窗勒索,索要比特币等加密货币作为解密赎金进行勒索威胁。
三、勒索变种永恒不变就是在数据读取加密阶段
通过我司对大量的病毒样本分析后发现,目前市面上勒索变种变化最多的是网络攻击渗透方式,但是勒索变种永恒不变的是在数据读取加密阶段,所有勒索病毒的加密过程永远是读,加密,写这三个步骤。在数据读取加密阶段,勒索病毒第一步是从磁盘中将文件读出,然后通过非对称加密算法或者对称加密算法的方式对文件进行加密,再通过写新文件或者写原文件的方式进行勒索威胁,并以此要挟受害者支付赎金。
永恒不变第一步:读
无论什么家族的勒索病毒对文件加密勒索的时候,第一步是先要将文件读出来。一般先通过磁盘遍历,寻找主机中高价值数据文件,例如Word、Excel、PPT、文档、图片、压缩包、数据库、源码等,或者通过顺序读、随机读等方式,读取主机中的文件内容。
永恒不变第二步:加密
读取文件之后,勒索病毒第二步是对读取的文件进行加密。勒索病毒通常采用对称加密技术和非对称加密技术相结合的方式来实现对用户文件加密和解密密钥的保管,目前最流行的方式是将AES与RSA算法相结合。AES是加密过程中的第一把锁,用作对计算机文件进行“绑架”加密;RSA算法则通过生成两个极大素数,对明文或密文使用“公钥”或“私钥”分块进行幂运算和取模运算,以完成加密过程中的第二把锁。
永恒不变第三步:写
文件加密之后,勒索病毒第三步是对加密的文件进行写入。加密之后的写入有两种方式,一种是写原文件后直接保存;另外一种是写新文件后,将原来的文件删除,留下加密的文件。在确保受害者内网大部分文件都被加密后,随后勒索病毒进行弹窗勒索
四、总结与反思
面对勒索变种肆虐全球的趋势,我司深度剖析勒索病毒的攻击全流程,发现了勒索变种就是在网络攻击渗透方式上进行变化,勒索变种永恒不变的永远是数据读取加密阶段。这不仅让我们反思:勒索病毒现有防护体系是什么样子?现有防护体系是针对勒索病毒变的特征进行防护的吗?有针对勒索不变特征的防护措施吗?
勒索变种有不变的特征吗?有相应的防护手段吗?相关推荐
- 擦除:提升 CNN 特征可视化的 3 种重要手段
点击上方"小白学视觉",选择加"星标"或"置顶" 重磅干货,第一时间送达 作者丨皮特潘 导读 所谓擦除,就是去除掉一部分有用的信息,以提高网 ...
- 【深度学习】擦除:提升 CNN 特征可视化的 3 种重要手段
作者丨皮特潘 审稿|邓富城 编辑丨极市平台 导读 所谓擦除,就是去除掉一部分有用的信息,以提高网络提取特征的能力.本文对3种提升特征可视化的方法进行了详细综述,包括直接擦除.利用预测信息(CAM)擦除 ...
- 【转】2019上半年勒索病毒家族概览
看图移步原文 截至2019年6月,勒索病毒的活跃度依旧高居不下,相对于刚进入大众视野时的"蠕虫式"爆发,如今的勒索病毒攻击活动越发具有目标性.隐蔽性,攻击者通常会破坏入侵过程留下的 ...
- 2019年1-6月网络安全态势分析及建议
2019年上半年,网络攻击数量总体呈上升趋势,网站态势依然严峻,教育行业的网站漏洞数量发现最多. 上半年发现高发勒索病毒是GlobeImposter和GandCrab家族,攻击次数最多的家族是Wann ...
- 2019年上半年网络安全态势报告
2019年上半年网络安全态势报告 深信服千里目安全实验室 一.网络安全态势综述 2019年上半年,网络攻击数量总体呈上升趋势,网站态势依然严峻,教育行业的网站漏洞数量发现最多. 上半年发现感染范围较大 ...
- 网络安全技术 | 勒索软件的特征和防范
01勒索软件的概念和特征 自1989年勒索软件出现至今,这一恶意代码不但没有走向消亡,反而伴随着互联网应用的发展愈演愈烈.从最初的伪装反病毒软件到勒索比特币,再到开始感染不同平台,不断进行开发与更新, ...
- WannaCry2.0勒索病毒两个变种没有本质变化 绿盟科技的防护措施仍然有效
5月14日,卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本,此变种没有包含域名开关,同时修改了样本执行过程中的某个跳转,取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意 ...
- .locked勒索病毒来势汹汹该怎么办?
一.勒索病毒来势汹汹 从8月28日开始,多个社交媒体以及安全技术社区均有用户称遭遇".locked"后缀勒索病毒攻击,计算机文件被病毒加密,用户"中招"后,需支 ...
- 勒索软件攻击的第一步就是钓鱼邮件 从概念到防御思路 这里面都有了
近期 勒索软件 及其攻击事件频繁,从中我们可看到一个规律,大多数是用钓鱼邮件的形式入侵的, 钓鱼攻击 常用的手段归纳起来主要分为两类, 第一类主要通过漏洞触发,包括目标网站服务器漏洞(如XSS.SQL ...
最新文章
- SpringBoot配置文件YAML配置注入(详解)
- python计算文件md5值_用python 正确计算大文件md5 值
- eclipse 配置黑色主题
- eclipse为什么导入不了awt_为什么选择javafx?
- 通过OpenFoam记录一些c++的trick(持续更新)
- Python+Selenium练习篇之2-利用ID定位元素
- 新鲜出炉!大规模神经网络最新综述!
- c++ 二维数组_【技术篇】C指针与二维数组深度辨析
- Mac下matplotlib中文显示
- labuladong的算法小抄pdf_东哥手写正则通配符算法,结构清晰,包教包会!
- 用C语言实现面向对象的开发
- hihocoder第233周
- Python高阶——argparse(命令行与参数解析)
- 2020计算机核心期刊,中国科技核心(2019–2020中文核心期刊目录)
- 【免公众号】新版盲盒交友程序源码盲盒交友系统一元交友
- SystemTap----利用stap命令来查找内核函数定义
- exlc表格怎么换行_excel表格怎么换行_excel表格怎么换行上下换行
- Android中自定义农历日历,Android实现自定义日历
- Linux查看gzip文件原始大小,Linux 文件管理:Linux gzip 压缩
- 各种HIC处理数据之间的相互转化