自2017年WannaCry席卷全球后,勒索病毒正式進入普羅大眾的視野,影響波及眾多行業和機構,成為當前最受關注的網絡安全問題之一。回顧整個2018年,以GlobeImposter、Crysis、GandCrab為代表的勒索病毒日漸猖獗,喪心病狂的攻擊者通過把勒索病毒和蠕蟲病毒結合利用,并且將目標瞄準企事業單位和政府有關部門,曾先后制造多起大面積的勒索事件,影響力和破壞性顯著增強,一度引發社會各界的廣泛關注。

可以預見,勒索病毒攻擊未來將會呈現出技術手段日益成熟,攻擊目標更精準,產業分工更具體的特性。那么,針對此類勒索攻擊,如何防御就顯得尤為重要。近日,騰訊安全正式對外發布《2018年勒索病毒活動情況回顧報告》(以下簡稱《報告》)。《報告》剖析了過去一年國內各大勒索病毒組織分布及攻擊技術,并對未來技術發展趨勢進行全面預測。此外,《報告》還提出“三二一”安全災備方案原則,對企業網絡安全建設具有一定的參考價值。

誰最受勒索病毒“偏愛”

整個2018年,勒索病毒攻擊整體呈現上升趨勢,曾先后引發多起大型網絡攻擊事件。從攻擊地域分布來看,目前勒索病毒在全國各地均有分布,其中廣東、浙江、河南等地區最為嚴重。同時,勒索病毒對感染的行業也有其“偏好”,以傳統行業、教育、互聯網最為嚴重,醫療及政府機構緊隨其后。

　　(圖:勒索病毒感染地域分布)

以醫療行業為例,行業中網絡安全相對完善的三甲醫院中,42%的醫院內依然有電腦端存在“永恒之藍”漏洞未修復;平均每天有7家三甲醫院的電腦端檢出有WannaCry勒索病毒。2018年年初,國內兩家省級醫院先后遭遇勒索病毒攻擊,一度導致醫院在一段時間內無法接診,甚至造成系統長時間內處于癱瘓的情況。

制造業也是被勒索最頻繁的對象之一,2018年,臺積電和波音飛機工廠先后遭遇勒索病毒。制造業正迎來「工業4.0」的重大歷史契機,面對需要將無處不在的傳感器、嵌入式系統、智能控制系統和產品數據、設備數據、研發數據、運營管理數據緊密互聯成一個智能網絡的新模式,一個全新的安全需求正在產生。

盡管勒索病毒“偏愛”以上行業,但事實表明,勒索病毒對事關國計民生的各個行業都存在一定威脅。一旦社會長期依賴的基礎設施遭受攻擊,將會給社會帶來難以估計且不可逆轉的損失。

強盜也有家族,“解密公司”或是其代理

勒索病毒攻擊系統后,一般會向受害者勒索數字貨幣或其他貨幣,是病毒界名副其實的強盜。2018年,勒索病毒在經歷爆發式增長后,也不再“單兵作戰”,而是以家族形態占山為王,各角色分工明確。一次完整的勒索攻擊流程可能涉及勒索病毒作者、勒索實施者、傳播渠道商、代理和受害者5個角色。

具體來說,病毒作者主要負責編寫制作,與安全軟件對抗;勒索實施者從病毒作者手中拿到定制版源程序,通過自定義病毒信息得到專屬病毒,與病毒作者進行收入分成;傳播渠道商則幫助勒索實施者完成病毒傳播;作為重要的一環,代理向受害者假稱自己能夠解密勒索病毒加密的軟件,索要贖金,從中賺取差價。

　　(圖:勒索病毒黑產產業鏈)

伴隨著數字貨幣過去兩年的高速發展,在巨大的利益誘惑下,以GandCrab,GlobeImposter,Crysis等為代表的勒索家族依然高度活躍。其中,攻擊手法成為整個勒索家族得以“延續“的核心驅動力,諸如使用正規加密工具、病毒加密、虛假勒索詐騙加密已成為攻擊者的慣用伎倆之一。

以2018年最為活躍的勒索家族之一的GandCrab為例,作為首個使用達世幣(DASH)作為贖金的勒索病毒,其傳播方式多種多樣,主要有弱口令爆破、惡意郵件、網頁掛馬傳播、移動存儲設備傳播、軟件供應鏈感染傳播等。該病毒更新速度極快,在1年時間內經歷了5個大版本,以及數個小版本的小修小補,目前最新版本為5.1.6(截止2018年底),國內最為活躍版本為5.0.4。

　　(圖:勒索病毒GandCrab勒索頁面)

眾所周知,除非勒索病毒存在邏輯漏洞,或者取得解密密鑰,否則以當前的計算機算力去解密幾乎不可能。如今,市面上也存在著“解密公司“,這類“解密公司”實際上多為勒索者在國內的代理。其利用國內用戶不方便購買數字貨幣的弱點,以相對更加便宜的價格,吸引受害者聯系解密,在整個過程中賺取差價。根據某解密公司官網上公開的交易記錄,一家解密公司靠做勒索中間代理一個月收入可達300W人民幣。

“三二一“數據備份法,對抗勒索病毒最直接的方式

當前,勒索病毒家族逐漸以平臺化、全球化、技術化為支點,給世界各地網絡用戶造成巨大網絡安全威脅。同時,伴隨著病毒技術與云計算、大數據、人工智能等新技術相結合的趨勢愈發明顯,攻擊技術不斷更新升級,由此導致互聯網安全形勢也越發嚴峻。《報告》指出,勒索病毒與安全軟件的對抗加劇、傳播場景多樣化、攻擊目標鎖定企業用戶、技術迭代加快、贖金提高、加密對象升級、病毒開發門檻降低、感染趨勢不斷上升等將會成為勒索病毒未來發展的主要趨勢之一。

面對日益猖獗的勒索病毒,對于各企事業單位和政府機構的系統而言,最重要的任務就是對資料進行備份。為此,《報告》提出“三二一原則”災備指導意見,即重要文檔資料保存三份,利用至少兩種不同的存儲載體,其中至少有一份資料保存在異地。

同時,需要定期針對網絡安全進行安全培訓,提高企事業單位及政府機構的網絡安全意識,關閉不必要的端口和共享文件;使用騰訊御點終端安全管理系統的漏洞修復功能,及時修復系統高危漏洞;推薦部署騰訊御界高級威脅檢測系統檢測可能的黑客攻擊,該系統可高效檢測未知威脅,并通過對企業內外網邊界處網絡流量的分析,感知漏洞的利用和攻擊。

此外,《報告》提醒廣大個人用戶仍不可放松警惕,建議實時開啟騰訊電腦管家等主流安全軟件加強防護。目前,騰訊電腦管家推出的文檔守護者功能,可以利用磁盤冗余空間備份數據文件,在文件被勒索病毒破壞的緊急情況下,幫助廣大用戶快速恢復文檔。