信息來源:中國信息產(chǎn)業(yè)網(wǎng)
自2017年WannaCry席卷全球后,勒索病毒正式進入普羅大眾的視野�,影響波及眾多行業(yè)和機構,成為當前最受關注的網(wǎng)絡安全問題之一�����?���;仡櫿麄€2018年,以GlobeImposter�、Crysis、GandCrab為代表的勒索病毒日漸猖獗����,喪心病狂的攻擊者通過把勒索病毒和蠕蟲病毒結合利用���,并且將目標瞄準企事業(yè)單位和政府有關部門,曾先后制造多起大面積的勒索事件��,影響力和破壞性顯著增強�����,一度引發(fā)社會各界的廣泛關注�。
可以預見�,勒索病毒攻擊未來將會呈現(xiàn)出技術手段日益成熟,攻擊目標更精準,產(chǎn)業(yè)分工更具體的特性。那么����,針對此類勒索攻擊���,如何防御就顯得尤為重要�。近日,騰訊安全正式對外發(fā)布《2018年勒索病毒活動情況回顧報告》(以下簡稱《報告》)�����。《報告》剖析了過去一年國內(nèi)各大勒索病毒組織分布及攻擊技術,并對未來技術發(fā)展趨勢進行全面預測�����。此外,《報告》還提出“三二一”安全災備方案原則���,對企業(yè)網(wǎng)絡安全建設具有一定的參考價值。
誰最受勒索病毒“偏愛”
整個2018年�����,勒索病毒攻擊整體呈現(xiàn)上升趨勢����,曾先后引發(fā)多起大型網(wǎng)絡攻擊事件�����。從攻擊地域分布來看��,目前勒索病毒在全國各地均有分布,其中廣東、浙江�����、河南等地區(qū)最為嚴重��。同時�����,勒索病毒對感染的行業(yè)也有其“偏好”����,以傳統(tǒng)行業(yè)����、教育、互聯(lián)網(wǎng)最為嚴重,醫(yī)療及政府機構緊隨其后����。
(圖:勒索病毒感染地域分布)
以醫(yī)療行業(yè)為例,行業(yè)中網(wǎng)絡安全相對完善的三甲醫(yī)院中,42%的醫(yī)院內(nèi)依然有電腦端存在“永恒之藍”漏洞未修復�;平均每天有7家三甲醫(yī)院的電腦端檢出有WannaCry勒索病毒�����。2018年年初,國內(nèi)兩家省級醫(yī)院先后遭遇勒索病毒攻擊�,一度導致醫(yī)院在一段時間內(nèi)無法接診,甚至造成系統(tǒng)長時間內(nèi)處于癱瘓的情況。
制造業(yè)也是被勒索最頻繁的對象之一�,2018年�����,臺積電和波音飛機工廠先后遭遇勒索病毒��。制造業(yè)正迎來「工業(yè)4.0」的重大歷史契機���,面對需要將無處不在的傳感器���、嵌入式系統(tǒng)��、智能控制系統(tǒng)和產(chǎn)品數(shù)據(jù)���、設備數(shù)據(jù)���、研發(fā)數(shù)據(jù)、運營管理數(shù)據(jù)緊密互聯(lián)成一個智能網(wǎng)絡的新模式���,一個全新的安全需求正在產(chǎn)生����。
盡管勒索病毒“偏愛”以上行業(yè)���,但事實表明���,勒索病毒對事關國計民生的各個行業(yè)都存在一定威脅�����。一旦社會長期依賴的基礎設施遭受攻擊��,將會給社會帶來難以估計且不可逆轉的損失�。
強盜也有家族��,“解密公司”或是其代理
勒索病毒攻擊系統(tǒng)后���,一般會向受害者勒索數(shù)字貨幣或其他貨幣����,是病毒界名副其實的強盜���。2018年����,勒索病毒在經(jīng)歷爆發(fā)式增長后���,也不再“單兵作戰(zhàn)”�����,而是以家族形態(tài)占山為王����,各角色分工明確�����。一次完整的勒索攻擊流程可能涉及勒索病毒作者�����、勒索實施者�、傳播渠道商、代理和受害者5個角色�。
具體來說,病毒作者主要負責編寫制作���,與安全軟件對抗���;勒索實施者從病毒作者手中拿到定制版源程序,通過自定義病毒信息得到專屬病毒,與病毒作者進行收入分成��;傳播渠道商則幫助勒索實施者完成病毒傳播�;作為重要的一環(huán),代理向受害者假稱自己能夠解密勒索病毒加密的軟件���,索要贖金����,從中賺取差價��。
(圖:勒索病毒黑產(chǎn)產(chǎn)業(yè)鏈)
伴隨著數(shù)字貨幣過去兩年的高速發(fā)展����,在巨大的利益誘惑下,以GandCrab�,GlobeImposter,Crysis等為代表的勒索家族依然高度活躍����。其中,攻擊手法成為整個勒索家族得以“延續(xù)“的核心驅動力�,諸如使用正規(guī)加密工具、病毒加密���、虛假勒索詐騙加密已成為攻擊者的慣用伎倆之一���。
以2018年最為活躍的勒索家族之一的GandCrab為例�����,作為首個使用達世幣(DASH)作為贖金的勒索病毒�,其傳播方式多種多樣�,主要有弱口令爆破、惡意郵件�、網(wǎng)頁掛馬傳播��、移動存儲設備傳播����、軟件供應鏈感染傳播等。該病毒更新速度極快����,在1年時間內(nèi)經(jīng)歷了5個大版本,以及數(shù)個小版本的小修小補����,目前最新版本為5.1.6(截止2018年底)�����,國內(nèi)最為活躍版本為5.0.4�����。
(圖:勒索病毒GandCrab勒索頁面)
眾所周知��,除非勒索病毒存在邏輯漏洞����,或者取得解密密鑰�����,否則以當前的計算機算力去解密幾乎不可能��。如今��,市面上也存在著“解密公司“��,這類“解密公司”實際上多為勒索者在國內(nèi)的代理���。其利用國內(nèi)用戶不方便購買數(shù)字貨幣的弱點�,以相對更加便宜的價格,吸引受害者聯(lián)系解密�����,在整個過程中賺取差價���。根據(jù)某解密公司官網(wǎng)上公開的交易記錄����,一家解密公司靠做勒索中間代理一個月收入可達300W人民幣��。
“三二一“數(shù)據(jù)備份法���,對抗勒索病毒最直接的方式
當前,勒索病毒家族逐漸以平臺化�����、全球化��、技術化為支點�����,給世界各地網(wǎng)絡用戶造成巨大網(wǎng)絡安全威脅。同時��,伴隨著病毒技術與云計算��、大數(shù)據(jù)�、人工智能等新技術相結合的趨勢愈發(fā)明顯,攻擊技術不斷更新升級�,由此導致互聯(lián)網(wǎng)安全形勢也越發(fā)嚴峻?���!秷蟾妗分赋觯账鞑《九c安全軟件的對抗加劇�、傳播場景多樣化、攻擊目標鎖定企業(yè)用戶����、技術迭代加快、贖金提高�、加密對象升級、病毒開發(fā)門檻降低���、感染趨勢不斷上升等將會成為勒索病毒未來發(fā)展的主要趨勢之一�。
面對日益猖獗的勒索病毒�,對于各企事業(yè)單位和政府機構的系統(tǒng)而言���,最重要的任務就是對資料進行備份。為此�����,《報告》提出“三二一原則”災備指導意見�,即重要文檔資料保存三份,利用至少兩種不同的存儲載體�,其中至少有一份資料保存在異地。
同時�,需要定期針對網(wǎng)絡安全進行安全培訓,提高企事業(yè)單位及政府機構的網(wǎng)絡安全意識���,關閉不必要的端口和共享文件�����;使用騰訊御點終端安全管理系統(tǒng)的漏洞修復功能�,及時修復系統(tǒng)高危漏洞�;推薦部署騰訊御界高級威脅檢測系統(tǒng)檢測可能的黑客攻擊�,該系統(tǒng)可高效檢測未知威脅,并通過對企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡流量的分析��,感知漏洞的利用和攻擊。
此外�����,《報告》提醒廣大個人用戶仍不可放松警惕�,建議實時開啟騰訊電腦管家等主流安全軟件加強防護。目前����,騰訊電腦管家推出的文檔守護者功能,可以利用磁盤冗余空間備份數(shù)據(jù)文件�����,在文件被勒索病毒破壞的緊急情況下�����,幫助廣大用戶快速恢復文檔�����。
