联系方式

联系电话:4006789263

联系邮箱:

联系QQ:4006789263

网格联系方式
回顾勒索病毒的形成与传播方式
来源:网络 

日前,360互联网安全中心发布了《2017勒索软件威胁形势分析报告》,报告指出,在遭到勒索软件攻击的政企机构中,能源行业是遭受勒索软件攻击最多的行业,占比为42.1%,其次是医疗行业为22.8%,金融行业为17.8%。另据调查显示,在解决勒索软件威胁的用户中,5.8%的受害者为了恢复文件而支付赎金,另外94.2%的受害者选择了拒绝为恢复文件而支付赎金。

勒索软件是近两年来影响最大,也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。

进一步调查显示,在支付赎金的受害者中,46.2%的受害者是自己按照病毒提示兑换比特币的方式付款的,26.9%的受害者是通过在淘宝平台找代付赎金服务付款的,26.9%的受害者是通过请朋友帮助操作付款的。

2017年,勒索软件继续呈现出全球性蔓延态势,攻击手法和病毒变种也进一步多样化。特别是2017年5月全球爆发的永恒之蓝勒索蠕虫(WannaCry,也有译作"想哭"病毒)和随后在乌克兰等地流行的Petya病毒,使人们对于勒索软件的关注达到了空前的高度。在全球范围内,政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域都遭受到了前所未有的重大损失。

与WannaCry无差别的显性攻击相比,针对中小企业网络服务器的精准攻击则是隐性的,不为多数公众所知,但却也已成为2017年勒索软件攻击的另一个重要特点。统计显示,在2017年的国内勒索软件的攻击目标中,至少有15%是明确针对政企机构的,其中由以中小企业为主要目标。相比于一般的个人电脑终端或办公终端,服务器数据的珍贵程度和不可恢复性更强(针对服务器的渗透式勒索攻击一般不会留下死角或备份),因此被勒索者支付赎金的意愿也相对更强。

勒索软件的五大传播方式

360互联网安全中心监测显示,黑客为了提高勒索软件的传播效率,也在不断更新攻击方式,钓鱼邮件传播依然是黑客常用的传播手段,服务器入侵的手法更加娴熟运用,同时也开始利用系统自身的漏洞进行传播。今年勒索软件主要采用以下五种传播方式:

1) 服务器入侵传播

以Crysis家族为代表的勒索软件主要采用此类攻击方式。黑客首先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如:卸载服务器上的安全软件并手动运行勒索软件。所以,在这种攻击方式中 ,一旦 服务器被入侵,安全软件一般是不起作用的。

服务器能够被成功入侵的主要原因还是管理员的帐号密码被破解。而造成服务器帐号密码被破解的主要原因有以下几种:为数众多的系统管理员使用弱密码,被黑客暴力破解;还有一部分是黑客利用病毒或木马潜伏在用户电脑中,窃取密码;除此之外还有就是黑客从其他渠道直接购买账号和密码。黑客得到系统管理员的用户名和密码后,再通过远程登录服务器,对其进行相应操作。

2) 利用漏洞自动传播

今年,通过系统自身漏洞进行传播扩散成为勒索软件的一个新的特点。上半年震动世界的WannaCry勒索病毒就是利用微软的永恒之蓝(EternalBlue)漏洞进行传播。黑客往往抓住很多人认为打补丁没用还会拖慢系统的错误认识,从而利用刚修复不久或大家重视程度不高的漏洞进行传播。如果用户未及时更新系统或安装补丁,那么即便用户未进行任何不当操作,也有可能在完全没有预兆的情况下中毒。此类勒索软件在破坏功能上与传统勒索软件无异,都是加密用户文件勒索赎金。但因为传播方式不同,导致更加难以防范,需要用户自身提高安全意识,尽快更新有漏洞的软件或安装对应的安全补丁。

3) 软件供应链攻击传播

软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。

2017年爆发的Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner等后门事件均属于软件供应链攻击。而在乌克兰爆发的类Petya勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。

4) 邮件附件传播

通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件。一旦用户打开邮件附件,便会执行里面的脚本,释放勒索病毒。这类传播方式的针对性较强,主要瞄准公司企业、各类单位和院校,他们最大的特点是电脑中的文档往往不是个人文档,而是公司文档。最终目的是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。

5) 利用挂马网页传播

通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播,并没有特定的针对性,一般中招的受害者多数为裸奔用户,未安装任何杀毒软件。



东莞市网格商业信息服务有限公司是一家为企业提供高品质互联网信息服务的专业企业。业务范围包括:网站建设、企业通信平台-263云通信(企业邮箱、电话会议、企业网盘、即时通信、企业会议等多种服务),移动CRM,企业网络基础服务-域名注册,虚拟主机等。