您的位置: 香港到深圳物流 / 科技× / 科技 / 正文

淺説勒索病毒-九人行團隊盤點2019全球各大流行勒索病毒大揭祕

2019-12-14 22:58:00 評論: 字體大小 T T T

2019年應該是勒索病毒針對企業攻擊爆發的一年,這一年全球各地彷彿都在被“勒索”,每天全球各地都有不同的政府、企業、組織機構被勒索病毒攻擊的新聞被曝光,勒索病毒已經成為了網絡安全最大的威脅,利用勒索病毒進行攻擊的網絡犯罪活動也是全球危害最大的網絡犯罪組織活動,勒索病毒成為了地下黑客論壇最流行、討論最熱門的惡意軟件;九人行團隊對此做出了彙總,下面我們來盤點一下2019年全球十大流行勒索病毒家族。

一、STOP勒索病毒

STOP勒索病毒最早出現在2018年2月份左右,從2018年8月份開始在全球範圍內活躍,主要通過捆綁其它破解軟件、廣告類軟件包等渠道進行感染傳播,最近一兩年STOP勒索病毒捆綁過KMS激活工具進行傳播,甚至還捆綁過其他防毒軟件,到目前為止,此勒索病毒一共有160多個變種,雖然此前Emsisoft公司已經發布過它的解密工具,可以解密140多個變種,但最新的一批STOP勒索病毒仍然無法解密;

 

二、GandCrab勒索病毒

GandCrab勒索病毒於2018年1月首次被觀察到感染了韓國公司,隨後GandCrab在全球迅速擴大,包括2018年初的美國受害者,至少8個關鍵基礎設施部門受到此勒索病毒的影響,GandCrab也迅速成為最流行的勒索病毒,估計到2018年中期該勒索病毒已經佔據勒索軟件市場份額的50%,專家估計GandCrab在全球範圍內感染了超過500,000名受害者,造成超過3億美元的損失,GandCrab使用勒索軟件即服務(RaaS)商業模式運營,通過將惡意軟件分發給購買勒索病毒服務的合作伙伴,以換取40%的贖金,從2018年1月到2019年6月,此勒索病毒多現了多個不同的變種版本,2019年1月,此勒索病毒GandCrab5.1變種版本開始在全球流行,直到2019年6月1日,GandCrab勒索病毒運營團隊宣佈關閉他們的網站,並聲稱他們已經賺了20億美元贖金,兩週之後,Bitdefender與歐州刑警組織、聯幫調查局、眾多執法部門以及NoMoreRansom機構合作,發佈了GandCrab勒索病毒的解密工具,可以適用於GandCrab1.0、4.0、5、5.2等版本,此勒索病毒的故事就此結束,加密後的文件,最近半年確實沒有發現這款勒索病毒的最新變種了,取而代之的是另一款新型的勒索病毒REvil/Sodinokibi,而且這款勒索病毒全版本的解密工具也已經公佈了;

三、REvil/Sodinokibi勒索病毒

Sodinokibi勒索病毒(也稱REvil),2019年5月24日首次在意大利被發現,在意大利被發現使用RDP攻擊的方式進行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在短短几個月的時間內,已經在全球大範圍傳播,這款勒索病毒與GandCrab勒索軟件存在很多關聯,國外安全研究人員此前已發佈了多篇關於這兩款勒索病毒關聯信息的相關的報道,Sodinokibi勒索病毒也是一種勒索即服務(RAAS)的模式進行分發和營銷的,並採用了一些免殺技術避免安全軟件檢測到,主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網絡釣魚郵件、RDP端口、漏洞利用工具包以及攻擊一些託管服務提供商MSP等方式發起攻擊;

四、Globelmposter勒索病毒

Globelmposter勒索病毒首次出現是在2017年5月份,主要通過釣魚郵件進行傳播,2018年2月國內各大醫院爆發Globelmposter變種樣本2.0版本,通過溯源分析發現此勒索病毒可能是通過RDP爆破、社會工程等方式進行傳播,此勒索病毒採用RSA2048加密算法,導致加密後的文件無法解密,在隨後的一年多的時間裏,這款勒索病毒不斷變種,2018年8月份出現了此勒索病毒的“十二生肖”版,2019年7月出現了此勒索病毒的“十二主神”版,兩大版相差正好一年的時間,“十二主神”版後面又出現了一些小的版本變化,主要是加密後的文件後綴出現了一些微小的變化;

五、CrySiS/Dharma勒索病毒

CrySiS勒索病毒,又稱Dharma,首次出現是在2016年,2017年5月此勒索病毒萬能密鑰被公佈之後,之前的樣本可以解密,導致此勒索病毒曾消失了一段時間,不過隨後又馬上出現了它的一款最新的變種樣本,加密後綴為java,通過RDP暴力破解的方式進入受害者服務器進行加密勒索,此勒索病毒加密算法採用AES+RSA方式進行加密,導致加密後的文件無法解密,在最近一年的時間裏,這款勒索病毒異常活躍,變種已經達到一百多個;

六、Phobos勒索病毒

Phobos勒索病毒在2019年非常活躍,此勒索病毒首次出現是在2018年12月,國外安全研究人員當時發現了一種新型勒索病毒,加密後的文件後綴名為Phobos,這款新型的勒索病毒與CrySiS(Dharma)勒索病毒有很多相似之處,同樣使用RDP暴力破解的方式進傳播,兩者使用了非常相似的勒索提示信息,所以很容易搞混淆,想要確認是哪個家族的勒索病毒,最好的方式就是捕獲到相應的樣本,然後通過人工分析進行確認,單純的通過勒索提示信息,很難辨別,兩款勒索病毒背後是否是相同的黑客團伙在運營,需要捕獲到更多的證據;

七、Ryuk勒索病毒

Ryuk勒索病毒最早於2018年8月被首次發現,它是由俄羅斯黑客團伙GrimSpider幕後操作運營,GrimSpider是一個網絡犯罪集團,使用Ryuk勒索軟件對大型企業及組織進行鍼對性攻擊,C.R.A.M. TG Soft(反惡意軟件研究中心)發現Ryuk勒索軟件主要是通過網絡攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進行傳播,Emotet和TrickBot銀行木馬主要用於盜取受害者銀行網站登錄憑據,同時充當下載器功能,提供下載其它勒索病毒服務,為啥Emotet和TrickBot銀行木馬會傳播Ryuk勒索病毒,因為TrickBot銀行木馬傳播渠道的運營者是俄羅斯黑客團伙WIZARD SPIDER,GRIM SPIDER是俄羅斯黑客團伙WIZARD SPIDER的部門之一;

八、Maze(迷宮)勒索病毒

Maze(迷宮)勒索病毒,又稱Chacha勒索病毒,最早於2019年5月份由Malwarebytes安全研究員首次發現,此勒索病毒主要使用各種漏洞利用工具包Fallout、Spelevo,偽裝成合法加密貨幣交換應用程序的假冒站點或掛馬網站等方式進行分發傳播,最近的一段時間裏,Proofpoint的安全研究人員發現一個新型的黑客組織TA2101,通過垃圾郵件的方式對德國、意大利、美國發起網絡攻擊,傳播Maze(迷宮)勒索病毒;

九、Buran勒索病毒

Buran勒索病毒首次出現在2019年5月,是一款新型的基於RaaS模式進行傳播的新型勒索病毒,在一個著名的俄羅斯論壇中進行銷售,與其他基於RaaS勒索病毒(如GandCrab)獲得30%-40%的收入不同,Buran勒索病毒的作者僅佔感染產生的25%的收入,安全研究人員認為Buran是Jumper勒索病毒的變種樣本,同時VegaLocker勒索病毒是該家族最初的起源,由於其豐厚的利潤,使其迅速開始在全球範圍內傳播感染,Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包進行傳播,其利用了Internet Explorer的一個比較嚴重的漏洞CVE-2018-8174,近期發現此勒索病毒利用IQY(Microsoft Excel Web查詢文件)進行傳播;

十、MegaCortex勒索病毒

MegeCortex勒索病毒最早於2019年1月份被人在VT上發現,當時有人在VT上傳了一個惡意樣本,英國網絡安全公司Sophos在5月份發佈了一個關於MegaCortex勒索病毒的相關分析報告,筆者此前在分析的時候發現此勒索病毒早期的版本與去年非常流行的SamSam勒索病毒有一些類似,都使用了BAT腳本,同時都使用了密碼參數,兩款勒索病毒的負載加載的手法類似,不過暫時還沒有更多的證據,證明兩款勒索病毒存在關聯,MegaCortex勒索病毒從1月份被人上傳到VT之後,網絡安全公司Sophos監控到此勒索病毒的數量一直在增加,並對此勒索病毒進行了詳細的分析報道,該勒索病毒曾經對歐州和北美多個行業發起過勒索攻擊,並要求支付高額的贖金,美國、加拿大、荷蘭、愛爾蘭、意大利和法國等國家的一些企業網絡都曾受到此勒索病毒的攻擊,2019年8月,發現MegaCortex勒索病毒V2.0版本,重新設計了負載的運行過程,它會自動執行不需要安裝密碼的要求,作者將密碼硬編碼在了二進制文件中,同時作者還加入一些反分析,以及阻止和殺死各種安全產品和服務的功能,此過程在之前的版本中是通過在在每個受害者主機上手動執行相關的批處理腳本來完成的,最新的版本不需要手動執行,都封裝在了二進制程序中;

 

 

九人行團隊,勵志走在最前沿,勒索解密第三方,團隊首領梟目,曾是國外勒索病毒研究人員,團隊其餘核心成員,均為對勒索病毒解密研究以及數據恢復的專業人才,國內受勒索病毒所侵害利益受損各大公司~均可申請免費求助,我們不收一分!我們只想要一樣東西,一個證明一句,謝謝,可能就是你看了這篇文章之後,覺得肯定是一羣有為青年,但是其實我們團隊綜合年齡已經35歲以上。

WechatIMG5

 

WechatIMG85

 

 

 

團隊宗旨:我們只是想盡一份力,幫助大家不求回報,感謝這幾年一直在陪我打拼的兄弟,這四年來,一起吃苦,你們也從來沒有怨言,今生能遇到你們這些兄弟,我無怨,我無悔,也感謝你們在我沉淪,最墮落的時候,拉了我一把,並且在任何時候都相信我,願我九人,諸君共勉,再創奇蹟!

 

WechatIMG28

 

 

來源: 四月網
相關推薦:
看完這篇文章有何感覺?已經有0人表態
時間:
2017年03月03日 ~2017年03月04日
地點:
南鑼鼓巷地鐵站和張自忠地鐵站之間 (確認報名後,告知具體地址)