勒索病毒的攻击对全世界所有企业和个人来说都是一个巨大的危险。勒索病毒通过攻击被勒索者的网络,加密被勒索者的关键数据或敏感数据,让被勒索者无法解密获取自己的数据,之后网络罪犯向这些被勒索者索要赎金,以换取加密数据。与此同时,他们通过网络出售这些数据来赚取二次利润。
云祺科技这里为大家总结了2020年十大勒索病毒,同时提供勒索病毒预防措施,以及被攻击后的应对措施。为数据安全预防做好准备,知己知彼,才能百战不殆。
2020年十大勒索病毒盘点
一 REvil Ransomware
REvil是一种文件加密病毒,一旦它渗入系统,就会对所有文件进行加密,并向受害者索取钱财。在赎金要求中,犯罪分子要求受害者通过比特币支付赎金,如果受害者在一个特定的时间内不支付赎金,赎金率则翻倍。
Grubman Shire Meiselas & Sacks the law corporation(格鲁曼律师事务所)的数据泄漏是由恶意勒索软件引起的。攻击者窃取了知名客户的数据,并在暗网上分享了这些数据。
据报道,Drake(德雷克), Robert De Niro(罗伯特·德尼罗), Rod Stewart(罗德·斯图尔特), Elton John(埃尔顿·约翰), Mariah Carey(玛丽亚·凯莉)等明星的个人信息也可能是通过该勒索病毒攻击获得的。
此外,名人电脑文件的截图也被泄露,比如 Madonna(麦当娜)的巡演合同,或者Bruce Springsteen(布鲁斯·斯普林斯汀), Bette Midler(贝蒂·米德勒), Barbra Streisand、(芭芭拉·史翠珊)的文件。该勒索病毒在我们2020勒索病毒攻击名单中排名第一。
二 Sodinokibi Ransomware
Sodinokibi勒索病毒是一种恶意勒索病毒,也被称为Sodin。它于2019年9月通过使用Oracle Weblogic服务器上的zero-day漏洞传播开来。漏洞被修复后,它继续通过远程桌面服务器和其他漏洞的软件安装程序传播。
经过深入分析,发现Sodinokibi与GandCrab关系密切,它们都有相似的密码。同期,GandCrab的使用呈下降趋势,而Sodinokibi的使用呈上升趋势。这一信息使分析人员认为这两种勒索软件有很强的联系。
三 Nemty Ransomware
与其他勒索病毒不同,Nemty勒索病毒的行为就像一个勒索软件服务。当它第一次出现时,它经常在俄罗斯盗版论坛网站上做广告。从2019年夏天到2020年夏天一直处于活跃状态。
在RaaS(勒索软件服务)积极服务期间,它的客户端能够访问一个门户,该门户允许他们创建一个特殊版本的Nemty。之后,客户能够以他们喜欢的方式传播这些版本。
网络钓鱼邮件积极参与了这种恶意病毒的传播。当一台被Nemty感染的计算机支付赎金时,30%的付款转移给Nemty开发者,其余的转移给客户。
几个月前,Nemty的开发者宣布他们将不再提供勒索软件服务,但他们会自己使用。他们还强调,如果客户不在一周内付款,文件将永远不会被保存。
四 Nephilim Ransomware
当它首次出现时,网络安全研究人员发现Nephilim的资源代码非常类似于Nempty,如果被勒索者不支付赎金,攻击者就要公布敏感数据。
Nephilim的受害者通常是大型组织和公司。19年12月,攻击者计划利用他们在Citrix Gateway设备上发现的弱点,攻击政府机构和公司。此外,他们还利用远程桌面网络和VPN的漏洞对受害者的数据进行攻击加密。
在勒索信中,攻击者强调这些数据已被军事级别的算法加密,敏感数据已被攻破。为了证明他们的权威,Nephilim攻击者从受害者那里获取两个加密文件,解密它们并将其发送给受害者,使受害者相信他们是唯一可以解密文件的人。
五 NetWalker Ransomware
Netwalker也被称为Mailto,是Mailto的最新变种之一。政府机构、医疗组织、企业、远程办公者都是Netwalker的攻击目标。
NetWalker使用受害者的网络加密所有Windows设备,根据网络安全研究人员的分析,NetWalker采用两种不同的方式进行攻击,一种是冠状病毒钓鱼邮件,一种是通过网络传播的可执行文件。NetWalker是2020年勒索病毒盘点中最具破坏性的恶意病毒之一。
六 DoppelPaymer Ransomware
DoppelPaymer勒索病毒及其变种首次出现于2019年4月,于2019年6月瞄准了第一批受害者。到目前为止,已经发现了8种不同的变异病毒。
DoppelPaymer在加密了受害者的文件后给他们留了一张便条,该便条不仅包括赎金的数量,还包括一个链接,受害者通过TOR访问支付赎金。经证实,目前已有3名受害者,网络犯罪分子共获利142个比特币,大约为120万美元。
七 Ryuk Ransomware
Ryuk是最活跃的勒索病毒之一。Ryuk使用其他恶意软件感染目标系统,此外,它还可以访问EMCOR和远程桌面服务等系统。对于每个文件,它都使用独特的军事算法,如RSA和AES,它会阻止被勒索者访问系统或设备,直到赎金付清。
大型公司和政府机构都是Ryuk的目标。例如,总部位于美国的EMCOR公司,世界500强,被Ryuk病毒攻击导致EMCOR的一些IT系统停用。
八 Maze Ransomware
Maze勒索病毒之前被称为“ChaCha勒索病毒”,由Jerome Segura于2019年5月29日发现。Maze是通过使用名为Fallout和Spelvo的攻击工具发动攻击,窃取了敏感数据,加密所有的文件,并要求赎金恢复。
它是世界上最危险的病毒,因为如果赎金要求得不到满足,就会对公布数据。据称Cognizant、Canon(佳能)、Xerox(施乐)和一些医疗保健行业都是Maze勒索软件的受害者。
九 CLOP Ransomware
据发现,攻击者利用CLOP勒索病毒攻击世界各地的公司和组织。攻击者使用钓鱼方法来破坏敏感数据,并将它们转移到自己的服务器上。CLOP增加了“。clop "扩展到每一个加密的文件,此外,它创建了一个“ClopReadMe”。txt文件。在这种勒索病毒中,RSA算法被用来加密数据,而生成的密钥保存在远程服务器中,由攻击者控制。
如果赎金谈判失败,攻击者就会在暗网一个名为CL0P - LEAKS的泄露网站上公布数据。此外,最新版本的CLOP能够停用本地安全系统,如Windows Defender和Microsoft security Essentials。CL0P还可以用特洛伊木马或其他恶意软件感染系统。
十 Tycoon Ransomware
Tycoon是最近发现的一种勒索病毒。许多教育行业和软件企业都遭受过它的攻击。Tycoon被添加到Java运行时环境的木马版本中,这也是第一次使用Java语言中JMAGE格式的个人化恶意JRE编译。
自被发现以来,Tycoon一直表现出一种激进的策略。Tycoon感染受害者系统,拒绝访问管理员,而是发动另一个攻击文件服务器和域控制器。弱密码是Tycoon的一大特点。
如何避免勒索病毒攻击?
- 登录口令采用大小写字母、数字、特殊符号混用的组合方式,使用足够长度的口令并定期更换。
- 及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
- 关闭非必要的服务和端口如135、139、445、3389等高危端口。
- 严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
- 提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件。
- 制定备份计划。对于企业数据中心统一做数据保护系统,制定备份计划,保证拥有定期时间段的备份数据。
- 制定恢复计划。制定勒索病毒发生预案,对在事故发生后的人员分工、备份数据恢复、业务运行等进行详细安排,并定期进行灾难恢复演练。
- 多种备份计划。为了有效备份,甚至可以同时制定异地备份、云端备份、副本备份等多种备份计划,多种备份数据更能万无一失。
- 拒绝支付赎金,安全专家认为与其付钱给罪犯,不如用你的备份来恢复你的数据。
在勒索病毒攻击后你应该做什么?
被勒索病毒攻击时,你可以使用云祺备份软件迅速获取你的文件,而不需要支付赎金。
如果你是云祺备份软件用户,被勒索软件攻击时,有4个步骤要遵循:
如果发现有勒索病毒感染,请关闭设备上的所有文件共享活动。
找到被加密文件数据,定位并评估病毒造成的损害范围。
找到被加密数据所使用云祺备份软件备份的最近备份点。
利用云祺备份软件,瞬时恢复最近备份点,启动业务并进行数据验证。
通过对各种勒索事件分析,不难发现,数据备份才是应对勒索病毒的最佳选择。在发生勒索事件前定期或者实时备份重要的业务数据,在发生勒索事件后,快速恢复备份数据,拉起业务运行,无需支付勒索赎金也可快速恢复数据。
