Ransomware!赎金软件!加密Ransomware !啊!

毫无疑问,去年这个词让你接触了很多次,我怀疑它与一件好事有关。

所以,你可能想知道为什么你听到这么多关于它,说实话,勒索软件已经成为计算机安全人员的一个痛苦的方面近4年了。但到目前为止,感觉今年是“勒索之年”——就像前一年是“违约之年”一样。

好吧,你现在听到更多的原因是因为它确实有更多。事实上,比5个月前增长了260% !这东西到处都是!

背景

那么是什么让它开始的呢?

从1989年开始一直到2012年,到处都有这样的版本,通过电子邮件或普通邮件(说真的,查一下艾滋病木马),甚至短信支付。

然后我们看到一种新形式的勒索软件的巨大出现,你可能知道它是FBI或执法部门的勒索软件,它基本上锁定了你的屏幕,假装来自一个LE组织,指控你犯了罪并要求你支付,通常使用预付卡,解锁你的电脑。

Reveton_US_2013-09-01_v03

没过多久,人们就发现这是一个骗局,幸运的是,它很容易删除。

因此,有些人认为这是勒索软件的终结,但不幸的是,它不是,事实上,它只是开始。

2013年9月,Cryptolocker出现了,它并没有锁定系统上的任何东西,而是使用了高水平的无法破解的加密技术,让你的所有个人文件都无法使用。它还要求以支付卡和比特币的形式支付。

统计数据

因此,在过去两年多的时间里,安全社区不仅一直在与Cryptolocker进行斗争,而且还在与所有Cryptolocker启发的模仿者进行斗争。

事实上,根据a赛门铁克的研究在美国,从2005年到2014年,只有大约16个野生勒索软件家族被发现,与2015年发现的27个家族和今年第一季度发现的15个家族相比,这是一个小数目。

ransomware在野外的增加只是你正在阅读无处不在的原因之一(包括我们自己的博客)的另一个原因需要我们看看一些数据我们从蜜罐来确定有多少被推行驾车利用在ransomware什么,下图是2015年12月被攻击工具包删除的最大恶意软件分组。

Dec2015

现在我们来看看5月份的情况。

May2016

在近半年的时间里,被攻击工具包丢弃的勒索软件增加了259% !

在上述统计中,有两点没有考虑到:

  • 这些图表只统计了利用工具的活动,他们没有提到恶意钓鱼电子邮件。
  • 这些数据只分析了勒索软件的有效负载,而投放用户/下载用户则完全是另一个统计数据。

请记住,恶意电子邮件仍然是一种可行的和经常使用的感染方法,我们希望从感染载体的统计数据与我们从利用方看到的类似。

此外,虽然勒索软件的有效载荷统计数据是巨大的,但事实是,很多勒索软件被下载恶意软件丢弃后感染系统。在这种特殊情况下,我喜欢将下载恶意软件称为“Schrödinger的”恶意软件,因为它可能是勒索软件,也可能不是,你只有在执行它时才知道最终的有效载荷是什么!

专业人士

要解决为什么勒索软件数量如此之多的问题,我们可以先看看已经存在的网络犯罪集团和行为者,他们已经改变了以前的方法,转而使用勒索策略。一个曾推动Zeus等银行家木马程序的组织,已经开始转向不同家族的恶意软件,以实现收入来源的多元化,从Zeus到Citadel,再到Dridex,这些都是银行家木马程序,但有一个明显的迹象表明,他们在寻找最佳投资,以获得最佳回报。

就在去年12月,该组织还被观察到在推广特斯拉rypt等勒索软件家族。其他具有相同历史的组织已经转向像Locky这样的勒索软件家族,因为他们使用的是同样的老银行家木马。

事实是,一旦加密勒索软件显示出它的盈利能力,其他网络犯罪组织就决定也想分一杯羹,并放弃了其他攻击方法。这反映在前面提到的统计数字中,恶意软件的数量作为一个整体没有减少,事实上,dropppers,银行家木马和其他类型的恶意软件是不常见的,因为网络罪犯现在有压倒性的嗜好勒索软件。

山寨

有几十个活跃的勒索软件家族存在,他们被推过各种主流的感染形式,并涌入黑市。事实上,家庭人数的增加可以部分归因于勒索软件的流行和在线泄露的源代码的可用性。

Hidden Tear是一款“教育性”勒索软件,它被免费发布在网上,让人们了解编写勒索软件需要什么。显然,让所有人都能获得这些代码会让地下的一些人感到不适,因为犯罪分子用同样的代码创建了衍生恶意软件,即所谓的“魔法勒索软件”敲诈创造者或者魔法的受害者将永远得不到他们的加密密钥。

Cryptowall3

或者,其他版本的勒索软件,如Cryptolocker/Cryptowall 3,1(上面)可能最终被购买或从创建者那里偷来的人免费托管。这很容易被逆向工程和修改,以满足任何拥有代码的人的需要,要么让它向那个人发送付款,要么把它重新包装成一个完全不同的勒索软件家族。

盗窃、创造、修改和分发的过程给我们留下了大量的勒索软件家族,但在一天结束的时候,是这种老式的方法给安全社区造成了如此大的问题。

老城

被称为“勒索软件即服务”(RaaS)的网络犯罪分子可以继续用僵尸网络、开发工具和其他网络攻击方法做他们一直在做的事情,并将其卖给下一个坏人。
待售

RaaS的工作原理是让勒索软件开发者在地下黑市论坛(或运营网站)上发布广告,向那些想要进入勒索游戏,但没有能力创建自己的恶意软件的网络犯罪分子宣传他们的勒索软件产品及其功能。通常会有某种形式的货币交换,购买了恶意软件的网络罪犯现在有一个闪亮的新勒索软件可以玩,为他们自己的比特币和/或电子邮件账户定制,并可以设置一个命令和控制界面。

赎金。Johnycryptor

Bandarchor勒索软件是RaaS模型的一个产品,在上面的截图中你可以看到电子邮件地址“JohnyCryptor@aol.com”,但是这个恶意软件的其他变体有很多不同的电子邮件地址相关联.这意味着恶意软件是专门为客户创建的,使用上面的电子邮件地址,最有可能是由购买者分发的。

RaaS属于一个与网络犯罪相关的繁荣多年的巨大市场。犯罪分子可以购买主机服务、分销渠道(利用漏洞、网络钓鱼)、加密服务(将恶意软件隐藏起来以躲避AV检测)。

NeutrinoForSaleEng

这种商业方式的后果是,现在有更多的罪犯可以利用勒索软件,并比以前更多地传播它。最糟糕的是,几乎不需要任何技术知识,这意味着,即使是没有犯罪或电脑背景的人,也可能发现自己是一场勒索软件感染运动的掌门人。

goliathRW

Goliath是一个勒索软件家族,它使网络犯罪新手很容易利用勒索战术对用户。更可怕的是,一些家庭希望与其他罪犯、受害者和任何想分一杯羹的人分享财富!

Chimera2

上面显示了属于的赎金屏幕的HTML德国嵌合体ransomware,让人们知道,他们很乐意与其他潜在的罪犯合作,传播他们的恶意软件,勒索受害者。

分配方法

最后,我们可以讨论它是如何进入您的系统的。现在你可能会遇到勒索软件的两种主要方式:

  • 恶意的垃圾邮件
  • 利用

恶意的垃圾邮件很容易避免,通常都是关于不打开你没想到会收到的word文档,或者总是这样“no”来允许宏运行。不幸的是,漏洞很难避免。

虽然避免可疑网站是一个伟大的方式,以保持在许多利用攻击目前在野生,当处理恶意广告,游戏完全改变。

恶意广告攻击是指广告服务器被网络犯罪分子以某种方式侵入,并在广告服务器所提供的客户网络中传播恶意广告的攻击行为。这些广告可以是任何东西,从简单的重定向到嵌入其中的恶意代码。

下图显示了一名用户访问圣路易斯当地一家新闻站网站时发起的恶意广告攻击。

流

当用户访问任何网站时,恶意广告就会出现,他们就暴露了,不管是哪个网站,只要它提供广告,它就有可能利用你的系统。所执行的代码将针对过时的(有时是更新过的)软件中的漏洞,这些软件迫使您的系统下载并执行恶意文件。

许多这种形式的攻击导致了勒索软件的产生。前面提到的统计数据解释了这一切,因为它们是通过分析恶意广告和飞车攻击的有效载荷下降而收集的。

流

上图显示的是今年4月发生的一起事件,一家玩具公司的网站被利用进行攻击,导致CryptXXX勒索软件感染。

避免这些攻击载体的最佳解决方案包括:

  • 更新所有面向外部的应用程序(Java, Flash, Internet Explorer, Silverlight)
  • 使用广告拦截器(大多数情况下,只对恶意广告有效,而不是被攻击的网站)

结论

所以现在你知道了,如果你认为勒索软件的炒作只是媒体为了卖报纸而制造的,那你就大错特错了!

勒索软件已经成为最常用的恶意软件攻击形式,因为它在地下的数量众多,易于使用,并难以置信地有效地从受害者敲诈大量金钱。

最糟糕的是,它绕过了我们之前学到的所有对抗恶意软件的规则。可悲的事实是,在勒索软件感染后,几乎没有任何追索权,它的游戏结束,并没有扫描或清理后的事实将返回你的文件。不过,这里有一些提示,告诉你感染病毒后该怎么办:

不支付赎金

确定你感染的勒索软件家族

由于许多家庭都是较成熟勒索软件的模仿者,或者只是编码较差,加密过程中很可能存在缺陷,安全研究人员努力识别这些缺陷,并为受害者创建解密器。这不是一个100%的解决方案,但值得一试。

不支付赎金

不要将您的计算机连接到任何其他外部媒体设备或网络驱动器

许多变体的勒索软件会识别出甚至不在你的物理硬盘上的个人文件。你不希望勒索软件加密任何备份,你可能有或共享文件在文件服务器上。

不要支付赎金。

立即关闭任何离线/云备份的自动备份功能

如果你正在使用离线/云备份服务,那就太棒了!非常感谢你的积极主动!但是,如果你在一天中的某个时间或者当它检测到一些变化时自动备份这些文件,如果你不关闭它,你将会得到一个加密文件的备份。

不要支付赎金!!

在这个特定的话题上有很多有争议的观点,最后你必须意识到,通过支付赎金,你不仅鼓励了感染你的罪犯,也鼓励了其他潜在的罪犯使用勒索软件。

统计数据、家庭数量的激增和这种恶意软件的可用性表明,我们已经未能阻止勒索软件在犯罪分子中流行。付费的理由是,个人或组织可能没有其他选择,这可能是成本与风险的问题。

然而,尽管勒索软件犯罪分子可能会提供“免费解密试验”的促销活动,但并不能保证你能拿回你的文件。

事实上,堪萨斯的一家医院被勒索软件攻击,甚至在他们付钱给罪犯后,他们的文件只有一部分被解密,而受害者需要更多的钱来完成其余的工作。

你支付赎金的唯一目的就是向罪犯表明你愿意满足他们的要求,而他们会利用这一事实。

有些人可能会说,打击勒索软件不是受害者的工作,我想知道是否同样是这些人认为,防止他们感染的疾病的传播不是他们的工作。

打击恶意软件是每个人的责任,即使只是阅读一篇文章,分享一篇文章,或对那些不太可能被抓住的罪犯采取立场。

感谢阅读和安全浏览。