距離去年5月12日勒索病毒爆發(fā)一周年了。一年前,一個(gè)叫“WannaCry”的勒索病毒突然大規(guī)模爆發(fā),席卷全球150多個(gè)國(guó)家,造成高達(dá)80億美元的經(jīng)濟(jì)損失。一年后,這個(gè)大型勒索病毒事件帶來(lái)的負(fù)面影響仍然難以消除:其背后的“永恒之藍(lán)”漏洞利用頻頻復(fù)現(xiàn);大型企事業(yè)單位屢次遭遇勒索病毒攻擊;勒索變種層出不窮,并開(kāi)始從發(fā)達(dá)城市向偏遠(yuǎn)地區(qū)擴(kuò)散。

勒索病毒已發(fā)展成為威脅網(wǎng)絡(luò)安全的重大毒瘤,嚴(yán)重威脅著企業(yè)和個(gè)人用戶(hù)的文檔和數(shù)據(jù)安全。過(guò)去一年,騰訊安全通過(guò)精研勒索病毒防御技術(shù)和對(duì)黑產(chǎn)的深入調(diào)查探訪了解到,勒索病毒攻擊方式不斷升級(jí),并呈現(xiàn)出組織團(tuán)伙化、產(chǎn)業(yè)鏈條化特征。

WannaCry仍在活躍 勒索病毒攻擊呈現(xiàn)新趨勢(shì)

騰訊御見(jiàn)威脅情報(bào)中心監(jiān)控顯示,在過(guò)去的一年,經(jīng)過(guò)安全廠商的圍剿堵截,WannaCry勒索病毒攻擊在短時(shí)間內(nèi)急速下降后已趨平穩(wěn),但并未徹底消失。直到今天,由于病毒變種不斷出現(xiàn),WannaCry依然在持續(xù)傳播。

與以往勒索病毒主攻北上廣深地區(qū)不同,近期受WannaCry影響最為嚴(yán)重的地區(qū)為廣西和浙江,其次是江蘇和湖北。經(jīng)歷WannaCry爆發(fā)初期,國(guó)內(nèi)安全產(chǎn)商不斷精研安全能力,全民防御意識(shí)有所提升,導(dǎo)致WannaCry變種在后續(xù)的攻擊中逐漸將目標(biāo)轉(zhuǎn)向防御能力相對(duì)偏弱的地區(qū)。

　　(圖:近期WannaCry勒索病毒在國(guó)內(nèi)的攻擊地域分布)

從WannaCry近期攻擊行業(yè)分布上看,學(xué)校、傳統(tǒng)工業(yè)、政府機(jī)構(gòu)為主要目標(biāo)群體,其中學(xué)校被攻擊的比例更是占到35%。或由于此類(lèi)機(jī)構(gòu)長(zhǎng)期依賴(lài)互聯(lián)網(wǎng)提供的基礎(chǔ)設(shè)施服務(wù),但相對(duì)缺少專(zhuān)業(yè)安全運(yùn)維服務(wù),導(dǎo)致整體安全防御能力薄弱,極易被病毒入侵。

　　(圖:近期WannaCry勒索病毒攻擊行業(yè)分布)

不單單是WannaCry,進(jìn)入2018年以來(lái),越來(lái)越多的勒索病毒開(kāi)始將攻擊目標(biāo)轉(zhuǎn)向企業(yè)服務(wù)器。由于企業(yè)用戶(hù)數(shù)據(jù)價(jià)值一般情況下遠(yuǎn)高于個(gè)人用戶(hù),一旦數(shù)據(jù)被加密會(huì)更傾向于繳納贖金。于是,勒索病毒的攻擊方式從最初的廣撒網(wǎng)逐漸轉(zhuǎn)變?yōu)橄蚋邇r(jià)值目標(biāo)發(fā)起定向攻擊。

勒索病毒產(chǎn)業(yè)鏈條化解密公司竟成勒索中間代理

伴隨勒索病毒攻擊方式進(jìn)一步升級(jí),勒索病毒在經(jīng)歷單打獨(dú)斗的發(fā)展時(shí)期后,已呈現(xiàn)出組織團(tuán)伙化、產(chǎn)業(yè)鏈條化的特征。

騰訊御見(jiàn)威脅情報(bào)中心分析發(fā)現(xiàn),一次完整的勒索病毒攻擊流程涉及勒索病毒作者、勒索者、傳播渠道商、代理、受害者5個(gè)角色,從業(yè)人員之間的分工十分明確。勒索病毒作者負(fù)責(zé)勒索病毒編寫(xiě)制作,對(duì)抗安全軟件;勒索者定制專(zhuān)屬病毒,并聯(lián)系傳播渠道商進(jìn)行投放;代理向受害者假稱(chēng)自己能夠解密各勒索病毒加密的文件,實(shí)則與勒索者合作,共同賺取受害者的贖金。

　　(圖:勒索病毒黑產(chǎn)流程圖)

更讓人意想不到的是,網(wǎng)絡(luò)上可搜索到的可支持勒索病毒解密的公司,竟然也是參與勒索病毒黑色產(chǎn)業(yè)鏈的中間代理。

在網(wǎng)絡(luò)上搜索勒索病毒解密相關(guān)信息時(shí)可以發(fā)現(xiàn),網(wǎng)絡(luò)上出現(xiàn)了許多提供“勒索病毒解密服務(wù)”的公司,排名靠前的大部分顯示為搜索引擎廣告。這類(lèi)企業(yè)聲稱(chēng)支持各種勒索病毒家族的解密,其中包括流行的Locky、Cerber、Crysis、GlobeImposter、GandCrab家族等。

　　(圖:網(wǎng)絡(luò)上搜索的勒索病毒解密服務(wù))

據(jù)騰訊安全技術(shù)專(zhuān)家介紹,除非勒索病毒存在邏輯漏洞,或者這些企業(yè)擁有解密密鑰,否則以正常的算力方法去解密的可能性微乎及微。然而,深圳某公司在服務(wù)器中招之后聯(lián)系解密公司求助,解密公司居然憑借極少的信息就給出了內(nèi)網(wǎng)IP以及對(duì)應(yīng)的解密密鑰,不禁讓人懷疑其與該病毒的勒索者有所關(guān)聯(lián)。技術(shù)人員假意表達(dá)想做中間代理而聯(lián)系勒索者,很快便得到了相應(yīng)回復(fù)。

探訪結(jié)果證明,這類(lèi)解密公司實(shí)際上就是勒索者的代理,利用國(guó)內(nèi)用戶(hù)不方便購(gòu)買(mǎi)勒索者要求的數(shù)字貨幣贖金,以相對(duì)便宜的價(jià)格吸引受害者達(dá)成交易。根據(jù)某解密公司官網(wǎng)上公開(kāi)的記錄,一家解密公司靠做勒索中間代理一個(gè)月收入高達(dá)300萬(wàn)人民幣。

對(duì)抗勒索病毒重在防御 騰訊“御”系列打造企業(yè)網(wǎng)絡(luò)安全閉環(huán)

為防御勒索病毒攻擊威脅,騰訊安全根據(jù)目前企業(yè)易遭受的安全威脅類(lèi)型,推出“御”系列產(chǎn)品解決方案,整合騰訊安全安全技術(shù)能力及大數(shù)據(jù)資源,針對(duì)事前、事中、事后提供包括感知、檢測(cè)、攔截、溯源在內(nèi)的全套威脅應(yīng)對(duì)機(jī)制,幫助企業(yè)有效抵御網(wǎng)絡(luò)攻擊。

4月16日,國(guó)內(nèi)某醫(yī)院的服務(wù)器遭受到了最新變種勒索病毒GlobeImposter的攻擊,醫(yī)院的服務(wù)器系統(tǒng)遭到入侵,導(dǎo)致部分文件和應(yīng)用被病毒加密破壞。接到求助后,騰訊企業(yè)安全火速響應(yīng),通過(guò)針對(duì)感染情況的緊急分析和技術(shù)流操作,迅速鎖定病源,保障了內(nèi)網(wǎng)應(yīng)用的安全運(yùn)行。騰訊企業(yè)安全“御點(diǎn)”終端安全管理系統(tǒng),將百億量級(jí)云查殺病毒庫(kù)、引擎庫(kù)以及騰訊TAV殺毒引擎、系統(tǒng)修復(fù)引擎應(yīng)用到醫(yī)療企業(yè)內(nèi)部,有效防御醫(yī)療企業(yè)內(nèi)網(wǎng)終端的病毒木馬攻擊。

騰訊御界防APT郵件網(wǎng)關(guān)系統(tǒng)依托哈勃分析系統(tǒng)的核心技術(shù),結(jié)合大數(shù)據(jù)與深度學(xué)習(xí),能夠迅速識(shí)別APT攻擊郵件、釣魚(yú)郵件、病毒木馬附件等;騰訊御見(jiàn)智能態(tài)勢(shì)感知平臺(tái),通過(guò)對(duì)企業(yè)全面的基礎(chǔ)網(wǎng)絡(luò)信息進(jìn)行集中采集、存儲(chǔ)和持續(xù)深層分析,能夠?yàn)槠髽I(yè)用戶(hù)構(gòu)建自適應(yīng)安全體系,彈性應(yīng)對(duì)來(lái)自外部和內(nèi)部的各種威脅,實(shí)現(xiàn)企業(yè)全網(wǎng)安全態(tài)勢(shì)可知、可見(jiàn)、可控的閉環(huán)。

對(duì)于普通個(gè)人用戶(hù),騰訊電腦管家整合推出的“文檔守護(hù)者”功能,幫助用戶(hù)構(gòu)建一站式文檔保護(hù)方案,可實(shí)現(xiàn)對(duì)包括“WannaCry”在內(nèi)的430種勒索病毒樣本的免疫,還能提供對(duì)未知的勒索病毒的攔截能力,并自動(dòng)備份全盤(pán)文檔,全面保證用戶(hù)文檔安全。

對(duì)抗勒索病毒仍然長(zhǎng)路漫漫,在互聯(lián)網(wǎng)全面介入各個(gè)產(chǎn)業(yè)的當(dāng)下,安全不再是單獨(dú)個(gè)人和安全產(chǎn)商的事,提高全民網(wǎng)絡(luò)安全意識(shí),加強(qiáng)社會(huì)多方力量協(xié)作,疊加多元優(yōu)勢(shì),形成合力,才能構(gòu)筑堅(jiān)不可摧的網(wǎng)絡(luò)安全新防線。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。