近日,腾讯平安正式对外公布《2020 上半年勒索病毒报告》(以下简称“报告”)。《报告》显示,上半年寰球大型企业蒙受勒索病毒打击的事件仍然高频产生。其中,最沉闷的勒索病毒家族发动针对性极强的大型“狩猎”流动,对企业开出天价解密赎金;新型勒索病毒层出不穷,技术上一直进化。而勒索伎俩也从单纯的赎金换密钥,降级到不给赎金就公开秘密数据。腾讯平安也提供从威逼情报到平安产品的整体防护解决方案,帮助企业抵挡勒索病毒攻打。
据腾讯平安威逼情报大数据显示,2020 上半年勒索病毒仍旧非常沉闷,但总体感化状况较去年略有降落。从勒索病毒攻打的地区散布看,广东、浙江、山东、河南、上海等经济较发达地区成为重点指标,其它省份也蒙受到不同水平攻打。从勒索病毒影响的行业看,数据价值较高的传统企业、教育、医疗、政府机构蒙受攻打最为重大,互联网、金融、能源行业紧随其后,也受到勒索病毒攻打影响。
攻打更精准,不交赎金立刻公开敏感数据
因为攻打政企机构更容易取得赎金,于是沉闷勒索病毒团伙越来越多地将高价值大型政企机构作为重点打击对象。据《报告》显示,为了谋求利益最大化,少数状况下,攻击者在攻陷企业一台网络资产之后,会利用该资产继续浸透攻陷更多资产,之后大量植入文件加密模块,从而迫使企业在业务零碎大面积瘫痪的状况下缴纳赎金。
上图的勒索病毒样本仅针对特定指标的 IT 设施
此外,为防止勒索失败,攻击者还采取了新的勒索策略。即,先窃取政企机构敏感数据,再对企业资产进行加密。如果企业回绝缴纳赎金解密,就在暗网“羞耻墙”页面公开企业局部敏感数据进一步施行勒索,若企业仍然回绝缴纳赎金,勒索团伙就会间接公开所窃取的企业敏感数据。对于大型企业而言,数据泄露带来的不止有经济上的损失,还会重大影响企业形象,使本身失去公众信赖。因而,面对这种以泄露数据为伎俩的勒索攻打,就算企业有数据备份,也只能被迫抉择领取赎金。
加密、单干、定制化,勒索病毒技术手段降级
通过长期的演变,勒索病毒在“勒索”这件事上越发成熟。
首先,为了对攻打指标进行精准打击,很多勒索病毒会利用僵尸网络宏大的感化基数进行迅速扩张。例如 GandCrab 勒索团伙就借助 Phorpiex 僵尸网络的继续投递获利超 20 亿美金。而新开发出的勒索家族为了疾速切入市场,也会抉择与僵尸网络进行单干以取得市场知名度。据《报告》显示,僵尸网络已成为勒索病毒传播渠道的中坚力量,在勒索病毒事件溯源中的占比越来越高。
其次,为了晋升加密效率升高资源耗费,勒索病毒作者在加密流程的细节上进行优化。从晚期的单线程文件加密,降级到针对每个磁盘分区进行多线程加密;从繁多的 x86 可执行病毒版本到减少 x64 可执行版本;利用高危破绽进行内核提权,或应用压缩打包的形式进行提权来加密更多文件等等。此外,勒索病毒还开始扩充加密范畴,不止加密文件,同时对文件名也进行加密。
值得一提的是,勒索病毒还开始了“联手”单干。腾讯平安专家察看发现,有攻击者携带不止一种勒索病毒。据揣测,这可能是攻击者为防止繁多病毒因为平安环境等问题导致的加密失败,而开始与多个勒索病毒家族单干。同时,更多的勒索病毒开始针对国内市场做优化,例如减少中文版本的勒索函件,勒索加密扩大后缀应用具备国内格调的命名形式等。由此可见,国内仍然为勒索团伙关注最为亲密的市场之一。
增强信息安全建设,保障企业不被“勒索”
面对严厉的勒索病毒威逼态势,《报告》中指出可依照“三不三要”思路进行日常平安治理,以进步企事业单位及政府机构的网络安全意识。即题目吸引人的未知邮件不要点开、不轻易关上电子邮件附件、不随便点击电子邮件中的附带网址;重要材料要备份、开启电子邮件前确认发件人可信、零碎补丁 / 安全软件病毒库放弃实时更新。
同时,腾讯平安专家揭示宽广政企用户,可依据业务节点拦挡地位部署业余的平安产品,并依据腾讯平安威逼情报中心提供的情报数据配置各节点联防联动、对立协调治理,晋升整体网络抗攻击能力。
此外,专家还倡议个人用户装置腾讯电脑管家、企业客户部署腾讯 T -Sec 终端平安管理系统拦挡查杀各类勒索病毒,爱护各终端节点。同时,启用腾讯电脑管家「文档守护者」,该性能集成针对支流勒索病毒的解密计划,并提供欠缺的数据备份计划,为数千万用户提供文档爱护复原服务。