勒索软件在尝试建立一套合法IT供应商的品牌识别系统。由于恶意软件的成功,根据感染方式、加密内容、赎金数额,以及特殊的新功能已经很难将各种快速更新换代的变种区分开来。——《每周新闻报道》
但是,一个共同点就是对于网络犯罪分子来说,勒索软件已经变得非常有利可图了。
例如,报道中提到Locky(就是那个在本地驱动器和映射网络共享上加密数据的恶意软件)现在一天可以攻击9万个系统,并且对每个受害系统索要400美金的赎金。从理论上讲,只要有25%的受害者支付赎金,Locky的开发者每天几乎都可以获得一千万美金的收益!这是十分令人震惊的数额!
更重要的是,安全研究员JeromeSegura已经发现勒索软件攻击者对于受害者的侦察变得越来越全面,比如说是对用户进行标识,这样可以确定该用户是否可以承受得起更高的赎金。
我们从中得到的教训就是在恶意软件市场中,完善的市场调查也是十分有用的。
如果公众们想要采取预防措施还是有一些方法可行的。首先,大家应当对自己的数据及时进行备份。有了备份之后,如果网络犯罪份子对你的数据进行加密勒索就变得完全没有意义了。
同时,更多地学习怎样进行用户行为分析,这样可以及时发现勒索软件的0day攻击。一位安全专家,也是BleepingComputerLawrenceAbrams创始人在最近发表的文章中表示:“鉴于签名验证是很容易被绕开的,所以行为检测才是最有效的检测以及阻止勒索软件的方法。”
同时,为了能够更好地预防和减轻用户受到的伤害,这里提供最新勒索软件变种的相关信息:
Samas——加密整个企业网络
Cerber——服务型勒索软件,加密大量不同类型的文件
Surprise——感染使用版本的用户
【Samas勒索软件】
赎金数额:目前其正在进行市场调查,攻击者提出的赎金数额从1比特币到1.7比特币不等。并且还有一种讨价还价的形式,那就是受害企业可以拆分支付赎金,一次性解密整个感染系统的价格是22比特币(约合9160美金)。
加密算法:RSA-2048位加密。
感染模式:起初是对受害者的服务器进行一次渗透测试攻击,然后搜索出潜在的脆弱服务器进行攻击和利用。
目标文件类型:Sama的目标是加密企业的整个网络。
【Cerber勒索软件】
赎金数额:1.24比特币,约合500美金。
加密算法:AES-256算法。
感染模式:研究人员现在还不确定它的传播方式,但是它被作为一种勒索服务。分支机构可以加入进来对勒索软件进行传播,这使Cerber的作者可以从每一笔赎金中挣佣金。
顺便说一句,居住在以下这些国家的网民,就不会受到这种攻击:阿塞拜疆、亚美尼亚、格鲁吉亚、白俄罗斯、吉尔吉斯斯坦、哈萨克斯坦、摩尔多瓦、土库曼斯坦、塔吉克斯坦、俄罗斯、乌兹别克斯坦、乌克兰。这是一种巧合吗?我们还不得而知。
文件被加密之后,受害者会收到三个文件被告知自己的文件已被加密——TXT、HTML和VBS。这些文件将赎金信息转换成音频消息,就像是一部烂片,它用一种单调的机器人般的声音通知你,“请注意!请注意!请注意!你的文件、图片、数据库和其他重要文件已经被加密!”
目标文件类型:.contact,.dbx,.doc,.docx,.jnt,.jpg,.mapimail,.msg,.oab,.ods,.pdf,.pps,.ppsm,.ppt,.pptm,.prf,.pst,.rar,.rtf,.txt,.wab,.xls,.xlsx,.xml,.zip,.1cd,.3ds,.3g2,.3gp,.7z,.7zip,.accdb,.aoi,.asf,.asp,.aspx,.asx,.avi,.bak,.cer,.cfg,.class,.config,.css,.csv,.db,.dds,.dwg,.dxf,.flf,.flv,.html,.idx,.js,.key,.kwm,.laccdb,.ldf,.lit,.m3u,.mbx,.md,.mdf,.mid,.mlb,.mov,.mp3,.mp4,.mpg,.obj,.odt,.pages,.php,.psd,.pwm,.rm,.safe,.sav,.save,.sql,.srt,.swf,.thm,.vob,.wav,.wma,.wmv,.xlsb,.3dm,.aac,.ai,.arw,.c,.cdr,.cls,.cpi,.cpp,.cs,.db3,.docm,.dot,.dotm,.dotx,.drw,.dxb,.eps,.fla,.flac,.fxg,.java,.m,.m4v,.max,.mdb,.pcd,.pct,.pl,.potm,.potx,.ppam,.ppsm,.ppsx,.pptm,.ps,.pspimage,.r3d,.rw2,.sldm,.sldx,.svg,.tga,.wps,.xla,.xlam,.xlm,.xlr,.xlsm,.xlt,.xltm,.xltx,.xlw,.act,.adp,.al,.bkp,.bl,.cdf,.cdx,.cgm,.cr2,.crt,.dac,.dbf,.dcr,.ddd,.design,.dtd,.fdb,.fff,.fpx,.h,.iif,.indd,.jpeg,.mos,.nd,.nsd,.nsf,.nsg,.nsh,.odc,.odp,.oil,.pas,.pat,.pef,.pfx,.ptx,.qbb,.qbm,.sas7bdat,.say,.st4,.st6,.stc,.sxc,.sxw,.tlg,.wad,.xlk,.aiff,.bin,.bmp,.cmt,.dat,.dit,.edb,.flvv,.gif,.groups,.hdd,.hpp,.log,.m2ts,.m4p,.mkv,.mpeg,.ndf,.nvram,.ogg,.ost,.pab,.pdb,.pif,.png,.qed,.qcow,.qcow2,.rvt,.st7,.stm,.vbox,.vdi,.vhd,.vhdx,.vmdk,.vmsd,.vmx,.vmxf,.3fr,.3pr,.ab4,.accde,.accdr,.accdt,.ach,.acr,.adb,.ads,.agdl,.ait,.apj,.asm,.awg,.back,.backup,.backupdb,.bank,.bay,.bdb,.bgt,.bik,.bpw,.cdr3,.cdr4,.cdr5,.cdr6,.cdrw,.ce1,.ce2,.cib,.craw,.crw,.csh,.csl,.db_journal,.dc2,.dcs,.ddoc,.ddrw,.der,.des,.dgc,.djvu,.dng,.drf,.dxg,.eml,.erbsql,.erf,.exf,.ffd,.fh,.fhd,.gray,.grey,.gry,.hbk,.ibank,.ibd,.ibz,.iiq,.incpas,.jpe,.kc2,.kdbx,.kdc,.kpdx,.lua,.mdc,.mef,.mfw,.mmw,.mny,.moneywell,.mrw,.myd,.ndd,.nef,.nk2,.nop,.nrw,.ns2,.ns3,.ns4,.nwb,.nx2,.nxl,.nyf,.odb,.odf,.odg,.odm,.orf,.otg,.oth,.otp,.ots,.ott,.p12,.p7b,.p7c,.pdd,.pem,.plus_muhd,.plc,.pot,.pptx,.psafe3,.py,.qba,.qbr,.qbw,.qbx,.qby,.raf,.rat,.raw,.rdb,.rwl,.rwz,.s3db,.sd0,.sda,.sdf,.sqlite,.sqlite3,.sqlitedb,.sr2,.srf,.srw,.st5,.st8,.std,.sti,.stw,.stx,.sxd,.sxg,.sxi,.sxm,.tex,.wallet,.wb2,.wpd,.x11,.x3f,.xis,.ycbcra,.yuv8
【Surprise勒索软件】
赎金数额:从0.5比特币到25比特币不等。如果攻击目标是一个由多台机器组成的企业网络,赎金将会远远高出一台电脑的价格。
加密算法:RSA-2048和AES-256算法的结合。
感染模式:通过TeamViewer进入,这是个用户数量超过10亿的平台,用户使用这个软件访问远程计算机,从而获得技术支持,进行远程会议或是与合作伙伴进行沟通。这款勒索软件攻击目标是安装了版本的用户。
像是ransom32一样,受害者会收到一个由勒索软件开发者提供的免费解了密的文件。这是攻击者想在受害者支付赎金之前,证明他们会在拿到赎金之后解密文件。
目标文件类型:.asf,.pdf,.xls,.docx,.xlsx,.mp3,.waw,.jpg,.jpeg,.txt,.rtf,.doc,.rar,.zip,.psd,.tif,.wma,.gif,.bmp,.ppt,.pptx,.docm,.xlsm,.pps,.ppsx,.ppd,.eps,.png,.ace,.djvu,.tar,.cdr,.max,.wmv,.avi,.wav,.mp4,.pdd,.php,.aac,.ac3,.amf,.amr,.dwg,.dxf,.accdb,.mod,.tax2013,.tax2014,.oga,.ogg,.pbf,.ra,.raw,.saf,.val,.wave,.wow,.wpk,.3g2,.3gp,.3gp2,.3mm,.amx,.avs,.bik,.dir,.divx,.dvx,.evo,.flv,.qtq,.tch,.rts,.rum,.rv,.scn,.srt,.stx,.svi,.swf,.trp,.vdo,.wm,.wmd,.wmmp,.wmx,.wvx,.xvid,.3d,.3d4,.3df8,.pbs,.adi,.ais,.amu,.arr,.bmc,.bmf,.cag,.cam,.dng,.ink,.jif,.jiff,.jpc,.jpf,.jpw,.mag,.mic,.mip,.msp,.nav,.ncd,.odc,.odi,.opf,.qif,.xwd,.abw,.act,.adt,.aim,.ans,.asc,.ase,.bdp,.bdr,.bib,.boc,.crd,.diz,.dot,.dotm,.dotx,.dvi,.dxe,.mlx,.err,.euc,.faq,.fdr,.fds,.gthr,.idx,.kwd,.lp2,.ltr,.man,.mbox,.msg,.nfo,.now,.odm,.oft,.pwi,.rng,.rtx,.run,.ssa,.text,.unx,.wbk,.wsh,.7z,.arc,.ari,.arj,.car,.cbr,.cbz,.gz,.gzig,.jgz,.pak,.pcv,.puz,.rev,.sdn,.sen,.sfs,.sfx,.sh,.shar,.shr,.sqx,.tbz2,.tg,.tlz,.vsi,.wad,.war,.xpi,.z02,.z04,.zap,.zipx,.zoo,.ipa,.isu,.jar,.js,.udf,.adr,.ap,.aro,.asa,.ascx,.ashx,.asmx,.asp,.indd,.asr,.qbb,.bml,.cer,.cms,.crt,.dap,.htm,.moz,.svr,.url,.wdgt,.abk,.bic,.big,.blp,.bsp,.cgf,.chk,.col,.cty,.dem,.elf,.ff,.gam,.grf,.h3m,.h4r,.iwd,.ldb,.lgp,.lvl,.map,.md3,.mdl,.nds,.pbp,.ppf,.pwf,.pxp,.sad,.sav,.scm,.scx,.sdt,.spr,.sud,.uax,.umx,.unr,.uop,.usa,.usx,.ut2,.ut3,.utc,.utx,.uvx,.uxx,.vmf,.vtf,.w3g,.w3x,.wtd,.wtf,.ccd,.cd,.cso,.disk,.dmg,.dvd,.fcd,.flp,.img,.isz,.mdf,.mds,.nrg,.nri,.vcd,.vhd,.snp,.bkf,.ade,.adpb,.dic,.cch,.ctt,.dal,.ddc,.ddcx,.dex,.dif,.dii,.itdb,.itl,.kmz,.lcd,.lcf,.mbx,.mdn,.odf,.odp,.ods,.pab,.pkb,.pkh,.pot,.potx,.pptm,.psa,.qdf,.qel,.rgn,.rrt,.rsw,.rte,.sdb,.sdc,.sds,.sql,.stt,.tcx,.thmx,.txd,.txf,.upoi,.vmt,.wks,.wmdb,.xl,.xlc,.xlr,.xlsb,.xltx,.ltm,.xlwx,.mcd,.cap,.cc,.cod,.cp,.cpp,.cs,.csi,.dcp,.dcu,.dev,.dob,.dox,.dpk,.dpl,.dpr,.dsk,.dsp,.eql,.ex,.f90,.fla,.for,.fpp,.jav,.java,.lbi,.owl,.pl,.plc,.pli,.pm,.res,.rsrc,.so,.swd,.tpu,.tpx,.tu,.tur,.vc,.yab,.aip,.amxx,.ape,.api,.mxp,.oxt,.qpx,.qtr,.xla,.xlam,.xll,.xlv,.xpt,.cfg,.cwf,.dbb,.slt,.bp2,.bp3,.bpl,.clr,.dbx,.jc,.potm,.ppsm,.prc,.prt,.shw,.std,.ver,.wpl,.xlm,.yps,.1cd,.bck,.html,.bak,.odt,.pst,.log,.mpg,.mpeg,.odb,.wps,.xlk,.mdb,.dxg,.wpd,.wb2,.dbf,.ai,.3fr,.arw,.srf,.sr2,.bay,.crw,.cr2,.dcr,.kdc,.erf,.mef,.mrw,.nef,.nrw,.orf,.raf,.rwl,.rw2,.r3d,.ptx,.pef,.srw,.x3f,.der,.pem,.pfx,.p12,.p7b,.p7c,.jfif,.exif,.rar12
——————————————————————————————————————
本文由e安在线独家翻译,本文章及图片出于传递更多信息之目的,属于非营利性的翻译转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。
