勒索軟件的收益有多高?據(jù)美國(guó)FBI的一份報(bào)告顯示,2016年,勒索軟件的非法收入可能達(dá)到10億美元,而這一筆巨款很大一部分都是由企業(yè)繳納的贖金組成,可以說(shuō)勒索軟件發(fā)展至今已經(jīng)演變成一種生意行為了。
曾有調(diào)查顯示,人們對(duì)勒索軟件贖金的容忍值高達(dá)400英鎊(折合人民幣約3700元,能買一部很好的智能手機(jī)了),所以攻擊者一年的收益也是挺高的,勒索軟件越來(lái)越惡劣,并且提出的贖金也變得越來(lái)越貴,有時(shí)候就算支付了贖金,也無(wú)法保證犯罪分子會(huì)釋放你加密的電腦或文件。
大家對(duì)那個(gè)紅白色的骷髏頭logo還有印象嗎?它可是曾被媒體譽(yù)為“破壞性比傳統(tǒng)勒索軟件更大”的新型惡意軟件,電腦一旦被感染,電腦就會(huì)藍(lán)屏死機(jī),并且在系統(tǒng)加載前,會(huì)把常規(guī)的Windows圖標(biāo)替換成閃爍的紅白色的骷髏頭。此惡意軟件還可以控制電腦啟動(dòng)進(jìn)程,把電腦硬盤整個(gè)加密。
近期,卡巴斯基實(shí)驗(yàn)室研究人員發(fā)現(xiàn)一種新的名為PetrWrap的惡意軟件家族。該家族的惡意軟件使用了之前Petya勒索軟件的模塊,并且通過(guò)勒索軟件服務(wù)平臺(tái)進(jìn)行傳播,針對(duì)各類組織和企業(yè)實(shí)施針對(duì)性攻擊。PetrWrap的編寫者在Petya勒索軟件的基礎(chǔ)上制作和修改了一個(gè)特殊的“動(dòng)態(tài)”模塊,這種未授權(quán)使用讓Petya的原作者也束手無(wú)策。這很可能是一種跡象,表明地下勒索軟件市場(chǎng)的競(jìng)爭(zhēng)日益加劇。
2016年5月,卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)Petya勒索軟件不僅能夠加密存儲(chǔ)在計(jì)算機(jī)上的數(shù)據(jù),還能夠重寫硬盤的主引導(dǎo)記錄(MBR),造成受感染計(jì)算機(jī)無(wú)法啟動(dòng)到操作系統(tǒng)。這種惡意軟件采用了典型的惡意軟件服務(wù)模式,即勒索軟件編寫者根據(jù)需求提供惡意產(chǎn)品,并通過(guò)多個(gè)渠道傳播這種惡意軟件,然后從中獲取一部分收益。為了獲取到這部分收益,Petya的編寫者在惡意軟件中插入了特定的“保護(hù)機(jī)制”,避免他人未授權(quán)使用Petya樣本。PetrWrap木馬作者的惡意行為最早于2017年初被發(fā)現(xiàn),這種惡意軟件的作者突破了Petya的防護(hù)機(jī)制,找到一種可以使用Petya的手段,同時(shí)不需要向Petya作者支付一分錢。
目前,還不清楚PetrWrap是如何進(jìn)行傳播的。感染后,PetrWrap啟動(dòng)Petya來(lái)加密受害者的數(shù)據(jù),之后勒索受害者支付贖金。PetrWrap作者使用了自己的私匙和公匙,并沒(méi)有使用Petya自帶的密匙。這表示,如果受害者支付了贖金,PetrWrap惡意軟件使用者無(wú)需使用Petya作者的私匙就可以解密受害者的計(jì)算機(jī)。
很明顯,PetrWrap的開(kāi)發(fā)者選擇Petya并非出于偶然:Petya家族的勒索軟件具有相當(dāng)完美的加密算法,很難被破解,而加密算法又是勒索軟件中最重要的組件。過(guò)去發(fā)生的多起案例中顯示,有些勒索軟件的加密算法存在漏洞,能夠讓安全研究人員找到解密文件的辦法,從而讓網(wǎng)絡(luò)罪犯的所有努力都前功盡棄。之前版本的Petya勒索軟件就出現(xiàn)過(guò)這種情況,之后,該勒索軟件的作者修復(fù)了幾乎所有漏洞。所以,當(dāng)受害者的計(jì)算機(jī)被最新版的Petya攻擊后,數(shù)據(jù)加密非常可靠,無(wú)法被破解。這也就是為什么PetrWrap選擇使用Petya的加密算法的原因。不僅如此,被PetrWrap勒索軟件感染后,受害者計(jì)算機(jī)上的鎖定屏幕不會(huì)提到任何有關(guān)Petya的信息,讓安全專家很難判斷情況,無(wú)法快速識(shí)別出攻擊中使用的勒索軟件家族。
為了保護(hù)企業(yè)和組織抵御這類攻擊,卡巴斯基實(shí)驗(yàn)室安全專家給出以下建議:
1. 正確和及時(shí)備份數(shù)據(jù),這樣即使遭遇數(shù)據(jù)丟失事件,也可以利用備份恢復(fù)原始數(shù)據(jù)。
2. 使用具有基于行為檢測(cè)技術(shù)的安全解決方案。這些技術(shù)能夠監(jiān)控程序在系統(tǒng)上的行為,攔截惡意軟件,包括勒索軟件,還可以發(fā)現(xiàn)之前未知的勒索軟件樣本。
3. 對(duì)控制網(wǎng)絡(luò)進(jìn)行安全評(píng)估(即安全審計(jì)、滲透測(cè)試和縫隙分析),發(fā)現(xiàn)和消除安全漏洞。如果外部供應(yīng)商和第三方安全策略能夠直接訪問(wèn)你們的控制網(wǎng)絡(luò),也需要對(duì)他們進(jìn)行安全評(píng)估。
4. 請(qǐng)求外部情報(bào):來(lái)自信譽(yù)可靠的供應(yīng)商的安全情報(bào)信息能夠幫助企業(yè)和組織預(yù)測(cè)未來(lái)攻擊。
5. 對(duì)員工進(jìn)行安全培訓(xùn),尤其要提高操作人員以及工程人員的安全意識(shí),提到他們對(duì)最新威脅和攻擊的警惕性。
6. 在企業(yè)和組織的安全便捷內(nèi)外提供保護(hù)。正確的安全策略需要將大量資源用于攻擊檢測(cè)和反饋,從而在攻擊入侵重要的對(duì)象之前,將其攔截。
勒索軟件已經(jīng)成為重要的地下黑色產(chǎn)業(yè)之一,也是近幾年來(lái)數(shù)量增加最快的網(wǎng)絡(luò)威脅之一,企業(yè)機(jī)構(gòu)和個(gè)人都是其攻擊的目標(biāo)和勒索對(duì)象,但如果時(shí)常清理、維護(hù)好你的電腦, 以及具備網(wǎng)絡(luò)安全防護(hù)措施和相關(guān)網(wǎng)絡(luò)安全知識(shí),是可以做到降低感染風(fēng)險(xiǎn)的。
京公網(wǎng)安備 11010502049343號(hào)