北(bei)京2020年7月10日 /美通社/ -- 勒(le)索軟(ruan)件(jian)近(jin)年來一直是黑客組織(zhi)牟(mou)取暴(bao)利的(de)(de)(de)絕佳(jia)手(shou)(shou)段，也是發(fa)(fa)展最(zui)(zui)快的(de)(de)(de)網(wang)絡安全威脅之(zhi)(zhi)(zhi)一。之(zhi)(zhi)(zhi)前Wannacry、NotPeya全球肆掠(lve)、攻(gong)(gong)(gong)城掠(lve)地(di)的(de)(de)(de)景象，尚(shang)未完(wan)全消除。如今(jin)勒(le)索軟(ruan)件(jian)攻(gong)(gong)(gong)擊(ji)目(mu)標多(duo)元(yuan)化(hua)、攻(gong)(gong)(gong)擊(ji)手(shou)(shou)段復雜化(hua)、解密數據難(nan)(nan)度(du)(du)大、危害(hai)影響難(nan)(nan)估量等(deng)，被稱為(wei)安全業界最(zui)(zui)頭疼(teng)的(de)(de)(de)軟(ruan)件(jian)，也成為(wei)政府、企業、個人(ren)最(zui)(zui)為(wei)關注(zhu)的(de)(de)(de)安全風(feng)險之(zhi)(zhi)(zhi)一，它幾(ji)乎(hu)成為(wei)與(yu)APT齊名(ming)的(de)(de)(de)攻(gong)(gong)(gong)擊(ji)類型(xing)。破(po)財消災，幾(ji)乎(hu)成了多(duo)數被勒(le)索者不得已而為(wei)之(zhi)(zhi)(zhi)的(de)(de)(de)選(xuan)擇。根據COVEWARE公(gong)司的(de)(de)(de)報告，2020年一季度(du)(du)，企業平均贖金支付增(zeng)加至(zhi)111,605美元(yuan)，比(bi)2019年第四季度(du)(du)增(zeng)長了33%。目(mu)前勒(le)索軟(ruan)件(jian)主要的(de)(de)(de)攻(gong)(gong)(gong)擊(ji)傳(chuan)播(bo)方式仍(reng)然以RDP（遠(yuan)程桌面服務）和釣(diao)魚郵件(jian)為(wei)主。因為(wei)其變現方式更為(wei)粗暴(bao)直接(jie)，正被越來越多(duo)的(de)(de)(de)網(wang)絡“灰(hui)黑”產采(cai)用。品嘗(chang)過“勒(le)索”帶來的(de)(de)(de)巨大且(qie)輕而易舉的(de)(de)(de)利益后，勒(le)索軟(ruan)件(jian)的(de)(de)(de)演變與(yu)發(fa)(fa)展更加迅猛異常。

天(tian)(tian)地(di)和興總結梳理的(de)上半年工業(ye)企業(ye)10起(qi)典型(xing)攻擊(ji)(ji)事件(jian)(jian)(jian)(jian)中，有(you)(you)7起(qi)是(shi)勒索(suo)(suo)攻擊(ji)(ji)。2月，勒索(suo)(suo)攻擊(ji)(ji)殃及(ji)美國天(tian)(tian)然氣(qi)管道公(gong)(gong)(gong)司(si)(si)，CISA未透露(lu)勒索(suo)(suo)軟(ruan)件(jian)(jian)(jian)(jian)名稱。勒索(suo)(suo)軟(ruan)件(jian)(jian)(jian)(jian)Nefilim攻擊(ji)(ji)澳大利亞Toll集(ji)團；3月，勒索(suo)(suo)軟(ruan)件(jian)(jian)(jian)(jian)Ryuk攻擊(ji)(ji)鋼鐵制(zhi)造商(shang)EVRAZ公(gong)(gong)(gong)司(si)(si)及(ji)其北(bei)美分支機(ji)構，包括加拿(na)大和美國的(de)鋼鐵生(sheng)產廠；4月，Ragnar Locker勒索(suo)(suo)軟(ruan)件(jian)(jian)(jian)(jian)襲(xi)(xi)擊(ji)(ji)了(le)葡萄牙(ya)跨國能源公(gong)(gong)(gong)司(si)(si)EDP（Energias de Portugal），并(bing)且索(suo)(suo)要(yao)1580個比(bi)特幣贖(shu)金（折合約1090萬美元(yuan)/990萬歐(ou)元(yuan)）；5月，勒索(suo)(suo)軟(ruan)件(jian)(jian)(jian)(jian)Nefilim襲(xi)(xi)擊(ji)(ji)了(le)臺灣石油、汽(qi)油和天(tian)(tian)然氣(qi)公(gong)(gong)(gong)司(si)(si)CPC公(gong)(gong)(gong)司(si)(si)及(ji)其競爭對手臺塑(su)石化公(gong)(gong)(gong)司(si)(si)（FPCC）。另(ling)有(you)(you)未透露(lu)名稱的(de)勒索(suo)(suo)軟(ruan)件(jian)(jian)(jian)(jian)攻擊(ji)(ji)了(le)瑞士鐵路機(ji)車制(zhi)造商(shang)Stadler；6月，勒索(suo)(suo)軟(ruan)件(jian)(jian)(jian)(jian)EKANS/Snake攻擊(ji)(ji)了(le)本田汽(qi)車制(zhi)造商(shang)。

天地和(he)興(xing)工業網絡安全(quan)研(yan)究院對所監測到(dao)的(de)眾多勒(le)索軟件攻(gong)擊事件進行(xing)梳理，注意到(dao)勒(le)索攻(gong)擊的(de)目(mu)標正(zheng)向石油、天燃氣(qi)、能(neng)源(yuan)、制(zhi)造等關(guan)鍵基礎設施行(xing)業發展(zhan)。本文篩選10個(ge)典(dian)型的(de)、比較活躍的(de)勒(le)索軟件，通(tong)過簡要分析其攻(gong)擊的(de)目(mu)標、路徑、手段及主要特征(zheng)，以此(ci)警示關(guan)鍵信息基礎設施利益相(xiang)關(guan)方，警鐘常鳴(ming)，防(fang)患未(wei)然。

典型勒索軟件

1、勒索軟件Maze

Maze勒索軟件是ChaCha的一個變種，最早出現于2019年5月。最初，Maze是使用如和之類的漏洞利用工具包通過網站進行傳播，該工具包利用Flash Player漏洞。后續Maze勒索軟件增加了利用等(deng)能(neng)力。

Maze（迷宮）通過大量混淆代(dai)碼來對抗(kang)靜(jing)態分析，使用ChaCha20和RSA兩種算法加(jia)密文(wen)件，被(bei)加(jia)密的文(wen)檔在未得(de)(de)到密鑰時暫無法解(jie)密。加(jia)密完(wan)成后(hou)(hou)對文(wen)件添加(jia)隨機(ji)擴展后(hou)(hou)綴，并留下名(ming)為DECRYPT-FILES.html的勒索說明(ming)文(wen)檔，并修改(gai)桌面(mian)壁紙。值得(de)(de)一提的是，該(gai)病(bing)毒聲(sheng)稱(cheng)，解(jie)密贖金額度取決于被(bei)感染(ran)電腦的重要程度，包括(kuo)個人電腦、辦公電腦、服務器，這(zhe)意味著高(gao)價(jia)值目標受(shou)攻擊后(hou)(hou)解(jie)密付出的代(dai)價(jia)也會相應(ying)的更高(gao)。

2、勒索軟件Ryuk

Ryuk勒(le)(le)索(suo)(suo)病(bing)毒最(zui)早于(yu)(yu)2018年8月被首次(ci)發現，它(ta)是由俄羅斯黑(hei)客(ke)(ke)團伙(huo)GrimSpider幕后操作運(yun)營。GrimSpider是一(yi)(yi)個(ge)網絡犯罪集團，使用Ryuk勒(le)(le)索(suo)(suo)軟(ruan)件對(dui)大(da)型企業及組織進(jin)行(xing)(xing)針對(dui)性(xing)攻擊(ji)。Ryuk勒(le)(le)索(suo)(suo)軟(ruan)件主(zhu)(zhu)要是通(tong)過(guo)網絡攻擊(ji)手段利(li)用其(qi)他惡意軟(ruan)件如Emotet或(huo)TrickBot等銀(yin)(yin)行(xing)(xing)木馬進(jin)行(xing)(xing)傳播(bo)，因為TrickBot銀(yin)(yin)行(xing)(xing)木馬傳播(bo)渠道的(de)(de)(de)運(yun)營者(zhe)(zhe)是俄羅斯黑(hei)客(ke)(ke)團伙(huo)WIZARD SPIDER，GRIM SPIDER是俄羅斯黑(hei)客(ke)(ke)團伙(huo)WIZARD SPIDER的(de)(de)(de)部門之(zhi)一(yi)(yi)。Emotet和TrickBot銀(yin)(yin)行(xing)(xing)木馬主(zhu)(zhu)要用于(yu)(yu)盜取受(shou)(shou)(shou)害(hai)(hai)者(zhe)(zhe)銀(yin)(yin)行(xing)(xing)網站(zhan)登(deng)錄憑據，同時(shi)充當下(xia)(xia)載器功(gong)能，提供(gong)下(xia)(xia)載其(qi)它(ta)勒(le)(le)索(suo)(suo)病(bing)毒服務。這(zhe)款(kuan)勒(le)(le)索(suo)(suo)病(bing)在國外比較(jiao)流行(xing)(xing)，主(zhu)(zhu)要針對(dui)一(yi)(yi)些大(da)型企業進(jin)行(xing)(xing)定向攻擊(ji)勒(le)(le)索(suo)(suo)。Ryuk特(te)別狡(jiao)詐的(de)(de)(de)一(yi)(yi)個(ge)功(gong)能是可以禁用被感染電腦上的(de)(de)(de)Windows系統還(huan)原Windows System Restore選項，令受(shou)(shou)(shou)害(hai)(hai)者(zhe)(zhe)更難(nan)以在不支(zhi)付贖金(jin)的(de)(de)(de)情況下(xia)(xia)找(zhao)回(hui)被加密的(de)(de)(de)數據。鑒(jian)于(yu)(yu)攻擊(ji)者(zhe)(zhe)針對(dui)的(de)(de)(de)是高價(jia)值受(shou)(shou)(shou)害(hai)(hai)者(zhe)(zhe)，贖金(jin)目標也轉為大(da)型企業。

安(an)全分(fen)析師認為，Ryuk源代(dai)碼很大程度上出自朝(chao)鮮(xian)Lazarus黑客(ke)團伙的(de)Hermes惡意軟件。但這并不表明Ryuk攻擊本身是朝(chao)鮮(xian)發起(qi)的(de)，邁克菲(fei)認為其代(dai)碼基(ji)礎(chu)由(you)俄(e)語(yu)(yu)區供應商提供，因為該勒索軟件不會在系統語(yu)(yu)言設置為俄(e)語(yu)(yu)、白俄(e)羅(luo)斯語(yu)(yu)和烏克蘭(lan)語(yu)(yu)的(de)計算機(ji)上執行。

3、勒索軟件Sodinokibi/ REvil

Sodinokibi勒(le)索(suo)病(bing)毒（也(ye)稱(cheng)REvil），2019年5月24日首(shou)次(ci)在(zai)意(yi)大利被(bei)(bei)發現。在(zai)意(yi)大利被(bei)(bei)發現使(shi)用RDP攻(gong)(gong)擊的(de)(de)方(fang)式(shi)進行傳播感染(ran)，這(zhe)款病(bing)毒被(bei)(bei)稱(cheng)為GandCrab勒(le)索(suo)病(bing)毒的(de)(de)接班人，在(zai)短(duan)短(duan)幾個月的(de)(de)時間內，已經(jing)在(zai)全(quan)球大范圍傳播，這(zhe)款勒(le)索(suo)病(bing)毒與GandCrab勒(le)索(suo)軟件(jian)(jian)存(cun)在(zai)很多關聯(lian)，Sodinokibi勒(le)索(suo)病(bing)毒是一(yi)種(zhong)勒(le)索(suo)即服務（RAAS）的(de)(de)模式(shi)進行分發和營銷的(de)(de)，并采(cai)用了一(yi)些免殺技術避免安全(quan)軟件(jian)(jian)檢測。主要(yao)通過(guo)Oracle WebLogic漏(lou)(lou)洞、Flash UAF漏(lou)(lou)洞、網絡釣魚郵件(jian)(jian)、RDP端口、漏(lou)(lou)洞利用工(gong)具(ju)包以及攻(gong)(gong)擊一(yi)些托管服務提供商MSP等(deng)方(fang)式(shi)發起攻(gong)(gong)擊，這(zhe)款勒(le)索(suo)病(bing)毒最(zui)新的(de)(de)版本(ben)為2.2，增加了自(zi)啟動(dong)注冊表(biao)項(xiang)等(deng)，同時還發現一(yi)批最(zui)新的(de)(de)采(cai)用PowerShell腳本(ben)進行無文(wen)件(jian)(jian)攻(gong)(gong)擊的(de)(de)變種(zhong)樣本(ben)。

該勒索軟件(jian)最特別的(de)(de)一點就是，不(bu)僅告訴人們“不(bu)付贖金就拿(na)不(bu)回數(shu)據”，還會威(wei)脅稱“將在網上公開或在地下論(lun)壇競(jing)拍這些機密(mi)數(shu)據”。這種(zhong)新(xin)的(de)(de)勒索方式將此商業模式推升到了新(xin)的(de)(de)高(gao)度(du)。高(gao)針對(dui)性(xing)、強定制化(hua)的(de)(de)勒索軟件(jian)新(xin)時代(dai)似乎(hu)正(zheng)走向危(wei)險新(xin)深淵。

4、勒索軟件DoppelPaymer

DoppelPaymer代表了勒(le)索(suo)軟(ruan)(ruan)(ruan)件(jian)(jian)(jian)攻擊的(de)新(xin)趨勢—勒(le)索(suo)文(wen)(wen)件(jian)(jian)(jian)加(jia)密(mi)和數據竊取雙管齊下。根據安全研究人員(yuan)的(de)說(shuo)法，此類惡意軟(ruan)(ruan)(ruan)件(jian)(jian)(jian)首先會竊取數據，然后向受害者發(fa)送贖金勒(le)索(suo)消息，而不是像傳統勒(le)索(suo)軟(ruan)(ruan)(ruan)件(jian)(jian)(jian)一(yi)(yi)樣就地(di)加(jia)密(mi)鎖死數據。2019年中(zhong)期以來(lai)一(yi)(yi)直活躍，今(jin)年3月(yue)(yue)美國精密(mi)零件(jian)(jian)(jian)制造商Visser遭此勒(le)索(suo)軟(ruan)(ruan)(ruan)件(jian)(jian)(jian)攻擊，意外泄漏(lou)特斯拉、波音、SpaceX等公司有(you)關的(de)敏(min)感文(wen)(wen)件(jian)(jian)(jian)。DoppelPaymer 勒(le)索(suo)軟(ruan)(ruan)(ruan)件(jian)(jian)(jian)最早于2019年6月(yue)(yue)被發(fa)現，主要通過(guo)RDP暴力破(po)解和垃圾郵(you)件(jian)(jian)(jian)進行(xing)傳播，郵(you)件(jian)(jian)(jian)附件(jian)(jian)(jian)中(zhong)帶有(you)一(yi)(yi)個自(zi)解壓文(wen)(wen)件(jian)(jian)(jian)，運行(xing)后釋放(fang)勒(le)索(suo)軟(ruan)(ruan)(ruan)件(jian)(jian)(jian)程序(xu)并執行(xing)。公開資料顯示，DoppelPaymer是BitPaymer 勒(le)索(suo)軟(ruan)(ruan)(ruan)件(jian)(jian)(jian)的(de)一(yi)(yi)類新(xin)變(bian)種。DoppelPaymer至(zhi)少有(you)8種變(bian)體，它們(men)逐(zhu)漸擴(kuo)展各(ge)自(zi)的(de)特征集。

自(zi)解(jie)壓文(wen)件(jian)(jian)(jian)(jian)運行(xing)后(hou)在%Users%目(mu)錄下創建gratemin文(wen)件(jian)(jian)(jian)(jian)夾(jia)，釋放名(ming)(ming)為(wei)p1q135no. exe的(de)(de)勒(le)索(suo)軟件(jian)(jian)(jian)(jian)程(cheng)序并(bing)執行(xing)，加(jia)密文(wen)件(jian)(jian)(jian)(jian)后(hou)，在原文(wen)件(jian)(jian)(jian)(jian)名(ming)(ming)后(hou)追加(jia)名(ming)(ming)為(wei)“.locked”的(de)(de)后(hou)綴，并(bing)在每個被(bei)加(jia)密文(wen)件(jian)(jian)(jian)(jian)的(de)(de)目(mu)錄中創建名(ming)(ming)為(wei)原文(wen)件(jian)(jian)(jian)(jian)名(ming)(ming)后(hou)追加(jia)“.readme2unlock.txt”格式的(de)(de)勒(le)索(suo)信(xin)，勒(le)索(suo)信(xin)中包含勒(le)索(suo)說明(ming)、TOR下載地(di)址(zhi)、支付地(di)址(zhi)、DATA 數據(ju)信(xin)息和郵箱聯系(xi)方式等。DoppelPaymer勒(le)索(suo)軟件(jian)(jian)(jian)(jian)變種(zhong)使(shi)用(yong)“RSA+AES”算(suan)法加(jia)密文(wen)件(jian)(jian)(jian)(jian)，利用(yong)多線程(cheng)快速加(jia)密文(wen)件(jian)(jian)(jian)(jian)，使(shi)用(yong)命(ming)令ARP–A以解(jie)析受害(hai)系(xi)統的(de)(de)地(di)址(zhi)解(jie)析協(xie)議（ARP）表，具體(ti)操作為(wei)刪(shan)除(chu)卷影副(fu)本、禁(jin)用(yong)修復、刪(shan)除(chu)本地(di)計算(suan)機的(de)(de)備份目(mu)錄等。目(mu)前被(bei)加(jia)密的(de)(de)文(wen)件(jian)(jian)(jian)(jian)在未得到密鑰前暫(zan)時無法解(jie)密。

5、勒索軟件NetWalker

NetWalker（又名Mailto）勒(le)(le)索(suo)軟(ruan)(ruan)件(jian)(jian)(jian)最早于2019年8月首次(ci)發現，Mailto是基于加密(mi)文(wen)(wen)件(jian)(jian)(jian)名格式的(de)(de)(de)勒(le)(le)索(suo)軟(ruan)(ruan)件(jian)(jian)(jian)的(de)(de)(de)名稱，Netwalker是基于勒(le)(le)索(suo)軟(ruan)(ruan)件(jian)(jian)(jian)的(de)(de)(de)勒(le)(le)索(suo)信內容給出的(de)(de)(de)名稱，目前(qian)針對的(de)(de)(de)目標是企業和政(zheng)府機構(gou)，近(jin)期開始活躍(yue)。Netwalker活動(dong)(dong)背(bei)后的(de)(de)(de)攻擊者(zhe)使(shi)用常見的(de)(de)(de)實用程序、開發后工具包和living-off-The-land，LOTL策略來探索(suo)一個受(shou)到破壞的(de)(de)(de)環境，并(bing)盡可(ke)(ke)能多地獲(huo)取數據。這(zhe)些工具可(ke)(ke)以包括mimikatz（及其變體）、各種PSTools、AnyDesk、TeamViewer、NLBrute等。勒(le)(le)索(suo)軟(ruan)(ruan)件(jian)(jian)(jian)利(li)用PowerShell編(bian)寫，直接在(zai)內存中執行，沒有將實際(ji)的(de)(de)(de)勒(le)(le)索(suo)軟(ruan)(ruan)件(jian)(jian)(jian)二進制文(wen)(wen)件(jian)(jian)(jian)存儲到磁(ci)盤(pan)中。惡意軟(ruan)(ruan)件(jian)(jian)(jian)利(li)用了(le)反(fan)射動(dong)(dong)態鏈接庫（DLL）注(zhu)入(ru)(ru)的(de)(de)(de)技(ji)術，也稱reflective DLL加載，可(ke)(ke)以從內存注(zhu)入(ru)(ru)DLL，不(bu)需(xu)要實際(ji)DLL文(wen)(wen)件(jian)(jian)(jian)，也不(bu)需(xu)要任何Windows加載程序即可(ke)(ke)注(zhu)入(ru)(ru)。這(zhe)讓此勒(le)(le)索(suo)病毒成(cheng)為了(le)，能夠保持持續性(xing)，并(bing)利(li)用系(xi)統內的(de)(de)(de)工具來進行攻擊而不(bu)被偵測(ce)到和殺(sha)軟(ruan)(ruan)查(cha)殺(sha)。

在加密(mi)完成后(hou)，進程退(tui)出前(qian)最后(hou)會(hui)彈(dan)出勒索(suo)(suo)信，勒索(suo)(suo)提示(shi)信息文(wen)件[加密(mi)后(hou)綴]-Readme.txt，加密(mi)后(hou)的文(wen)件后(hou)綴名(ming)為隨機字符(fu)串。

6、勒索軟件CLOP

Clop勒索軟(ruan)件于(yu)(yu)2019年2月出(chu)現在公眾視野中，Clop背后(hou)團隊的主要目(mu)標是加密企業的文件，收到贖金后(hou)再發(fa)(fa)送(song)解密器。目(mu)前Clop仍處于(yu)(yu)快速發(fa)(fa)展階段。該惡(e)意軟(ruan)件暫無有(you)效的解密工(gong)具，致受害(hai)企業大量(liang)數(shu)據被加密而(er)損(sun)失嚴重。

與其他勒索病毒不同的是，Clop勒索軟(ruan)(ruan)件部分情況(kuang)下(xia)攜帶了有效(xiao)(xiao)的數字簽名，數字簽名濫用和冒用在(zai)以往情況(kuang)下(xia)多(duo)數發生在(zai)流氓軟(ruan)(ruan)件和竊密類木馬(ma)程序中。勒索軟(ruan)(ruan)件攜帶有效(xiao)(xiao)簽名的情況(kuang)極為少見，這意味著(zhu)該(gai)軟(ruan)(ruan)件在(zai)部分攔截場(chang)景下(xia)更容易獲取到安全軟(ruan)(ruan)件的信任，進而感(gan)染成功，造成無法逆轉的損失(shi)。

Clop勒(le)索軟(ruan)件通(tong)過多(duo)種(zhong)途徑感染(ran)受害者的計(ji)算機設(she)(she)備。主感染(ran)文(wen)(wen)件會(hui)利用隨機腳本提取(qu)惡(e)意可執行文(wen)(wen)件，惡(e)意Java腳本被設(she)(she)置(zhi)為通(tong)過誘使受害者訪問(wen)或被重(zhong)定向(xiang)至惡(e)意站(zhan)點將惡(e)意可執行文(wen)(wen)件下(xia)載并(bing)安裝至受害者計(ji)算機上。另一(yi)種(zhong)分發(fa)傳播(bo)Clop勒(le)索軟(ruan)件的途徑是利用插(cha)入到文(wen)(wen)檔中(zhong)的惡(e)意宏代碼(ma)。這些文(wen)(wen)檔常以(yi)垃圾郵(you)件附件的形式發(fa)送給受害者。

此(ci)惡意軟件(jian)旨在(zai)通過附(fu)加(jia)(jia)“.Clop ”擴展名來(lai)加(jia)(jia)密受害計算機(ji)上(shang)的數(shu)據并重命(ming)名每個(ge)(ge)文(wen)件(jian)。例如，“sample.jpg”被重命(ming)名為“sample.jpg.Clop”。成功(gong)加(jia)(jia)密后，Clop會生成一(yi)個(ge)(ge)文(wen)本(ben)文(wen)件(jian)“ClopReadMe.txt”并在(zai)每個(ge)(ge)現(xian)有文(wen)件(jian)夾中放置(zhi)一(yi)個(ge)(ge)副本(ben)，文(wen)本(ben)文(wen)件(jian)包(bao)含贖金(jin)通知消息。

7、勒索軟件EKANS

EKANS勒索(suo)軟(ruan)件（也稱Snake），于2020年1月首次被發現，是(shi)(shi)一(yi)種(zhong)新的(de)(de)勒索(suo)軟(ruan)件，專(zhuan)門(men)針(zhen)對工業(ye)(ye)控(kong)(kong)制(zhi)系(xi)統。EKANS代(dai)碼(ma)中包含(han)一(yi)系(xi)列特定用(yong)(yong)于工業(ye)(ye)控(kong)(kong)制(zhi)系(xi)統功能(neng)相關的(de)(de)命令與(yu)過程(cheng)，可導(dao)致與(yu)工業(ye)(ye)控(kong)(kong)制(zhi)操(cao)作(zuo)相關的(de)(de)諸多流(liu)程(cheng)應用(yong)(yong)程(cheng)序停滯。EKANS勒索(suo)軟(ruan)件是(shi)(shi)用(yong)(yong)Golang編寫的(de)(de)，將整(zheng)個網絡作(zuo)為目(mu)標，并且存在(zai)大(da)量(liang)混淆(xiao)(xiao)。其(qi)中，包含(han)了一(yi)種(zhong)常(chang)規混淆(xiao)(xiao)，這種(zhong)混淆(xiao)(xiao)在(zai)以前并不常(chang)見，通常(chang)是(shi)(shi)與(yu)目(mu)標方法結合使用(yong)(yong)。

EKANS在(zai)執(zhi)行時(shi)會(hui)刪除計算機的(de)卷影副本，還會(hui)停止與SCADA系(xi)統(tong)、虛擬機、工(gong)業控制(zhi)系(xi)統(tong)、遠程(cheng)管理工(gong)具、網(wang)絡管理軟件(jian)(jian)等(deng)相關的(de)眾多(duo)進程(cheng)。然(ran)后(hou)，EKANS還會(hui)加密系(xi)統(tong)上(shang)的(de)文(wen)(wen)件(jian)(jian)，從而(er)跳(tiao)過Windows系(xi)統(tong)文(wen)(wen)件(jian)(jian)和文(wen)(wen)件(jian)(jian)夾(jia)。在(zai)文(wen)(wen)件(jian)(jian)擴(kuo)展名(ming)(ming)后(hou)面(mian)還會(hui)附(fu)加一(yi)個勒索5字符字符串（即名(ming)(ming)為(wei)invoice.doc的(de)文(wen)(wen)件(jian)(jian)被加密并重命名(ming)(ming)為(wei)invoice.docIksrt）。該惡意軟件(jian)(jian)在(zai)每個加密文(wen)(wen)件(jian)(jian)后(hou)附(fu)加了“EKANS”文(wen)(wen)件(jian)(jian)標記。加密過程(cheng)完成后(hou)，勒索軟件(jian)(jian)將在(zai)C:\Users\Public\Desktop文(wen)(wen)件(jian)(jian)夾(jia)中(zhong)創(chuang)建一(yi)個勒索記錄（名(ming)(ming)為(wei)“Fix Your Files.txt”），其中(zhong)包含要聯系(xi)以(yi)接收付款(kuan)指示的(de)電(dian)子郵件(jian)(jian)地址。EKANS目前的(de)主要感染媒介似乎是釣魚(yu)附(fu)件(jian)(jian)。

8、勒索軟件Nefilim

Nefilim出現于2020年3月，可能是通過公(gong)開的(de)(de)RDP（遠程桌面服(fu)務）進(jin)(jin)行(xing)分發。Nefilim與Nemty共享許(xu)多相(xiang)同(tong)的(de)(de)代(dai)碼，主要(yao)的(de)(de)不同(tong)之處在于，Nefilim移除(chu)了勒(le)索軟件(jian)即(ji)服(fu)務（RaaS）的(de)(de)組件(jian)，依靠電子(zi)郵件(jian)進(jin)(jin)行(xing)支付，而不是Tor支付網站。Nefilim使用AES-128加密文件(jian)，每個加密的(de)(de)文件(jian)都(dou)將附加.NEFILIM擴展名，加密完成(cheng)后，調(diao)用cmd命令進(jin)(jin)行(xing)自(zi)我刪除(chu)。釋(shi)放的(de)(de)勒(le)索信中(zhong)包含不同(tong)的(de)(de)聯系電子(zi)郵件(jian)，并且威脅如果(guo)在7天內(nei)未支付贖金，將會泄漏數(shu)據。

從(cong)技術上講(jiang)，Nefilim目前主(zhu)要的(de)傳(chuan)播方法是利用易受(shou)攻擊的(de)RDP服務。一旦攻擊者通過RDP進入了(le)網絡，他們就會繼(ji)續(xu)建立持久(jiu)化，在可能的(de)情(qing)況下查找(zhao)和竊取其他憑證(zheng)，然后(hou)將勒(le)索軟件(jian)的(de)payload傳(chuan)播給(gei)潛在目標。

9、勒索軟件Ragnar Locker

RagnarLocker勒(le)(le)索軟(ruan)(ruan)件(jian)(jian)在2019年12月底首次出(chu)現，是一(yi)種新的(de)(de)勒(le)(le)索軟(ruan)(ruan)件(jian)(jian)，將惡意軟(ruan)(ruan)件(jian)(jian)部署為虛(xu)擬機（VM），以(yi)逃(tao)避傳統防御。勒(le)(le)索軟(ruan)(ruan)件(jian)(jian)的(de)(de)代碼(ma)較小(xiao)，在刪除其自(zi)定義加(jia)殼程序(xu)后僅有(you)48KB，并且使用高級編程語言（C/C++）進行編碼(ma)。

RagnarLocke是(shi)(shi)使用(yong)GPO任務(wu)執行(xing)Microsoft Installer（msiexec.exe），傳遞參(can)數從遠(yuan)程(cheng)(cheng)Web服務(wu)器下載并以(yi)靜(jing)默方式安(an)(an)裝(zhuang)制作(zuo)的(de)122 MB未經(jing)簽名的(de)MSI軟件包(bao)。MSI軟件包(bao)包(bao)含一個Oracle VirtualBox虛(xu)擬機(ji)管理程(cheng)(cheng)序和一個名為(wei)micro.vdi的(de)虛(xu)擬磁盤映(ying)(ying)像文(wen)件（VDI），該文(wen)件是(shi)(shi)Windows XP SP3操作(zuo)系統的(de)精簡版本(ben)映(ying)(ying)像。由于vrun.exe勒索軟件應(ying)用(yong)程(cheng)(cheng)序在虛(xu)擬客戶(hu)機(ji)內部運行(xing)，因此(ci)其過(guo)程(cheng)(cheng)和行(xing)為(wei)可以(yi)不受阻礙(ai)地運行(xing)，物理主機(ji)上(shang)的(de)安(an)(an)全軟件是(shi)(shi)無能為(wei)力的(de)。

RagnarLocker在選(xuan)擇(ze)受害者時是(shi)(shi)很有選(xuan)擇(ze)性的。目標往往是(shi)(shi)公司(si)，而不是(shi)(shi)個人(ren)用(yong)戶(hu)。該惡意軟件(jian)的目標是(shi)(shi)對可(ke)以加(jia)密(mi)的所有文件(jian)進行加(jia)密(mi)，并提出勒索，要求用(yong)戶(hu)支付贖金(jin)以進行解密(mi)。

10、勒索軟件PonyFinal

一(yi)種新型的(de)人工勒索軟件“PonyFinal”，通過手(shou)動(dong)啟動(dong)有效載荷來部署攻擊。它對目標公司的(de)系統管理服務(wu)器使用(yong)“暴(bao)力手(shou)段”，無需依靠誘騙用(yong)戶通過網(wang)絡(luo)釣魚鏈接或電子郵件來啟動(dong)有效負(fu)載。主(zhu)要針對在COVID-19危(wei)機中的(de)醫療衛生機構。

PonyFinal的(de)入侵(qin)點通常是公司系統(tong)管理(li)服(fu)務器(qi)上的(de)一個賬戶(hu)，PonyFinal的(de)黑客們使用猜(cai)測弱密碼(ma)的(de)暴(bao)力攻擊來攻擊該帳(zhang)戶(hu)。一旦黑客進(jin)入內部(bu)系統(tong)后，他們會部(bu)署Visual Basic腳本(ben)，該腳本(ben)會運行PowerShell反向外殼程(cheng)序以轉儲和竊取本(ben)地數(shu)據。

此外，PonyFinal勒索(suo)(suo)軟件(jian)(jian)(jian)(jian)(jian)還會(hui)部(bu)署(shu)遠程操縱器(qi)系統(tong)以繞過(guo)(guo)事件(jian)(jian)(jian)(jian)(jian)日(ri)志記(ji)錄(lu)。一(yi)旦PonyFinal的(de)黑客們(men)牢牢地掌握了(le)目標網絡，他們(men)便會(hui)傳播(bo)到其他本地系統(tong)并部(bu)署(shu)實際的(de)PonyFinal勒索(suo)(suo)軟件(jian)(jian)(jian)(jian)(jian)。PonyFinal是(shi)(shi)用Java語(yu)言編(bian)寫(xie)的(de)，攻(gong)擊(ji)者(zhe)還會(hui)將目標鎖(suo)(suo)定在安裝了(le)Java Runtime Environment（JRE）的(de)工作站上。攻(gong)擊(ji)者(zhe)使用從系統(tong)管(guan)理服務器(qi)竊(qie)取(qu)的(de)信息來鎖(suo)(suo)定已(yi)安裝JRE的(de)端(duan)點。勒索(suo)(suo)軟件(jian)(jian)(jian)(jian)(jian)是(shi)(shi)通(tong)過(guo)(guo)包含(han)兩(liang)個(ge)(ge)批處(chu)理文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)的(de)MSI文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)交付的(de)，其中包括將由攻(gong)擊(ji)者(zhe)激活的(de)有(you)效負載。通(tong)常會(hui)在每個(ge)(ge)加(jia)密文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)的(de)末(mo)尾(wei)會(hui)被添加(jia)一(yi)個(ge)(ge)“.enc”文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)擴展名。而贖金記(ji)錄(lu)通(tong)常名為README_files.txt，會(hui)包含(han)贖金付款說明的(de)簡單文(wen)(wen)本文(wen)(wen)件(jian)(jian)(jian)(jian)(jian)。

思考及建議

2020年，熱度飆升的勒索軟件已經成為與APT并列的最危險的網絡安全威脅。針對性、復雜化和高傷害成本是2020年勒索軟件加速“進化”的三大特征。勒索軟件不僅數量增幅快，而且危害日益嚴重，特別是針對關鍵基礎設施和重要信息系統的勒索攻擊，影響更為廣泛。被勒索機構既有巨額經濟損失，又有數據無法恢復甚至被惡意泄露的風險，雙重勒索的陰影揮之不去。勒索攻擊的危害遠不止贖金造成的經濟損失，更嚴重的是會給企業和組織機構帶來額外的復雜性，造成數據損毀或遺失、生產力破壞、正常業務中斷、企業聲譽損害等多方面的損失。比如3月初，美(mei)國精密(mi)零件制造商Visser Precision遭受(shou)勒索軟件DoppelPayment攻擊，攻擊者入侵了(le)Visser的(de)(de)(de)電腦對其文件進行加(jia)密(mi)，并(bing)要(yao)求(qiu)Visser在(zai)(zai)3月底(di)支(zhi)付(fu)贖(shu)金，否則將把機密(mi)文件內容公(gong)(gong)開到網(wang)絡上。由于沒有收到勒索款(kuan)項，DoppelPaymer在(zai)(zai)網(wang)上公(gong)(gong)開了(le)關于SpaceX、Lockheed-Martin、特斯(si)拉、波(bo)音等(deng)公(gong)(gong)司的(de)(de)(de)機密(mi)信(xin)息(xi)，被泄露的(de)(de)(de)資(zi)訊(xun)包括Lockheed-Martin設計的(de)(de)(de)軍事(shi)裝備的(de)(de)(de)細節，比如(ru)反(fan)迫擊炮防御系統中的(de)(de)(de)天線規格、賬單和(he)付(fu)款(kuan)表格、供應商資(zi)訊(xun)、數(shu)據分析(xi)報告以及法律文書等(deng)。此(ci)外(wai)，Visser與特斯(si)拉 SpaceX之間的(de)(de)(de)保密(mi)協議也在(zai)(zai)泄露文件中。

毫(hao)無(wu)疑問，勒(le)索軟(ruan)(ruan)件(jian)(jian)攻(gong)擊在(zai)今后很長(chang)一段時間內仍然(ran)是政(zheng)府、企(qi)業(ye)(ye)、個人共同(tong)(tong)面(mian)對的主要安(an)全威脅。勒(le)索軟(ruan)(ruan)件(jian)(jian)的攻(gong)擊方式隨(sui)著新(xin)技術的應用發展不斷變化(hua)(hua)，有(you)針對性(xing)的勒(le)索軟(ruan)(ruan)件(jian)(jian)事件(jian)(jian)給不同(tong)(tong)行業(ye)(ye)和(he)地(di)區的企(qi)業(ye)(ye)帶來了破壞性(xing)攻(gong)擊威脅，勒(le)索攻(gong)擊產業(ye)(ye)化(hua)(hua)、場景多(duo)樣化(hua)(hua)、平臺(tai)多(duo)元化(hua)(hua)的特征會更加突(tu)出。在(zai)工業(ye)(ye)企(qi)業(ye)(ye)場景中，勒(le)索軟(ruan)(ruan)件(jian)(jian)慣用的攻(gong)擊向量主要是弱(ruo)口令、被(bei)盜憑(ping)據(ju)、RDP服務(wu)、USB設備、釣魚(yu)郵件(jian)(jian)等，有(you)效防范勒(le)索軟(ruan)(ruan)件(jian)(jian)攻(gong)擊，仍需(xu)要針對性(xing)做好基礎防御工作，構建和(he)擴張(zhang)深度防御，從而保(bao)障(zhang)企(qi)業(ye)(ye)數據(ju)安(an)全，促進業(ye)(ye)務(wu)良性(xing)發展。

1、強化端點防護

及(ji)時加固(gu)終(zhong)端、服(fu)務器，所(suo)有服(fu)務器、終(zhong)端應(ying)強行實(shi)施(shi)復(fu)雜(za)口(kou)令(ling)策略(lve)，杜絕(jue)弱口(kou)令(ling)；安(an)裝殺毒軟件、終(zhong)端安(an)全管理軟件并及(ji)時更(geng)新(xin)病毒庫；及(ji)時安(an)裝漏洞補(bu)丁；服(fu)務器開(kai)啟(qi)關鍵日志(zhi)收(shou)集功(gong)能，為(wei)安(an)全事(shi)件的(de)追溯提供基礎(chu)。

2、關閉不需要的端口和服務

嚴格(ge)控制端(duan)口管理(li)，盡(jin)量關閉不(bu)必要的(de)(de)文(wen)件共享(xiang)權限以(yi)及(ji)關閉不(bu)必要的(de)(de)端(duan)口（RDP服務的(de)(de)3389端(duan)口），同(tong)時使用(yong)適(shi)用(yong)的(de)(de)防惡意代碼軟件進行安全(quan)防護(hu)。

3、采用多因素認證

利(li)用被盜的(de)員(yuan)工(gong)憑據來進入網(wang)(wang)絡并分發勒索軟件是(shi)(shi)一種常見的(de)攻(gong)(gong)擊(ji)方式。這些憑據通常是(shi)(shi)通過網(wang)(wang)絡釣魚收集的(de)，或者是(shi)(shi)從過去的(de)入侵活動(dong)中獲取的(de)。為了(le)減(jian)少攻(gong)(gong)擊(ji)的(de)可(ke)能(neng)性，務必在所有技術解(jie)決方案中采用多因素身(shen)份驗證(zheng)（MFA）。

4、全面強化資產細粒度訪問

增強資(zi)產(chan)可(ke)見性，細化(hua)資(zi)產(chan)訪(fang)問控(kong)制(zhi)。員工、合作伙伴和客戶均遵循身份和訪(fang)問管理為(wei)中心(xin)。合理劃分安全(quan)域，采取必(bi)要的微(wei)隔離。落實好最(zui)小權限(xian)原則。

5、深入掌控威脅態勢

持續(xu)加強(qiang)威脅監測(ce)和檢測(ce)能力，依托(tuo)資產可見能力、威脅情報共享和態勢感知能力，形成有效的威脅早發現、早隔離(li)、早處置的機制。

6、制定業務連續性計劃

強化業(ye)務(wu)數據(ju)備(bei)(bei)(bei)(bei)(bei)份(fen)，對(dui)業(ye)務(wu)系統(tong)(tong)及(ji)數據(ju)進行及(ji)時備(bei)(bei)(bei)(bei)(bei)份(fen)，并驗(yan)證備(bei)(bei)(bei)(bei)(bei)份(fen)系統(tong)(tong)及(ji)備(bei)(bei)(bei)(bei)(bei)份(fen)數據(ju)的(de)(de)可用性(xing)(xing)；建立安(an)全災備(bei)(bei)(bei)(bei)(bei)預案。同(tong)時，做好備(bei)(bei)(bei)(bei)(bei)份(fen)系統(tong)(tong)與(yu)主系統(tong)(tong)的(de)(de)安(an)全隔離，避免(mian)主系統(tong)(tong)和備(bei)(bei)(bei)(bei)(bei)份(fen)系統(tong)(tong)同(tong)時被攻(gong)擊，影響業(ye)務(wu)連續性(xing)(xing)。業(ye)務(wu)連續性(xing)(xing)和災難恢復（BCDR）解決(jue)方案應成為在發生攻(gong)擊時維持運營的(de)(de)策略的(de)(de)一部(bu)分。

7、加強安全意識培訓和教育

員工(gong)(gong)安全(quan)意識淡漠，是一個重要問題。必須經常提供網絡安全(quan)培訓，以確(que)(que)保(bao)員工(gong)(gong)可以發(fa)現并(bing)(bing)避免潛在(zai)的(de)(de)網絡釣魚(yu)電子郵件(jian)，這是勒索軟件(jian)的(de)(de)主要入(ru)口之一。將該培訓與網絡釣魚(yu)演練結合使用，以掌握(wo)員工(gong)(gong)的(de)(de)脆弱(ruo)點。確(que)(que)定最脆弱(ruo)的(de)(de)員工(gong)(gong)，并(bing)(bing)為他們(men)提供更多的(de)(de)支持或安全(quan)措施，以降低風險。

8、定期檢查

每三到六個月對網絡衛(wei)生習慣(guan)、威脅狀(zhuang)況(kuang)、業務連續性計(ji)(ji)劃(hua)以及關鍵(jian)資產訪問日(ri)志進(jin)行一(yi)次(ci)審核。通過這(zhe)些措施不斷改善(shan)安全計(ji)(ji)劃(hua)。及時了解風險，主動防御勒(le)索軟(ruan)件攻擊并(bing)減輕其影(ying)響。

此(ci)外，無論是(shi)企業還是(shi)個人受害者，都(dou)不建議支付(fu)贖金。支付(fu)贖金不僅(jin)變相鼓勵了勒索攻擊行(xing)為，而且(qie)解密的(de)過程(cheng)還可(ke)能會(hui)帶來新(xin)的(de)安(an)全風險(xian)。