[返回手机数码首页]·[所有跟帖]·[ 回复本帖 ] ·[热门原创] ·[繁體閱讀]·[坛主管理]

花197万赎金买了解锁密钥,原来这个病毒我见过......

送交者: zxdongfs[☆★声望品衔7★☆] 于 2019-12-13 10:02 已读 629 次  

zxdongfs的个人频道

+关注

写个病毒敲个竹杠这种事儿在安全圈似乎已经不是一件新鲜事儿了。一般来说,被勒索有三种情况,上了不该上的网站,点了不该点的按钮,下了不该下的文件。然后手一滑, boom  。。。文件都给你改格式加密了!这个时候病毒会告诉你文件被锁住了,如果想解锁,那就得乖乖交钱。

不过,这次这个竹杠敲得属实有点狠。网传有一家公司因勒索病毒入侵,斥 197 万巨资买了解锁密钥,才解决了危机。



【 图片来源:黑白之道  所有者:黑白之道 】

有安全从业人员告诉雷锋网,这个病毒很可能是之前已经出现的病毒,为了确定真假,雷锋网采访了深信服安全专家欧和一探究竟。据欧和介绍,这个病毒就是此前的 Sodinokibi 勒索病毒。


在进入正题前,先给大家科普下 Sodinokibi 勒索病毒:它继承了 GandCrab 的代码结构,其特点是使用随机加密后缀,并且加密后会修改主机桌面背景为深蓝色,最早出现于今年 4 月底,早期使用 Web 服务相关漏洞传播,后来发现其会伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播,但谁还没个手滑的时候呢,因此不少企业深受其害。


那么,他们是如何入侵的呢?


一般来说,该病毒在企业网络找到突破口后,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和 PC 进行加密,然后尝试内容横向移动,加密整个企业内网尽可能多的主机或服务器,可谓一台失陷,全网遭殃。


上一秒文件还能打开,下一秒,对不起,花钱才能访问哦。要说套路深,勒索病毒制造者才是第一。



但万万没想到,这个勒索病毒背后还有个团伙,那么,他们又是怎么合作的呢?


欧和向雷锋网介绍道, Sodinokibi 勒索病毒的爆发主要得益于其形成的产业化规模,即分布式团伙作案,每个人各司其职,按劳分配,多劳多得。首先, Sodinokibi 勒索病毒运行成功后,会在主机上留下如下勒索信息,形如“随机后缀- readme.txt ”的文档:



为了让你更容易找到他付费,他们还“贴心”的为你留了线索.......


一个是暗网聊天网页,一个是普通聊天网页,受害企业可以根据自身情况任意联系(访问)其中一个链接。访问该链接后,可以通过网页进行聊天,设计十分专业,黑客可以与受害企业就赎金问题进行协商。



而当黑客有钱了,他们还给自己找了线上保镖,专门负责谈判,24 小时在线。当然,线上客服没有最终定价权,最终赎金价格由上级老板拍板,即Sodinokibi勒索病毒的组织运营者。


而 Sodinokibi 勒索病毒的要价普遍偏高,多数是在 3 到 6 个比特币,所以其主要攻击对象是企业,并且是中大型企业,其攻击目的是瘫痪企业核心业务网络,因此很多受害企业迫于无奈交了不少赎金。


并且由于其为产业化运作,故每个参与者都有相应的分成。当受害企业向黑客钱包转入比特币的时候,此钱包会分批次转入其它成员的钱包。


例如,某次攻击成功后,将赎金分 2 批转给了 4 个钱包,分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。



勒索病毒作者、集成平台提供商属于薄利多销型,每一笔交易都有提成,所以单次提成比例虽低,但总数是非常客观的;线上客服按劳分配,说服一个客户,就有一小笔提成,当然大头不在他们,因为他们可替代性比较强,技术难度也不大。 



每次攻击所得的赎金,大头由统筹钱包分配给了攻击者和组织运营者,所以单次成功后的贡献比较大,而任何个人和团队都能参与到不同客户的攻击活动中来,类似销售团队,每成一单,提成都比较可观。最后的大头,当然给了组织运营者,其负责拉通各个环节和资源,保障平台和团伙的正常运作。


这简直就是一个黑吃黑且绝对不亏的买卖啊,但雷锋网(公众号:雷锋网)编辑还是很好奇,有没有可能通过安全技术不花赎金解决问题?


“大概率是不能的,大多数情况下,黑客都会采用 RSA+AES ,对称与非对称复合加密的方式,单纯破解难度极大,甚至是不可能的。”深信服安全专家H说。


那么,作为受害者我们只能坐以待毙,乖乖掏钱吗?


当然不可以,所以为今之计企业只有两个选择,一是安全加固,二是花钱安全加固。


怎么加固呢?


深信服安全专家欧和谈到企业自身应该如何做时,主要方式有:


a、及时给电脑打补丁,修复漏洞。


b、对重要的数据文件定期进行非本地备份。


c、不要点击来源不明的邮件附件,不从不明网站下载软件。


d、尽量关闭不必要的文件共享权限。


e、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。


f、如果业务上无需使用 RDP 的,建议关闭 RDP 。


至于花钱加固,就不用了雷锋网多说了吧,比如雷锋网之前了解过的深信服勒索病毒防护方案,能够基于勒索病毒的感染传播过程进行分析和防护,并联动云端进行新型威胁的检测,实现主动防御。


接下来说的话,相信你听无数安全从业人员都说过,但依旧值得重复一遍:


别上不该上的网站,别点不该点的链接,别下不该下的东西。


大多数上网需求,都可以在正规网站上搞定,如果觉得自己安全水平不够,就别瞎逛。


否则,只能乖乖交赎金。

喜欢zxdongfs朋友的这个贴子的话, 请点这里投票,“赞”助支持!

内容来自网友分享,若违规或者侵犯您的权益,请联系我们

所有跟帖:   ( 主贴楼主有权删除不文明回复,拉黑不受欢迎的用户 )


用户名: 密码: [--注册ID--]

标 题:

粗体 斜体 下划线 居中 插入图片插入图片 插入Flash插入Flash动画


     图片上传  Youtube代码器  预览辅助

打开微信,扫一扫[Scan QR Code]
进入内容页点击屏幕右上分享按钮

楼主前期社区热帖:

>>>>查看更多楼主社区动态...



[ 留园条例 ] [ 广告服务 ] [ 联系我们 ] [ 个人帐户 ] [ 创建您的定制新论坛频道 ] [ Contact us ]