信息來源：FreeBuf

2019年應(yīng)該是勒索病毒針對企業(yè)攻擊爆發(fā)的一年，這一年全球各地仿佛都在被“勒索”，每天全球各地都有不同的政府、企業(yè)、組織機構(gòu)被勒索病毒攻擊的新聞被曝光，勒索病毒已經(jīng)成為了網(wǎng)絡(luò)安全最大的威脅，利用勒索病毒進行攻擊的網(wǎng)絡(luò)犯罪活動也是全球危害最大的網(wǎng)絡(luò)犯罪組織活動，勒索病毒成為了地下黑客論壇最流行、討論最熱門的惡意軟件，下面我們來盤點一下2019年全球十大流行勒索病毒家族。

一、STOP勒索病毒

STOP勒索病毒最早出現(xiàn)在2018年2月份左右，從2018年8月份開始在全球范圍內(nèi)活躍，主要通過捆綁其它破解軟件、廣告類軟件包等渠道進行感染傳播，最近一兩年STOP勒索病毒捆綁過KMS激活工具進行傳播，甚至還捆綁過其他防毒軟件，到目前為止，此勒索病毒一共有160多個變種，雖然此前Emsisoft公司已經(jīng)發(fā)布過它的解密工具，可以解密140多個變種，但最新的一批STOP勒索病毒仍然無法解密，此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

二、GandCrab勒索病毒

GandCrab勒索病毒于2018年1月首次被觀察到感染了韓國公司，隨后GandCrab在全球迅速擴大，包括2018年初的美國受害者，至少8個關(guān)鍵基礎(chǔ)設(shè)施部門受到此勒索病毒的影響，GandCrab也迅速成為最流行的勒索病毒，估計到2018年中期該勒索病毒已經(jīng)占據(jù)勒索軟件市場份額的50％，專家估計GandCrab在全球范圍內(nèi)感染了超過500,000名受害者，造成超過3億美元的損失，GandCrab使用勒索軟件即服務(wù)（RaaS）商業(yè)模式運營，通過將惡意軟件分發(fā)給購買勒索病毒服務(wù)的合作伙伴，以換取40％的贖金，從2018年1月到2019年6月，此勒索病毒多現(xiàn)了多個不同的變種版本，2019年1月，此勒索病毒GandCrab5.1變種版本開始在全球流行，直到2019年6月1日，GandCrab勒索病毒運營團隊宣布關(guān)閉他們的網(wǎng)站，并聲稱他們已經(jīng)賺了20億美元贖金,兩周之后，Bitdefender與歐州刑警組織、聯(lián)幫調(diào)查局、眾多執(zhí)法部門以及NoMoreRansom機構(gòu)合作，發(fā)布了GandCrab勒索病毒的解密工具，可以適用于GandCrab1.0、4.0、5、5.2等版本，此勒索病毒的故事就此結(jié)束，加密后的文件，如下所示：

勒索提示信息，如下所示：

最近半年確實沒有發(fā)現(xiàn)這款勒索病毒的最新變種了，取而代之的是另一款新型的勒索病毒REvil/Sodinokibi，而且這款勒索病毒全版本的解密工具也已經(jīng)公布了

三、REvil/Sodinokibi勒索病毒

Sodinokibi勒索病毒(也稱REvil)，2019年5月24日首次在意大利被發(fā)現(xiàn)，在意大利被發(fā)現(xiàn)使用RDP攻擊的方式進行傳播感染，這款病毒被稱為GandCrab勒索病毒的接班人，在短短幾個月的時間內(nèi)，已經(jīng)在全球大范圍傳播，這款勒索病毒與GandCrab勒索軟件存在很多關(guān)聯(lián)，國外安全研究人員此前已發(fā)布了多篇關(guān)于這兩款勒索病毒關(guān)聯(lián)信息的相關(guān)的報道，Sodinokibi勒索病毒也是一種勒索即服務(wù)(RAAS)的模式進行分發(fā)和營銷的，并采用了一些免殺技術(shù)避免安全軟件檢測到，主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網(wǎng)絡(luò)釣魚郵件、RDP端口、漏洞利用工具包以及攻擊一些托管服務(wù)提供商MSP等方式發(fā)起攻擊，此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

四、Globelmposter勒索病毒

Globelmposter勒索病毒首次出現(xiàn)是在2017年5月份，主要通過釣魚郵件進行傳播，2018年2月國內(nèi)各大醫(yī)院爆發(fā)Globelmposter變種樣本2.0版本，通過溯源分析發(fā)現(xiàn)此勒索病毒可能是通過RDP爆破、社會工程等方式進行傳播，此勒索病毒采用RSA2048加密算法，導(dǎo)致加密后的文件無法解密，在隨后的一年多的時間里，這款勒索病毒不斷變種，2018年8月份出現(xiàn)了此勒索病毒的“十二生肖”版，2019年7月出現(xiàn)了此勒索病毒的“十二主神”版，兩大版相差正好一年的時間，“十二主神”版后面又出現(xiàn)了一些小的版本變化，主要是加密后的文件后綴出現(xiàn)了一些微小的變化，此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

五、CrySiS/Dharma勒索病毒

CrySiS勒索病毒，又稱Dharma，首次出現(xiàn)是在2016年，2017年5月此勒索病毒萬能密鑰被公布之后，之前的樣本可以解密，導(dǎo)致此勒索病毒曾消失了一段時間，不過隨后又馬上出現(xiàn)了它的一款最新的變種樣本，加密后綴為java，通過RDP暴力破解的方式進入受害者服務(wù)器進行加密勒索，此勒索病毒加密算法采用AES+RSA方式進行加密，導(dǎo)致加密后的文件無法解密，在最近一年的時間里，這款勒索病毒異?；钴S，變種已經(jīng)達(dá)到一百多個，此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

六、Phobos勒索病毒

Phobos勒索病毒在2019年非常活躍，此勒索病毒首次出現(xiàn)是在2018年12月，國外安全研究人員當(dāng)時發(fā)現(xiàn)了一種新型勒索病毒，加密后的文件后綴名為Phobos，這款新型的勒索病毒與CrySiS(Dharma)勒索病毒有很多相似之處，同樣使用RDP暴力破解的方式進傳播，兩者使用了非常相似的勒索提示信息，所以很容易搞混淆，想要確認(rèn)是哪個家族的勒索病毒，最好的方式就是捕獲到相應(yīng)的樣本，然后通過人工分析進行確認(rèn)，單純的通過勒索提示信息，很難辨別，兩款勒索病毒背后是否是相同的黑客團伙在運營，需要捕獲到更多的證據(jù)，此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

七、Ryuk勒索病毒

Ryuk勒索病毒最早于2018年8月被首次發(fā)現(xiàn)，它是由俄羅斯黑客團伙GrimSpider幕后操作運營，GrimSpider是一個網(wǎng)絡(luò)犯罪集團，使用Ryuk勒索軟件對大型企業(yè)及組織進行針對性攻擊，C.R.A.M. TG Soft(反惡意軟件研究中心)發(fā)現(xiàn)Ryuk勒索軟件主要是通過網(wǎng)絡(luò)攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進行傳播，Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網(wǎng)站登錄憑據(jù)，同時充當(dāng)下載器功能，提供下載其它勒索病毒服務(wù)，為啥Emotet和TrickBot銀行木馬會傳播Ryuk勒索病毒，因為TrickBot銀行木馬傳播渠道的運營者是俄羅斯黑客團伙WIZARD SPIDER，GRIM SPIDER是俄羅斯黑客團伙WIZARD SPIDER的部門之一，此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

       八、Maze(迷宮)勒索病毒

Maze（迷宮）勒索病毒，又稱Chacha勒索病毒，最早于2019年5月份由Malwarebytes安全研究員首次發(fā)現(xiàn)，此勒索病毒主要使用各種漏洞利用工具包Fallout、Spelevo，偽裝成合法加密貨幣交換應(yīng)用程序的假冒站點或掛馬網(wǎng)站等方式進行分發(fā)傳播，最近的一段時間里，Proofpoint的安全研究人員發(fā)現(xiàn)一個新型的黑客組織TA2101，通過垃圾郵件的方式對德國、意大利、美國發(fā)起網(wǎng)絡(luò)攻擊，傳播Maze(迷宮)勒索病毒，此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

九、Buran勒索病毒

Buran勒索病毒首次出現(xiàn)在2019年5月，是一款新型的基于RaaS模式進行傳播的新型勒索病毒，在一個著名的俄羅斯論壇中進行銷售，與其他基于RaaS勒索病毒(如GandCrab)獲得30%-40%的收入不同，Buran勒索病毒的作者僅占感染產(chǎn)生的25%的收入,安全研究人員認(rèn)為Buran是Jumper勒索病毒的變種樣本，同時VegaLocker勒索病毒是該家族最初的起源，由于其豐厚的利潤，使其迅速開始在全球范圍內(nèi)傳播感染，Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包進行傳播，其利用了Internet Explorer的一個比較嚴(yán)重的漏洞CVE-2018-8174，近期發(fā)現(xiàn)此勒索病毒利用IQY(Microsoft Excel Web查詢文件)進行傳播，此勒索病毒加密后的文件，如下所示：

勒索病毒信息，如下所示：

十、MegaCortex勒索病毒

MegeCortex勒索病毒最早于2019年1月份被人在VT上發(fā)現(xiàn)，當(dāng)時有人在VT上傳了一個惡意樣本，英國網(wǎng)絡(luò)安全公司Sophos在5月份發(fā)布了一個關(guān)于MegaCortex勒索病毒的相關(guān)分析報告，筆者此前在分析的時候發(fā)現(xiàn)此勒索病毒早期的版本與去年非常流行的SamSam勒索病毒有一些類似，都使用了BAT腳本，同時都使用了密碼參數(shù)，兩款勒索病毒的負(fù)載加載的手法類似，不過暫時還沒有更多的證據(jù)，證明兩款勒索病毒存在關(guān)聯(lián)，MegaCortex勒索病毒從1月份被人上傳到VT之后，網(wǎng)絡(luò)安全公司Sophos監(jiān)控到此勒索病毒的數(shù)量一直在增加，并對此勒索病毒進行了詳細(xì)的分析報道，該勒索病毒曾經(jīng)對歐州和北美多個行業(yè)發(fā)起過勒索攻擊，并要求支付高額的贖金，美國、加拿大、荷蘭、愛爾蘭、意大利和法國等國家的一些企業(yè)網(wǎng)絡(luò)都曾受到此勒索病毒的攻擊，2019年8月，發(fā)現(xiàn)MegaCortex勒索病毒V2.0版本，重新設(shè)計了負(fù)載的運行過程，它會自動執(zhí)行不需要安裝密碼的要求，作者將密碼硬編碼在了二進制文件中，同時作者還加入一些反分析，以及阻止和殺死各種安全產(chǎn)品和服務(wù)的功能，此過程在之前的版本中是通過在在每個受害者主機上手動執(zhí)行相關(guān)的批處理腳本來完成的，最新的版本不需要手動執(zhí)行，都封裝在了二進制程序中，此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

全球這些主流的勒索病毒筆者都曾詳細(xì)跟蹤并研究過，相關(guān)的報告可以查看之前的文章，2019年下半年又出現(xiàn)了一些新型的勒索病毒，比方NEMTY勒索病毒、EvaRichter(GermanWiper)勒索病毒等，這幾款新型的勒索病毒主要在國外比較流行，目前發(fā)現(xiàn)的大部分流行的勒索病毒暫時無法解密，重點在防御，針對勒索病毒的一般防范措施，筆者總結(jié)了以下幾條建議，僅供參考：

1、及時給電腦打補丁，修復(fù)漏洞

2、謹(jǐn)慎打開來歷不明的郵件，點擊其中鏈接或下載附件，防止網(wǎng)絡(luò)掛馬和郵件附件攻擊

3、盡量不要點擊office宏運行提示，避免來自office組件的病毒感染

4、需要的軟件從正規(guī)（官網(wǎng)）途徑下載，不要用雙擊方式打開.js、.vbs、.bat等后綴名的腳本文件

5、升級防病毒軟件到最新的防病毒庫，阻止已知病毒樣本的攻擊

6、開啟Windows Update自動更新設(shè)置，定期對系統(tǒng)進行升級

7、養(yǎng)成良好的備份習(xí)慣，對重要的數(shù)據(jù)文件定期進行非本地備份，及時使用網(wǎng)盤或移動硬盤備份個人重要文件

8、更改賬戶密碼，設(shè)置強密碼，避免使用統(tǒng)一的密碼，因為統(tǒng)一的密碼會導(dǎo)致一臺被攻破，多臺遭殃，黑客會通過相同的弱密碼攻擊其它主機

9、如果業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP，以防被黑客RDP爆破攻擊

通過筆者一直跟蹤與分析，預(yù)測勒索病毒攻擊在明年可能會越來越多，而且使用的攻擊手法會越來越復(fù)雜，攻擊也會越來越具有針對性和目的性，不排除未來會有更多的新型黑客組織加入進來，通過勒索病毒迅速獲利，各企業(yè)要做好相應(yīng)的防范措施，提高自身員工的安全意識，以防中招。