信息來源：FreeBuf

人們對安全的意識正在增強(qiáng)， 回顧過去三年，勒索軟件在惡意軟件總數(shù)中所占的比例從2.8％上升到3.5％。 勒索軟件在受惡意軟件攻擊所有用戶中的比例一直在波動，2019年上半年為2.94％，而兩年前為3.53％。

大約90萬至近120萬受勒索軟件攻擊的用戶。

有許多極其復(fù)雜的加密樣本，但背后機(jī)制非常簡單：將受害者計(jì)算機(jī)上的文件轉(zhuǎn)換為加密數(shù)據(jù)，并要求贖金換取解密密鑰。

2019年，勒索軟件有了新目標(biāo)：市政府。討論最廣泛的事件是巴爾的摩，它受到大規(guī)模的勒索軟件運(yùn)動，導(dǎo)致大量城市服務(wù)癱瘓，并需要數(shù)千萬美元來恢復(fù)該城市的網(wǎng)絡(luò)。

根據(jù)公開統(tǒng)計(jì)數(shù)據(jù)和公告，2019年至少有174個市政組織受到了勒索軟件的攻擊。與一年相比增加了大約60％。贖金在5,000美元至5,000,000美元之間，平均大約為1,032,460美元。但差異很大，例如小城鎮(zhèn)學(xué)區(qū)勒索的資金比從大城市市政廳勒索的資金小20倍。

根據(jù)分析師估計(jì)，攻擊造成的實(shí)際損失通常與犯罪分子要求的數(shù)額有所不同。首先，保險(xiǎn)公司為一些市政機(jī)構(gòu)和供應(yīng)商提供了針對網(wǎng)絡(luò)事件的保險(xiǎn)，這可以以另一種方式補(bǔ)償成本。其次，可以通過及時(shí)的事件響應(yīng)來消除攻擊。最后，并非所有城市都支付了贖金：在巴爾的摩加密案中，官員拒絕支付贖金，該市最終花費(fèi)了1800萬美元來恢復(fù)其IT基礎(chǔ)設(shè)施。雖然這筆錢比犯罪分子要求的114,000美元要多得多，但支付贖金是一種短期解決方案，會鼓勵攻擊者繼續(xù)其惡意行為。一旦城市的IT基礎(chǔ)設(shè)施遭到破壞，需要進(jìn)行審核和徹底的事件調(diào)查，以防止再次發(fā)生類似的事件，還要實(shí)施強(qiáng)大的安全解決方案，這會帶來額外的成本。

一般來說，可以通過兩個入口點(diǎn)來攻擊市政當(dāng)局：社會工程和未更新軟件的漏洞。在用戶設(shè)備上最經(jīng)常被阻止的勒索軟件排名中，所有時(shí)間段內(nèi)都處于領(lǐng)先地位的是WannaCry。微軟為其Windows操作系統(tǒng)發(fā)布了一個補(bǔ)丁程序，該補(bǔ)丁程序在攻擊開始前幾個月就已關(guān)閉了相關(guān)漏洞，但WannaCry仍然影響了全球數(shù)十萬臺設(shè)備。在2019年第三季度收集的最新統(tǒng)計(jì)數(shù)據(jù)表明，WannaCry結(jié)束兩年半后，所有用戶中有五分之一受到了WannaCry的攻擊。從2017年到2019年中的統(tǒng)計(jì)數(shù)據(jù)表明，WannaCry一直是最受歡迎的惡意軟件樣本之一，占該時(shí)期內(nèi)勒索軟件攻擊的27％。

另一種情況是，犯罪分子利用人為因素：企業(yè)組織對員工進(jìn)行的培訓(xùn)遠(yuǎn)未達(dá)到應(yīng)有的普遍水平。許多行業(yè)由于員工的錯誤而損失了巨額資金，包含惡意軟件安裝程序的網(wǎng)絡(luò)釣魚和垃圾郵件仍在網(wǎng)絡(luò)上流傳并到達(dá)受害者手中。這些受害者可能正在管理公司的帳戶和財(cái)務(wù)時(shí)打開詐騙郵件，下載PDF文件導(dǎo)致網(wǎng)絡(luò)受到攻擊。

在整個2019年遭受攻擊的眾多類型的市政組織中，有些組織受到的攻擊要多于其他組織。最具針對性的是教育組織，約占所有攻擊的61％：2019年，105個學(xué)區(qū)受到攻擊，530所學(xué)校成為目標(biāo)。同時(shí)，市政廳和市政中心約占案件總數(shù)的29％。另一個受歡迎的目標(biāo)是醫(yī)院，占所有攻擊的7％。此外，遭受攻擊的所有機(jī)構(gòu)中約有2％是市政公用事業(yè)服務(wù)機(jī)構(gòu)或其分包商。服務(wù)提供商經(jīng)常被用作整個設(shè)備和組織網(wǎng)絡(luò)的入口，攻擊者成功攻擊服務(wù)提供商的情況下，會攻擊供應(yīng)商或機(jī)構(gòu)服務(wù)的每個地點(diǎn)。公用事業(yè)服務(wù)的中斷會導(dǎo)致重要的常規(guī)服務(wù)中斷，例如居民在線支付服務(wù)。

下面是針對市政組織攻擊中一直活躍的惡意軟件。

Ryuk

Ryuk勒索軟件（檢測名稱：Trojan-Ransom.Win32.Hermez），它攻擊大型組織以及政府和市政網(wǎng)絡(luò)。 該惡意軟件首次出現(xiàn)在2018年下半年，并且在整個2019年一直在變異和傳播。

在世界各地都可以看到Ryuk。

傳播方式

Ryuk采用了多階段計(jì)劃傳播勒索軟件。

初始階段通過Emotet bot（檢測名稱：Trojan-Banker.Win32.Emotet）感染大量計(jì)算機(jī)。 通常通過發(fā)送包含帶有惡意宏文檔的垃圾郵件實(shí)現(xiàn)，如果受害者允許執(zhí)行宏，則該惡意宏將下載bot。

在感染的第二階段，Emotet將收到來自其服務(wù)器的命令，下載并安裝另一種惡意軟件Trickbot（判定為Trojan.Win32.Trickster）到受感染的系統(tǒng)中。攻擊者可利用該惡意軟件在受感染的網(wǎng)絡(luò)中進(jìn)行偵察。如果犯罪分子發(fā)現(xiàn)他們已滲透到受害者內(nèi)部，例如大型市政網(wǎng)絡(luò)或公司，他們會繼續(xù)進(jìn)行感染的第三階段，將Ryuk勒索軟件部署到受影響網(wǎng)絡(luò)中的許多節(jié)點(diǎn)。

技術(shù)簡介

Ryuk自創(chuàng)建以來一直在發(fā)展，存在32位和64位版本，加密方案有時(shí)也因樣本不同而不同。

下面將描述2019年10月下旬發(fā)現(xiàn)的最新樣本（MD5：fe8f2f9ad6789c6dba3d1aa2d3a8e404）。

1）文件加密

Ryuk使用混合加密方案，該方案使用AES算法對受害者文件的內(nèi)容進(jìn)行加密，使用RSA算法對AES密鑰進(jìn)行加密。 Ryuk使用Microsoft CryptoAPI實(shí)現(xiàn)加密。

該木馬樣本包含攻擊者嵌入的2048位RSA密鑰。 Ryuk將為每個受害文件生成一個唯一256位AES密鑰，該密鑰將用于加密文件內(nèi)容。 AES密鑰由RSA加密，并保存在加密文件的末尾。

Ryuk加密本地驅(qū)動器和網(wǎng)絡(luò)共享。加密的文件將獲得一個附加擴(kuò)展名（.RYK）。

2）附加功能

為了對網(wǎng)絡(luò)造成更大的破壞，Ryuk變種使用了新的技巧； Trojan嘗試喚醒處于睡眠狀態(tài)的其他計(jì)算機(jī)。

Ryuk這樣做是為了最大程度地?cái)U(kuò)大攻擊面：位于睡眠PC上的網(wǎng)絡(luò)共享上文件不可訪問，但如果木馬設(shè)法喚醒它們，就可以對這些文件進(jìn)行加密。 Ryuk從受感染系統(tǒng)的本地ARP緩存中檢索附近機(jī)器的MAC地址，并將以{0xff，0xff，0xff，0xff，0xff，0xff}開頭的廣播UDP數(shù)據(jù)包發(fā)送到端口7喚醒目標(biāo)計(jì)算機(jī)。

Ryuk算法在勒索軟件中較為傳統(tǒng)的其他功能包括：將代碼注入合法進(jìn)程中以避免檢測； 嘗試終止與被加密應(yīng)用程序相關(guān)的過程，使這些程序使用的文件可被修改； 試圖停止與業(yè)務(wù)應(yīng)用程序和安全解決方案相關(guān)的各種服務(wù)。

Purga

這個勒索軟件系列出現(xiàn)在2016年中期，且仍在積極地開發(fā)和向世界各地傳播。該惡意軟件的特征之一是，它攻擊常規(guī)用戶以及大型公司甚至政府組織。 該惡意軟件檢測為Trojan-Ransom.Win32.Purga。

傳播方式

該惡意軟件使用了各種類型的傳播方式。主要的攻擊手段是垃圾郵件和RDP暴力攻擊。

常見的攻擊情形：

1、犯罪分子掃描網(wǎng)絡(luò)以查找開放的RDP端口

2、嘗試暴力破解憑據(jù)以登錄到目標(biāo)計(jì)算機(jī)

3、成功登錄后，犯罪分子會嘗試各種漏洞來提升權(quán)限

4、犯罪分子啟動勒索軟件

技術(shù)簡介

Purga勒索軟件在過去的兩年中改變了幾種加密算法，密鑰生成功能，密碼方案等，簡要介紹最新的修改。

1）命名方案：

Purga會為每個文件使用不同的擴(kuò)展名，使用不同的電子郵件地址進(jìn)行聯(lián)系。盡管對加密文件使用了各種擴(kuò)展名，但該木馬僅使用兩種命名方案，具體取決于其配置：

[original file name].[original extension].[new extension]：

[encrypted file name].[new extension]：

文件加密

木馬結(jié)合了對稱和非對稱算法的標(biāo)準(zhǔn)方案。 使用隨機(jī)生成的對稱密鑰對每個文件進(jìn)行加密，然后使用非對稱密鑰對對稱密鑰進(jìn)行加密，并將結(jié)果存儲在專門構(gòu)建的結(jié)構(gòu)中。

Stop

Stop勒索軟件（也稱為Djvu STOP）于2018年底出現(xiàn)，檢測名稱是Trojan-Ransom.Win32.Stop，根據(jù)統(tǒng)計(jì)數(shù)據(jù)，在2019年Stop勒索軟件攻擊了全球2萬多名受害者。 根據(jù)2019年第三季度報(bào)告，Stop勒索軟件在最常見的勒索軟件中排名第七。

傳播方式

攻擊者主要通過軟件安裝程序來傳播其惡意軟件。 當(dāng)用戶從不受信任的站點(diǎn)下載特定軟件或嘗試使用軟件破解程序時(shí)，他們的計(jì)算機(jī)會受到勒索軟件的感染。

技術(shù)簡介

勒索軟件使用隨機(jī)生成的Salsa20密鑰，然后使用RSA密鑰對其進(jìn)行加密。

根據(jù)C＆C服務(wù)器的狀態(tài)，勒索軟件會使用在線或離線RSA密鑰。 離線RSA密鑰可以在每個惡意樣本的配置中找到。

總結(jié)與建議

2019年是勒索軟件對市政當(dāng)局進(jìn)行攻擊的一年，這種趨勢會在2020年繼續(xù)。針對市政當(dāng)局的攻擊次數(shù)不斷增加的原因有多種。

首先，市政當(dāng)局的網(wǎng)絡(luò)安全預(yù)算通常更側(cè)重于保險(xiǎn)和應(yīng)急響應(yīng)，而不是主動防御。其次，市政部門通常是由多個組織組成的網(wǎng)絡(luò)，對它們的打擊會同時(shí)在多個層次上造成中斷，從而使整個地區(qū)的流程都陷入停頓。此外，存儲在市政網(wǎng)絡(luò)中的數(shù)據(jù)通常對于日常服務(wù)的運(yùn)行至關(guān)重要，它直接關(guān)系到公民和地方組織的利益。

簡單的預(yù)防措施可以幫助對抗惡意軟件攻擊：

1、必須盡快安裝安全更新。大多數(shù)網(wǎng)絡(luò)攻擊利用已報(bào)告的漏洞，因此安裝最新的安全更新可降低受到攻擊的可能性。

2、通過VPN保護(hù)對公司網(wǎng)絡(luò)的遠(yuǎn)程訪問，并為域帳戶使用安全密碼。

3、始終更新操作系統(tǒng)以消除最近的漏洞，并對更新的數(shù)據(jù)庫使用可靠的安全解決方案。

4、始終保留文件的新備份副本，以便在丟失時(shí)可以替換它們，并將它們不僅存儲在物理介質(zhì)上，而且還存儲在云中，以提高可靠性。