2017年勒索病毒盘点报告

报告摘自腾讯安全管家

【文章摘要】纵观整个2017年,网络安全防线多次面临勒索病毒事件的重大冲击。本文通过分析勒索病毒常见传播方式和盘点2017年重大勒索病毒事件,对2018年勒索病毒传播新趋势做出预判,为普通用户和企业用户提供相应的安全建议。

0×1 概述

纵观整个2017年,网络安全防线多次面临勒索病毒事件的重大冲击。2017年5月WannaCry勒索病毒的爆发,被认为是迄今为止最严重的勒索病毒事件,至少150个国家、30万名用户中招,造成损失达80亿美元。此后,勒索病毒持续活跃,6月份Petya勒索病毒席卷欧洲多个国家,政府机构、银行、企业等均遭大规模攻击。10月份“Bad Rabbit”(坏兔子)勒索软件导致“东欧陷落”,包括乌克兰与俄罗斯在内的东欧公司受灾严重。

image

勒索病毒及其变种的频繁出现,也严重威胁到普通用户的上网安全。根据腾讯电脑管家检测到的敲诈勒索病毒显示,2017全年总计已发现敲诈勒索病毒样本数量在660万个,平均每月检测到敲诈勒索病毒数量近55万个。Q3季度为4个季度中检测病毒的高峰,检测量为180万个。

image

本文通过分析勒索病毒常见传播方式和盘点2017年重大勒索病毒事件,对2018年勒索病毒传播新趋势做出预判,为普通用户和企业用户提供相应的安全建议。

0×2 勒索病毒七大传播方式

不法黑客通过文件加密或屏幕锁定的方式要求中招者支付一定数额的赎金,其中文件加密是最为普遍的勒索方式。不法黑客往往利用RSA、AES等加密算法对文件进行加密,除非拿到对应的密钥,否则难以通过第三方自行解密。

image

勒索病毒不仅能加密文件、破坏力大,并且传播范围也相当广。常见的勒索病毒家族如Cerber、Locky、GlobeImposter等系列,通过挂马、钓鱼邮件等多种传播方式,往往能在短时间内达到数十万,甚至上百万的传播量级,并且无明显的地域限制。另外较为常见的有针对服务器的XTBL家族,倾向于利用各种漏洞发起勒索攻击。

image

1. 邮件附件传播

通过邮件附件进行传播的勒索病毒通常会伪装成用户常查看的文档,如信用卡消费清单、产品订单等。附件中会隐藏恶意代码,当用户打开后恶意代码便会开始执行,释放病毒。不法黑客往往会将携带病毒的文件通过邮件批量发送给企业、高校、医院机构等单位,这些单位中的电脑中通常保存较重要的文件,一旦被恶意加密,支付赎金的可能性远远超过普通个人用户。

image

2. 网站挂马传播

网站挂马是在获取网站或者网站服务器的部分或全部权限后,在网页中插入一段恶意代码,这些恶意代码主要是一些IE等浏览器的漏洞利用代码。用户访问被挂马页面时,如果系统此前没有修复恶意代码中利用的漏洞,电脑就会执行相关恶意代码。

病毒也可以利用已知的软件漏洞进行攻击,例如利用Flash、PDF等软件漏洞,向网页中加入带有恶意代码的文件,用户使用带有漏洞的软件打开文件,电脑便会执行恶意代码,下载病毒。

3. 入侵服务器

针对服务器的攻击多通过远程登录的方法。由于部分服务器会使用弱口令远程登录,不法黑客可暴力破解远程登录密码,并手动下载运行勒索病毒。即使服务器安装了安全软件,不法黑客也可手动退出。

image

4. 利用系统漏洞传播

5月爆发的WannaCry就是利用Windows系统漏洞进行传播,利用系统漏洞传播的特点是被动式中毒:用户即使没有访问恶意站点,没有打开病毒文件也会中招。利用系统漏洞传播的蠕虫病毒还会扫描同网络中存在漏洞的其他PC主机,只要主机没有打上补丁,就会被攻击。

5. 网络共享文件

一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,不法黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。此外,不法黑客还常会提示用户“杀毒软件会产生误报,运行之前需要退出杀毒软件”,来逃避安全软件的查杀。

image
image

6. 软件供应链传播

病毒制作者通过劫持正常软件的安装、升级服务,在用户进行正常软件安装、升级时植入勒索病毒。这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。

7. 文件感染传播

利用感染型病毒的特点进行传播,如PolyRansom就是利用感染型病毒的特点,加密用户所有文档后再弹出勒索信息,而由于PE类文件被感染后具有了感染其他文件的能力,因此如果此文件被用户携带(U盘、网络上传等)到其他电脑上运行,就会使得该电脑的文件也被全部感染加密。

0×3 勒索病毒两次大规模攻击

1. WannaCry勒索病毒

  1. 事件还原

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机植入勒索病毒,导致电脑文件被大量加密。

image
  1. 感染过程分析

a) mssecsvc.exe行为

i. 开关

病毒在网络上设置了一个开关,当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,则退出进程,不再进行传播感染。目前该域名已被安全公司接管。

image

ii. 蠕虫行为

通过创建服务启动,每次开机都会自启动。

image

从病毒自身读取MS17_010漏洞利用代码,playload分为x86和x64两个版本。

image

创建两个线程,分别扫描内网和外网的IP,开始进行蠕虫传播感染。

image

对公网随机ip地址445端口进行扫描感染。

image

对于局域网,则直接扫描当前计算机所在的网段进行感染。

image

感染过程,尝试连接445端口。

image

如果连接成功,则对该地址尝试进行漏洞攻击感染。

image

iii. 释放敲诈者

image

b) tasksche.exe行为(敲诈者)

解压释放大量敲诈者模块及配置文件,解压密码为WNcry@2ol7

image

首先关闭指定进程,避免某些重要文件因被占用而无法感染。

image

遍历磁盘文件,避开含有以下字符的目录:

\ProgramData

\Intel

\WINDOWS

\Program Files

\Program Files (x86)

\AppData\Local\Temp

\Local Settings\Temp

image

同时,也避免感染病毒释放出来的说明文档。

image
image

病毒加密流程图

遍历磁盘文件,加密以下178种扩展名文件:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

程序中内置两个RSA 2048公钥,用于加密,其中一个含有配对的私钥,用于演示能够解密的文件,另一个则是真正的加密用的密钥,程序中没有相配对的私钥。

image

病毒随机生成一个256字节的密钥,并拷贝一份用RSA2048加密,RSA公钥内置于程序中。

image

构造文件头,文件头中包含有标志、密钥大小、RSA加密过的密钥、文件大小等信息。

image

使用CBC模式AES加密文件内容,并将文件内容写入到构造好的文件头后,保存成扩展名为.WNCRY的文件,并用随机数填充原始文件后再删除,防止数据恢复。

image

完成所有文件加密后释放说明文档,弹出勒索界面,提示用户需支付价值数百美元不等的比特币到指定的比特币钱包地址,三个比特币钱包地址硬编码于程序中。

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

2. Petya

  1. 事件还原

2017年6月27日晚,Petya勒索病毒爆发,欧洲多个国家被大规模攻击,尤其是乌克兰,政府机构、银行、企业等均遭大规模攻击,其中乌克兰副总理的电脑也遭受攻击。病毒作者要求受害者支付价值300美元的比特币之后,才会回复解密密钥。

image
  1. 感染过程分析

i. 写MBR

image

0~0x21扇区保存的是病毒的MBR和微内核代码数据,而原始的MBR被加密保存在第0x22扇区。

ii. 加密文件

遍历分区

image

要加密的文件类型

image

文件加密过程

image

iii. 传播方式

可能通过管理共享在局域网内传播,而后通过wmic来实现远程命令执行。

C:\Windows\dllhost.dat \10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1 60 "RCAD\ryngarus.ext:FimMe21Pass!roy4""RCAD\svcomactions:3GfmGeif"

image

c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" "c:\windows\perfc.dat" #1

image

通过EternalBlue和EternalRomance漏洞传播。

image

程序发动攻击前,先尝试获取到可攻击的IP地址列表:

依次获取:已建立TCP连接的IP、本地ARP缓存的IP以及局域网内存在的服务器IP地址。收集完这些地址后,便进行进一步攻击。

image

0×4 2018年勒索病毒五大形势分析

1. 漏洞利用或成为勒索病毒新的传播方式

2017年几次大规模爆发的勒索病毒,主要是以钓鱼邮件为传播渠道。而随着网民安全意识的提高,钓鱼邮件传播成功率较之往年已出现降低趋势。漏洞利用由于具有较强的自传播能力,能在短时间内大范围传播,在2018年或将更受“不法黑客”青睐。

2. 与安全软件的对抗将持续升级

随着安全软件对勒索病毒免疫能力的持续升级,安全软件对主流的勒索病毒逐渐形成多维度的防御,勒索病毒也需要进一步加强与安全软件的对抗才能够提高感染成功率。这种对抗可能体现在传播渠道上的多样化,也可能表现为样本上做更多的免杀对抗。

3. 攻击目标日益精准化

2017下半年勒索病毒的攻击目标出现明显的精准化趋势,上班人群、企业用户成功不法黑客的攻击目标。该类目标用户往往会有更多的重要文档文件,加密后,也会更加倾向于支付解密赎金。

4. 勒索病毒呈现低成本,蹭热点特征

随着勒索病毒技术细节的公开,部分勒索软件代码被放在暗网上售卖,勒索病毒的制作成本出现持续降低趋势。此外,整个2017年多个系列的勒索病毒持续活跃,间或出现小范围传播的勒索病毒,例如“希特勒”、“WannaSmile”等等。此类勒索病毒为实现更大范围的传播,通常会借势节日热点和社会热点等,例如万圣节、圣诞节等。2018年随着制作成本的降低,或将出现更多蹭热点的勒索病毒。

5. 国产勒索病毒开始活跃

不法黑客针对国内用户“量身打造”的国产勒索病毒,通常会使用全中文的勒索提示界面,个别会要求直接通过微信、支付宝来缴纳赎金。在国内,与其它语言版本的勒索病毒相比,国产勒索病毒中招者支付赎金的可能性更高,2017年出现的主要国产勒索病毒有“云龙”、“xiaoba”等,而2018年或将出现更多的国产勒索病毒。

0×5 安全建议

1. 企业用户

企业用户是勒索病毒的“重灾区”,针对企业用户的攻击主要有两种情况:

1) 加密企业服务器上的文件

传播方式:利用弱口令远程登录、系统或软件漏洞等

解决方案:及时给服务器打好安全补丁,同时避免使用弱口令,关闭不必要的端口

2) 加密办公机器上的文件

传播方式:向企业邮箱发送钓鱼邮件

解决方案:公司企业邮箱加强对钓鱼邮件的拦截,提醒员工不要轻易打开来历不明的邮件,并且保持安全软件运行状态。

2. 个人用户

个人用户需要警惕来历不明的邮件,保持安全软件运行状态,及时修复电脑漏洞,并且养成良好的上网习惯,不使用外挂等病毒高发点的工具。

3. 使用“文档守护者2.0”等专项工具

腾讯电脑管家推出的“文档守护者2.0”,基于管家的安全防御体系,通过对系统引导、边界防御、本地防御、执行保护、改写保护,备份等多个环节的保护构建完整的防御方案,保护用户的文档不被加密勒索。除支持包括Bad Rabbit在内的已知430多种勒索病毒的免疫之外,还能提供对未知的勒索病毒的拦截和备份能力,进一步保证文档安全。

image

(腾讯电脑管家“文档守护者2.0”防御体系)

用户在腾讯电脑管家12.9版本工具箱的“文档”分类中即可找到“文档守护者”,并自主开启全盘文档自动备份,同时还可通过实时监控日志查看电脑文档的状态、类型和修改行为的记录。在窗口页面,腾讯电脑管家还会实时滚动每日拦截的数据、本地备份文档数量、风险等级以及本机监控情况,让用户了解当前的文档安全状态。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,311评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,339评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,671评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,252评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,253评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,031评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,340评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,973评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,466评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,937评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,039评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,701评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,254评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,259评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,485评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,497评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,786评论 2 345

推荐阅读更多精彩内容

  • 2017年5月12日,一种名为“WannaCry”的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门、医...
    他样的颜色阅读 1,560评论 0 2
  • 2017年5月12日勒索病毒事件处置工作复盘 一、事件始末: 2017年5月12日勒索病毒在我国出现案例,我公司售...
    哬呸响阅读 687评论 0 0
  • 来威海上学将近一年,不知不觉凑成环翠楼公园春秋冬的图。 夏天也会有的,静候时光佳音,跟随我的脚步来探寻一下这一古迹...
    莫负寒松阅读 1,904评论 0 3
  • 文|六末寻 实习以后来到的第一站,是这里。 乍一听名字还以为是什么不入流的组织,也不像一个正经的公司,小蜜蜂?难道...
    六末寻阅读 212评论 0 0
  • 一直相信释迦牟尼说的一句话:无论你遇见谁,他都是你生命该出现的人,绝非偶然,他一定会教会你一些什么。 人生需要努力...
    王娇fineyoga阅读 210评论 1 1