Categories
科技報導

花197萬贖金買了解鎖密鑰,原來這個病毒我見過……



寫個病毒敲個竹槓這種事兒在安全圈似乎已經不是一件新鮮事兒了。一般來說,被勒索有三種情況,上了不該上的網站,點了不該點的按鈕,下了不該下的文件。然後手一滑, boom  。 。 。文件都給你改格式加密了!這個時候病毒會告訴你文件被鎖住了,如果想解鎖,那就得乖乖交錢。

不過,這次這個竹槓敲得屬實有點狠。網傳有一家公司因勒索病毒入侵,斥 197 万巨資買了解鎖密鑰,才解決了危機。

花197萬贖金買了解鎖密鑰,原來這個病毒我見過...... 1

【 圖片來源:黑白之道  所有者:黑白之道 】

有安全從業人員告訴雷鋒網,這個病毒很可能是之前已經出現的病毒,為了確定真假,雷鋒網採訪了深信服安全專家歐和一探究竟。據歐和介紹,這個病毒就是此前的 Sodinokibi 勒索病毒。

在進入正題前,先給大家科普下Sodinokibi 勒索病毒:它繼承了GandCrab 的代碼結構,其特點是使用隨機加密後綴,並且加密後會修改主機桌面背景為深藍色,最早出現於今年4 月底,早期使用Web 服務相關漏洞傳播,後來發現其會偽裝成稅務單位、司法機構,使用釣魚欺詐郵件來傳播,但誰還沒個手滑的時候呢,因此不少企業深受其害。

那麼,他們是如何入侵的呢?

一般來說,該病毒在企業網絡找到突破口後,先使用掃描爆破等方式,獲取到內網中一台較為薄弱的主機權限,再上傳黑客工具包對內網進行掃描爆破或密碼抓取,選擇重要的服務器和PC 進行加密,然後嘗試內容橫向移動,加密整個企業內網盡可能多的主機或服務器,可謂一台失陷,全網遭殃。

上一秒文件還能打開,下一秒,對不起,花錢才能訪問哦。要說套路深,勒索病毒製造者才是第一。

花197萬贖金買了解鎖密鑰,原來這個病毒我見過...... 2

但萬萬沒想到,這個勒索病毒背後還有個團伙,那麼,他們又是怎麼合作的呢?

歐和向雷鋒網介紹道, Sodinokibi 勒索病毒的爆發主要得益於其形成的產業化規模,即分佈式團伙作案,每個人各司其職,按勞分配,多勞多得。首先, Sodinokibi 勒索病毒運行成功後,會在主機上留下如下勒索信息,形如“隨機後綴- readme.txt ”的文檔:

花197萬贖金買了解鎖密鑰,原來這個病毒我見過...... 3

為了讓你更容易找到他付費,他們還“貼心”的為你留了線索…….

一個是暗網聊天網頁,一個是普通聊天網頁,受害企業可以根據自身情況任意聯繫(訪問)其中一個鏈接。訪問該鏈接後,可以通過網頁進行聊天,設計十分專業,黑客可以與受害企業就贖金問題進行協商。

花197萬贖金買了解鎖密鑰,原來這個病毒我見過...... 4

而當黑客有錢了,他們還給自己找了線上保鏢,專門負責談判,24 小時在線。當然,線上客服沒有最終定價權,最終贖金價格由上級老闆拍板,即Sodinokibi勒索病毒的組織運營者。

而Sodinokibi 勒索病毒的要價普遍偏高,多數是在3 到6 個比特幣,所以其主要攻擊對像是企業,並且是中大型企業,其攻擊目的是癱瘓企業核心業務網絡,因此很多受害企業迫於無奈交了不少贖金。

並且由於其為產業化運作,故每個參與者都有相應的分成。當受害企業向黑客錢包轉入比特幣的時候,此錢包會分批次轉入其它成員的錢包。

例如,某次攻擊成功後,將贖金分 2 批轉給了 4 個錢包,分別是勒索病毒作者錢包、集成平台提供商錢包、線上客服錢包、統籌錢包。

花197萬贖金買了解鎖密鑰,原來這個病毒我見過...... 5

勒索病毒作者、集成平台提供商屬於薄利多銷型,每一筆交易都有提成,所以單次提成比例雖低,但總數是非常客觀的;線上客服按勞分配,說服一個客戶,就有一小筆提成,當然大頭不在他們,因為他們可替代性比較強,技術難度也不大。

花197萬贖金買了解鎖密鑰,原來這個病毒我見過...... 6

每次攻擊所得的贖金,大頭由統籌錢包分配給了攻擊者和組織運營者,所以單次成功後的貢獻比較大,而任何個人和團隊都能參與到不同客戶的攻擊活動中來,類似銷售團隊,每成一單,提成都比較可觀。最後的大頭,當然給了組織運營者,其負責拉通各個環節和資源,保障平台和團伙的正常運作。

這簡直就是一個黑吃黑且絕對不虧的買賣啊,但雷鋒網(公眾號:雷鋒網)編輯還是很好奇,有沒有可能通過安全技術不花贖金解決問題?

“大概率是不能的,大多數情況下,黑客都會採用 RSA+AES ,對稱與非對稱複合加密的方式,單純破解難度極大,甚至是不可能的。”深信服安全專家H說。

那麼,作為受害者我們只能坐以待斃,乖乖掏錢嗎?

當然不可以,所以為今之計企業只有兩個選擇,一是安全加固,二是花錢安全加固。

怎麼加固呢?

深信服安全專家歐和談到企業自身應該如何做時,主要方式有:

a、及時給電腦打補丁,修復漏洞。

b、對重要的數據文件定期進行非本地備份。

c、不要點擊來源不明的郵件附件,不從不明網站下載軟件。

d、盡量關閉不必要的文件共享權限。

e、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一台被攻破,多台遭殃。

f、如果業務上無需使用 RDP 的,建議關閉 RDP 。

至於花錢加固,就不用了雷鋒網多說了吧,比如雷鋒網之前了解過的深信服勒索病毒防護方案,能夠基於勒索病毒的感染傳播過程進行分析和防護,並聯動雲端進行新型威脅的檢測,實現主動防禦。

接下來說的話,相信你聽無數安全從業人員都說過,但依舊值得重複一遍:

別上不該上的網站,別點不該點的鏈接,別下不該下的東西。

大多數上網需求,都可以在正規網站上搞定,如果覺得自己安全水平不夠,就別瞎逛。

否則,只能乖乖交贖金。