content/zh-cn/images/repository/isc/2021/ransomware-attacks-and-types.jpg

什么是勒索软件?

勒索软件是网络犯罪分子使用的一种恶意软件类型。如果计算机或者网络被勒索软件所感染,勒索软件会阻止对系统的访问或者加密数据。网络犯罪分子会要求受害者交赎金以换取数据释放。为了防御勒索软件感染,建议您保持警惕,使用安全软件。此类恶意软件攻击的受害者在感染后有三个选择:支付赎金,尝试删除恶意软件,或者重启设备。经常被敲诈木马使用的攻击媒介包括远程桌面协议钓鱼邮件软件漏洞。因此,勒索软件攻击的目标既可以是个人也可以是公司

识别勒索软件 — 必须做出基本区别

有两种勒索软件特别流行:

  • Locker 勒索软件。这种类型的恶意软件会阻止基本的计算机功能。例如,您可能会被拒绝访问桌面,而鼠标和键盘会被部分禁用。这可让您继续与包含赎金要求的窗口进行交互以进行支付。除此之外,计算机无法操作。不过有个好消息:Locker 恶意软件通常不会瞄准关键文件;它一般只想把您锁在外面。因此,完全销毁数据不太可能。
  • Crypto 勒索软件。Crypto 勒索软件的目的是加密您的重要数据,比如文档、图片和视频,但是不会干预基本的计算机功能。这可以散布恐慌,因为用户可以看到文件但是却无法访问。Crypto 开发者经常会对赎金要求加上倒计时:“如果你不在截止时间前支付赎金,你的所有文件将被删除。”考虑到许多用户没有意识到需要在云端或者外部存储设备上进行备份,Crypto 勒索软件可以产生毁灭性影响。结果,许多受害者为了拿回文件只能支付赎金。

Locky, Petya 等

现在您知道勒索软件是什么以及两种主要类型。您将在这里了解到一些知名案例,帮助您识别勒索软件构成的危险:

Locky

Locky 勒索软件于2016年首次被一群有组织的黑客用来进行攻击。Locky 加密了160多个文件类型,通过虚假电子邮件用感染附件进行传播。用户中了电子邮件的招,在计算机上安装了勒索软件。这种传播方法叫钓鱼,是一种名为“社会工程”的形式。Locky 勒索软件瞄准的是经常被设计师、开发人员、工程师和测试员使用的文件类型。

想哭(WannaCry)

WannaCry 是在2017年传播到150多个国家的勒索软件攻击。它的创建者是美国国家安全局(NSA),旨在利用 Windows 中的安全漏洞,被“影子经纪人”(Shadow Brokers)黑客团体泄露。 WannaCry 影响了全世界230,000台计算机。这场攻击影响了英国三分之一的英国国家医疗服务体系(NHS)医院,估计造成了9,200万英镑的损失。用户被锁在外面,要求用比特币支付赎金。这次攻击暴露了过期系统的问题,因为黑客利用了在攻击时长期存在的一个操作系统漏洞。WannaCry 造成的全球财务损失大约为40亿美元。

坏兔子(Bad Rabbit)

Bad Rabbit 是2017年开始的勒索软件攻击,通过所谓的驾车袭击进行传播。不安全的网站被用来执行攻击。在驾车勒索软件袭击中,用户访问了真实网站,没有意识到它已被黑客侵入。对于大多数驾车袭击来说,只需要用户调出一个已经被用这种方式侵入的页面。在此情况下,运行含有伪装恶意软件的安装程序会导致感染。这叫恶意软件投放者。Bad Rabbit 要求用户运行虚假的 Adobe Flash 安装,从而用恶意软件感染计算机。

依附死神(Ryuk)

Ryuk 是一款在2018年8月传播的加密木马,禁用 Windows 操作系统的恢复功能。这使得没有外部备份的话无法恢复加密数据。Ryuk 还加密网络硬盘。它的影响巨大,许多被瞄准的美国机构支付了被要求的赎金。损失总额估计超过640,000美元。

阴影(Shade/Troldesh)

阴影Troldesh 勒索软件攻击发生在2015年,通过包含感染链接或者文件附件的垃圾邮件进行传播。有趣的是,Troldesh 攻击者直接通过电子邮件和受害者进行沟通。和他们建立了“良好关系”的受害者会得到折扣。不过,这种行为是例外而不是通例。

钢丝锯(Jigsaw)

Jigsaw 是一款在2016年开始的勒索软件。这场攻击的名字源自它显示的图像,图像是电影《电锯惊魂》中的著名木偶。每一个小时赎金仍然没有支付,Jigsaw 勒索软件就删除掉更多文件。使用恐怖电影图像在用户心中造成了额外压力。

Cryptolocker

CryptoLocker 勒索软件第一次在2007年被发现,通过受感染的电子邮件附件进行传播。勒索软件在受感染的计算机上搜索重要数据,然后对其加密。大约500,000台计算机被感染。执法部门和安全公司最终设法控制住了被用来传播 CryptoLocker 的被劫持家庭计算机全球网络。这让执法部门和公司可以在不引起犯罪分子注意的情况下拦截通过网络发送的数据。最终,这导致一个在线门户设立,受害者可以在那里获得解锁数据的密钥。这让他们的数据可以无需支付赎金给犯罪分子即得到释放。

Petya

Petya (不要和 ExPetr 混了)勒索软件攻击第一次发生在2016年,2017年作为“黄金眼”(GoldenEye)复活。这款恶意勒索软件不是加密某些文件,而是加密受害人的整个硬盘。这是通过 加密主文件表 (MFT) 完成的,使得不可能访问硬盘上的文件。Petya 勒索软件通过包含受感染的 Dropbox 链接的虚假申请传播到公司人力资源部门。

Petya 的另一个变种是 Petya 2.0,在一些主要方面不同。不过,就攻击的执行方式而言,两者对于设备同等致命。

GoldenEye

Petya 作为 GoldenEye 复活在2017年造成了一场全球勒索软件感染。GoldenEye 被称为 WannaCry 的“致命兄弟”,袭击了2,000多个目标 – 包括俄罗斯的石油大生产商和多家银行。在让人震惊的形势变化中,GoldenEye 在切尔诺贝利核电站的人员被锁在 Windows 计算机外后,强迫他们手动检查那里的辐射水平。

GandCrab

GandCrab 是款重口味的勒索软件,威胁揭露受害人的色情习惯。它声称侵入受害人的摄像头并索取赎金。如果未支付赎金,受害人的尴尬镜头将被公之于众。2018年首次出现后,GandCrab 勒索软件不断开发各种版本。作为“再无赎金”倡议,安全提供商和警方开发了一款勒索软件解密工具,帮助受害人从 GandCrab 那里恢复敏感数据。

B0r0nt0k

B0r0nt0k 是一款加密勒索软件,专门聚焦 Windows 和 Linux 服务器。这款有害勒索软件会加密 Linux 服务器文件 并附上 ".rontok" 文件扩展名。这款恶意软件不仅会对文件构成威胁,而且会更改启动设置,禁用功能和应用程序,并添加注册表项、文件和程序。

Dharma Brrr 勒索软件

Brrr 是新的 Dharma 勒索软件,由侵入连接到互联网的桌面服务的黑客手动安装。勒索软件一旦由黑客启动,就开始加密找到的文件。加密数据被给与文件扩展名".id-[id].[email].brrr"。

公平勒索软件(FAIR RANSOMWARE)勒索软件

FAIR RANSOMWARE 勒索软件的目的是加密数据。它使用强大的算法,受害者的所有私人文档和文件被加密。用该恶意软件加密的文件会被添加上扩展名 ".FAIR RANSOMWARE"。

MADO 勒索软件

MADO 勒索软件是另一种加密勒索软件。被该勒索软件加密的数据会被给与扩展名 ".mado",从而再也无法打开。

勒索软件攻击

如前所述,勒索软件会在各行各业寻找目标。通常赎金100200美元之间。但是,有的攻击要求的多得多,特别是如果攻击者知道被阻止的数据对于受到攻击的公司来说代表着巨大的财务损失。网络犯罪分子因此可以使用这些方法赚取巨额不义之财。在下面的两个例子中,网络攻击受害者比使用的勒索软件类型更显著。

WordPress 勒索软件

WordPress 勒索软件如名所述,目标是 WordPress 网站文件。受害者被勒索赎金,这对勒索软件来说很典型。WordPress 网站越热门越有可能被网络犯罪分子使用勒索软件攻击

狼獾案例

狼獾解决方案集团(一家医疗保健供应商)是2018年9月一次勒索软件攻击的受害者。恶意软件加密了大量公司文件,使得许多员工无法打开它们。幸运的是,取证专家在10月3日解密和恢复了数据。不过,许多病人的数据在攻击中被泄露。名字、地址、医疗数据和其它个人信息可能已经落入网络犯罪分子之手。

勒索软件即服务

勒索软件即服务给了技术能力差的网络犯罪分子执行勒索软件攻击的机会。恶意软件被提供给买家,意味着软件程序员可以用较低风险获取较高收益。

结论

勒索软件外表不同,形态各异。攻击媒介对于使用的勒索软件类型来说是个重要因素。为了估算攻击规模和程度,需要始终考虑风险内容或者什么数据可能被删除或者公布。无论何种勒索软件,提前备份数据和适当处理安全软件可以大幅降低攻击密度

识别勒索软件 — 加密木马如何不同

卡巴斯基可以帮助您识别和区分 Bad Rabbit、CryptoLocker、GandCrab 以及众多其它勒索软件。
Kaspersky Logo