本月,美创安全实验室威胁平台监测到多起勒索病毒攻击事件,发现勒索病毒的感染量比7月有所增长,其中TellYouThePass勒索病毒在近期异常活跃,国内大量企业反馈其计算机文件被添加了locked后缀,造成了不可估量的损失。
从行业划分来看,8月份国内受勒索病毒影响的行业排名前三的是传统行业、医疗行业、教育行业。其中,部分传统行业的企业由于大量设备疏于安全加固与漏洞修复,受勒索病毒感染严重。
下图是美创安全实验室对勒索病毒监测后所计算出的8月份勒索病毒家族流行度占比分布图。TellYouThePass勒索家族出现新的变种且异常活跃,占比31%居首位,其次是占比14%的Phobos家族,Lockbit家族以9%位居第三。
勒索病毒传播方式
下图为勒索病毒传播的各种方式的占比情况。根据统计可以看出,可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。
Phobos勒索软件从2019年开始在全球流行,并一直保持着很高的活跃度,并常年占据勒索病毒榜单前三,其不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。
Lockbit勒索病毒出现于2019年末,并于2021年6月推出了Lockbit 2.0版本。2.0版本引入了卷影复制和日志文件删除等新功能,使受害者更难恢复。2022年6月,LockBit勒索病毒家族再次完成升级,并于2022年7月推出LockBit3.0正式版本。最新版的病毒主要在免杀方式又做了更进一步的加强,持续优化了安全软件的对抗能力。
在线点评:
1.LockBit勒索软件团伙自 2019 年 9 月推出勒索软件即服务 (RaaS) 模式以来一直十分活跃,并在各大俄语黑客论坛招募威胁行为者进行破坏和攻击,并为他们提供技术支持。
位于辽宁的某企业称其在8月遭到Phobos勒索病毒攻击。经过排查,被感染的机器中的所有文件都被添加了“.eking”后缀,并且已无法正常打开,通过后缀可确定该病毒为Phobos勒索病毒。该企业在发现攻击后,立刻采取相关措施防止进一步扩散,已采取措施包括:关闭公司局域网以及将中毒电脑全部关机并集中收治。
在线点评:
1.Phobos勒索病毒在运行过程中会进行自复制,并在注册表添加自启动项,如果没有清除系统中残留的病毒体,很可能会遭遇二次加密。
2.Phobos勒索病毒还会持续感染被新放入中毒机器的文件,故如果不幸感染了该病毒,请勿随意使用存储介质插入中毒机器中,否则存储介质的文件将不可幸免地被加密。
山东某企业遭TellYouThePass勒索家族攻击,该企业内部人员透露:8月末,其部分服务器和员工电脑被攻击后中毒,中毒计算机的文件全部被锁定为“.locked”后缀结尾,并在文件夹自动生成“READ_ME.html”文件。从病毒袭击者发来的勒索信来看,需要支付0.2个比特币。根据此次的加密后缀,初步判断为TellYouThePass勒索病毒最新变种。
在线点评:
勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。
(一)隔离中招主机
(二)排查业务系统
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
(三)联系专业人员
面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
⑨ 部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。
为了更好地应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。
无诺亚防勒索防护的情况下:
在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加统一的异常后缀,并且无法正常打开。
开启诺亚防勒索的情况下:
双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。
开启堡垒模式的情况下:
为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
