2020上半年十大典型勒索软件大盘点

admin管理员组

文章数量:1552449

天地和兴工业网络安全研究院对所监测到的众多勒索软件攻击事件进行梳理，注意到勒索攻击的目标正向石油、天燃气、能源、制造等关键基础设施行业发展。本文筛选10个典型的、比较活跃的勒索软件，通过简要分析其攻击的目标、路径、手段及主要特征，以此警示关键信息基础设施利益相关方，警钟常鸣，防患未然。

1、勒索软件Maze

Maze勒索软件是ChaCha的一个变种，最早出现于2019年5月。该病毒声称，解密赎金额度取决于被感染电脑的重要程度，包括个人电脑、办公电脑、服务器，这意味着高价值目标受攻击后解密付出的代价也会相应的更高。

2、勒索软件Ryuk

Ryuk勒索病毒最早于2018年8月被首次发现，它是由俄罗斯黑客团伙GrimSpider幕后操作运营。GrimSpider是一个网络犯罪集团，使用Ryuk勒索软件对大型企业及组织进行针对性攻击。这款勒索病在国外比较流行，主要针对一些大型企业进行定向攻击勒索。Ryuk特别狡诈的一个功能是可以禁用被感染电脑上的Windows系统还原Windows System Restore选项，令受害者更难以在不支付赎金的情况下找回被加密的数据。鉴于攻击者针对的是高价值受害者，赎金目标也转为大型企业。

3、勒索软件Sodinokibi/ REvil

Sodinokibi勒索病毒（也称REvil），2019年5月24日首次在意大利被发现。主要通过Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口、漏洞利用工具包以及攻击一些托管服务提供商MSP等方式发起攻击。不仅告诉人们“不付赎金就拿不回数据”，还会威胁称“将在网上公开或在地下论坛竞拍这些机密数据”。这种新的勒索方式将此商业模式推升到了新的高度。

4、勒索软件DoppelPaymer

DoppelPaymer代表了勒索软件攻击的新趋势—勒索文件加密和数据窃取双管齐下。根据安全研究人员的说法，此类恶意软件首先会窃取数据，然后向受害者发送赎金勒索消息，而不是像传统勒索软件一样就地加密锁死数据。2019年中期以来一直活跃，今年3月美国精密零件制造商Visser遭此勒索软件攻击，意外泄漏特斯拉、波音、SpaceX等公司有关的敏感文件。DoppelPaymer 勒索软件最早于2019年6月被发现，主要通过RDP暴力破解和垃圾邮件进行传播，邮件附件中带有一个自解压文件，运行后释放勒索软件程序并执行。

5、勒索软件NetWalker

NetWalker（又名Mailto）勒索软件最早于2019年8月首次发现，Mailto是基于加密文件名格式的勒索软件的名称，Netwalker是基于勒索软件的勒索信内容给出的名称，目前针对的目标是企业和政府机构，近期开始活跃。Netwalker活动背后的攻击者使用常见的实用程序、开发后工具包和living-off-The-land，LOTL策略来探索一个受到破坏的环境，并尽可能多地获取数据。此勒索病毒成为了无档案病毒（fileless malware），能够保持持续性，并利用系统内的工具来进行攻击而不被侦测到和杀软查杀。

6、勒索软件CLOP

Clop勒索软件于2019年2月出现在公众视野中，Clop背后团队的主要目标是加密企业的文件，收到赎金后再发送解密器。目前Clop仍处于快速发展阶段。该恶意软件暂无有效的解密工具，致受害企业大量数据被加密而损失严重。与其他勒索病毒不同的是，Clop勒索软件部分情况下携带了有效的数字签名，数字签名滥用和冒用在以往情况下多数发生在流氓软件和窃密类木马程序中。勒索软件携带有效签名的情况极为少见，这意味着该软件在部分拦截场景下更容易获取到安全软件的信任，进而感染成功，造成无法逆转的损失。

7、勒索软件EKANS

EKANS勒索软件（也称Snake），于2020年1月首次被发现，是一种新的勒索软件，专门针对工业控制系统。EKANS代码中包含一系列特定用于工业控制系统功能相关的命令与过程，可导致与工业控制操作相关的诸多流程应用程序停滞。EKANS勒索软件是用Golang编写的，将整个网络作为目标，并且存在大量混淆。其中，包含了一种常规混淆，这种混淆在以前并不常见，通常是与目标方法结合使用。

8、勒索软件Nefilim

Nefilim出现于2020年3月，可能是通过公开的RDP（远程桌面服务）进行分发。Nefilim与Nemty共享许多相同的代码，主要的不同之处在于，Nefilim移除了勒索软件即服务（RaaS）的组件，依靠电子邮件进行支付，而不是Tor支付网站。Nefilim使用AES-128加密文件，每个加密的文件都将附加.NEFILIM扩展名，加密完成后，调用cmd命令进行自我删除。释放的勒索信中包含不同的联系电子邮件，并且威胁如果在7天内未支付赎金，将会泄漏数据。

9、勒索软件Ragnar Locker

RagnarLocker勒索软件在2019年12月底首次出现，是一种新的勒索软件，将恶意软件部署为虚拟机（VM），以逃避传统防御。勒索软件的代码较小，在删除其自定义加壳程序后仅有48KB，并且使用高级编程语言（C/C++）进行编码。目标往往是公司，而不是个人用户。该恶意软件的目标是对可以加密的所有文件进行加密，并提出勒索，要求用户支付赎金以进行解密。

10、勒索软件PonyFinal

一种新型的人工勒索软件“PonyFinal”，通过手动启动有效载荷来部署攻击。它对目标公司的系统管理服务器使用“暴力手段”，无需依靠诱骗用户通过网络钓鱼链接或电子邮件来启动有效负载。主要针对在COVID-19危机中的医疗卫生机构。PonyFinal的入侵点通常是公司系统管理服务器上的一个账户，PonyFinal的黑客们使用猜测弱密码的暴力攻击来攻击该帐户。一旦黑客进入内部系统后，他们会部署Visual Basic脚本，该脚本会运行PowerShell反向外壳程序以转储和窃取本地数据。

更多内容请阅读原文。

（美通社,2020年7月10日北京）

消息来源：北京天地和兴科技有限公司

相关新闻

『点击文字阅读全文』

• 2020上半年10大典型工业网络安全事件

编辑：小星

来源：美通社

www.prnasia / www.prnewswire

联系美通社

+86-10-5953 9500

info@prnasia

本文标签： 十大上半年大盘点典型软件