2019年全球十大流行勒索病毒

2019年应该是勒索病毒针对企业冲击爆发的一年，这一年全球各地仿佛都在被“勒索”，天天全球各地都有分歧的当局、企业、组织机构被勒索病毒冲击的新闻被曝光，勒索病毒已经成为了收集平安最大的威胁，行使勒索病毒进行冲击的收集犯罪运动也是全球风险最大的收集犯罪组织运动，勒索病毒成为了地下黑客论坛最风行、商议最热点的恶意软件，下面我们来清点一下2019年全球十大风行勒索病毒家眷。

一、STOP勒索病毒

STOP勒索病毒最早显现在2018年2月份摆布，从2018年8月份起头在全球局限内活跃，首要经由绑缚另外破解软件、告白类软件包等渠道进行传染流传，比来一两年STOP勒索病毒绑缚过KMS激活对象进行流传，甚至还绑缚过其他防毒软件，到今朝为止，此勒索病毒一共有160多个变种，固然此前Emsisoft公司已经发布过它的解密对象，能够解密140多个变种，但最新的一批STOP勒索病毒仍然无法解密，此勒索病毒加密后的文件，如下所示： [原文来自：www.ii77.com]

勒索提醒信息，如下所示：

二、GandCrab勒索病毒

GandCrab勒索病毒于2018年1月首次被视察到传染了韩国公司，随后GandCrab在全球敏捷扩大，包罗2018岁首的美国受害者，至少8个要害根蒂举措部门受到此勒索病毒的影响，GandCrab也敏捷成为最风行的勒索病毒，估量到2018年中期该勒索病毒已经占有勒索软件市场份额的50％，专家估量GandCrab在全球局限内传染了跨越500,000名受害者，造成跨越3亿美元的损失，GandCrab使用勒索软件即办事（RaaS）贸易模式运营，经由将恶意软件分发给购置勒索病毒办事的合作伙伴，以换取40％的赎金，从2018年1月到2019年6月，此勒索病毒多现了多个分歧的变种版本，2019年1月，此勒索病毒GandCrab5.1变种版本起头在全球风行，直到2019年6月1日，GandCrab勒索病毒运营团队公布封闭他们的网站，并声称他们已经赚了20亿美元赎金,两周之后，Bitdefender与欧州刑警组织、联帮查询局、浩瀚法律部门以及NoMoreRansom机构合作，发布了GandCrab勒索病毒的解密对象，能够适用于GandCrab1.0、4.0、5、5.2等版本，此勒索病毒的故事就此竣事，加密后的文件，如下所示：

勒索提醒信息，如下所示：

比来半年的确没有发现这款勒索病毒的最新变种了，取而代之的是另一款新型的勒索病毒REvil/Sodinokibi，并且这款勒索病毒全版本的解密对象也已经发布了

三、REvil/Sodinokibi勒索病毒

Sodinokibi勒索病毒(也称REvil)，2019年5月24日首次在意大利被发现，在意大利被发现使用RDP冲击的体式进行流传传染，这款病毒被称为GandCrab勒索病毒的交班人，在短短几个月的时间内，已经在全球大局限流传，这款勒索病毒与GandCrab勒索软件存在好多关系，国外平安研究人员此前已发布了多篇关于这两款勒索病毒关系信息的相关的报道，Sodinokibi勒索病毒也是一种勒索即办事(RAAS)的模式进行分发和..的，并采用了一些免杀手艺避免平安软件检测到，首要经由Oracle WebLogic破绽、Flash UAF破绽、收集垂纶邮件、RDP端口、破绽行使对象包以及冲击一些托管办事供应商MSP等体式提议冲击，此勒索病毒加密后的文件，如下所示：

勒索提醒信息，如下所示：

四、Globelmposter勒索病毒

Globelmposter勒索病毒首次显现是在2017年5月份，首要经由垂纶邮件进行流传，2018年2月国内各大病院爆发Globelmposter变种样本2.0版本，经由溯源剖析发现此勒索病毒或者是经由RDP爆破、社会工程等体式进行流传，此勒索病毒采用RSA2048加密算法，导致加密后的文件无法解密，在随后的一年多的时间里，这款勒索病毒络续变种，2018年8月份显现了此勒索病毒的“十二生肖”版，2019年7月显现了此勒索病毒的“十二主神”版，两大版相差正好一年的时间，“十二主神”版后背又显现了一些小的版本转变，首要是加密后的文件后缀显现了一些微小的转变，此勒索病毒加密后的文件，如下所示：

勒索提醒信息，如下所示：

五、CrySiS/Dharma勒索病毒

CrySiS勒索病毒，又称Dharma，首次显现是在2016年，2017年5月此勒索病毒全能密钥被发布之后，之前的样本能够解密，导致此勒索病毒曾消散了一段时间，不外随后又立时显现了它的一款最新的变种样本，加密后缀为java，经由RDP暴力破解的体式进入受害者办事器进行加密勒索，此勒索病毒加密算法采用AES+RSA体式进行加密，导致加密后的文件无法解密，在比来一年的时间里，这款勒索病毒非常活跃，变种已经达到一百多个，此勒索病毒加密后的文件，如下所示：

勒索提醒信息，如下所示：

六、Phobos勒索病毒

Phobos勒索病毒在2019年非常活跃，此勒索病毒首次显现是在2018年12月，国外平安研究人员其时发现了一种新型勒索病毒，加密后的文件后缀名为Phobos，这款新型的勒索病毒与CrySiS(Dharma)勒索病毒有好多相似之处，同样使用RDP暴力破解的体式进流传，两者使用了非常相似的勒索提醒信息，所以很轻易搞搅浑，想要确认是哪个家眷的勒索病毒，最好的体式就是捕捉到响应的样本，然后经由人工剖析进行确认，纯真的经由勒索提醒信息，很难判袂，两款勒索病毒背后是否是沟通的黑客团伙在运营，需要捕捉到更多的证据，此勒索病毒加密后的文件，如下所示：

勒索提醒信息，如下所示：

七、Ryuk勒索病毒

Ryuk勒索病毒最早于2018年8月被首次发现，它是由俄罗斯黑客团伙GrimSpider幕后把持运营，GrimSpider是一个收集犯罪集体，使用Ryuk勒索软件对大型企业及组织进行针对性冲击，C.R.A.M. TG Soft(反恶意软件研究中心)发现Ryuk勒索软件首要是经由收集冲击手段行使其他恶意软件如Emotet或TrickBot等银行木马进行流传，Emotet和TrickBot银行木马首要用于窃取受害者银行网站登录凭证，同时充任下载器功能，供应下载另外勒索病毒办事，为啥Emotet和TrickBot银行木马会流传Ryuk勒索病毒，因为TrickBot银行木马流传渠道的运营者是俄罗斯黑客团伙WIZARD SPIDER，GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部门之一，此勒索病毒加密后的文件，如下所示：

勒索提醒信息，如下所示：

八、Maze(迷宫)勒索病毒

Maze（迷宫）勒索病毒，又称Chacha勒索病毒，最早于2019年5月份由Malwarebytes平安研究员首次发现，此勒索病毒首要使用各类破绽行使对象包Fallout、Spelevo，伪装成正当加密泉币交流应用法式的冒充站点或挂马网站等体式进行分发流传，比来的一段时间里，Proofpoint的平安研究人员发现一个新型的黑客组织TA2101，经由垃圾邮件的体式对德国、意大利、美国提议收集冲击，流传Maze(迷宫)勒索病毒，此勒索病毒加密后的文件，如下所示：

勒索提醒信息，如下所示：

九、Buran勒索病毒

Buran勒索病毒首次显现在2019年5月，是一款新型的基于RaaS模式进行流传的新型勒索病毒，在一个有名的俄罗斯论坛中进行发卖，与其他基于RaaS勒索病毒(如GandCrab)获得30%-40%的收入分歧，Buran勒索病毒的作者仅占传染发生的25%的收入,平安研究人员认为Buran是Jumper勒索病毒的变种样本，同时VegaLocker勒索病毒是该家眷最初的发源，因为其丰厚的利润，使其敏捷起头在全球局限内流传传染，Buran勒索病毒此前使用RIG Exploit Kit破绽行使对象包进行流传，其行使了Internet Explorer的一个对照严重的破绽CVE-2018-8174，近期发现此勒索病毒行使IQY(Microsoft Excel Web查询文件)进行流传，此勒索病毒加密后的文件，如下所示：

勒索病毒信息，如下所示：

十、MegaCortex勒索病毒

MegeCortex勒索病毒最早于2019年1月份被人在VT上发现，其时有人在VT上传了一个恶意样本，英国收集平安公司Sophos在5月份发布了一个关于MegaCortex勒索病毒的相关剖析申报，笔者此前在剖析的时候发现此勒索病毒早期的版本与客岁非常风行的SamSam勒索病毒有一些雷同，都使用了BAT剧本，同时都使用了暗码参数，两款勒索病毒的负载加载的手法雷同，不外临时还没有更多的证据，证实两款勒索病毒存在关系，MegaCortex勒索病毒从1月份被人上传到VT之后，收集平安公司Sophos监控到此勒索病毒的数量一向在增加，并对此勒索病毒进行了具体的剖析报道，该勒索病毒曾经对欧州和北美多个行业提议过勒索冲击，并要求支出高额的赎金，美国、加拿大、荷兰、爱尔兰、意大利和法国等国度的一些企业收集都曾受到此勒索病毒的冲击，2019年8月，发现MegaCortex勒索病毒V2.0版本，从新设计了负载的运行过程，它会主动执行不需要安装暗码的要求，作者将暗码硬编码在了二进制文件中，同时作者还到场一些反剖析，以及阻止和杀死各类平安产物和办事的功能，此过程在之前的版本中是经由在在每个受害者主机上手动执行相关的批处理剧本来完成的，最新的版本不需要手动执行，都封装在了二进制法式中，此勒索病毒加密后的文件，如下所示：

勒索提醒信息，如下所示：

全球这些主流的勒索病毒笔者都曾具体跟踪并研究过，相关的申报能够查察之前的文章，2019年下半年又显现了一些新型的勒索病毒，譬喻NEMTY勒索病毒、EvaRichter(GermanWiper)勒索病毒等，这几款新型的勒索病毒首要在国外对照风行，今朝发现的大部门风行的勒索病毒临时无法解密，重点在防御，针对勒索病毒的一样提防办法，笔者总结了以下几条建议，仅供参考：

1、实时给电脑打补丁，修复破绽

2、郑重打开来历不明的邮件，点击个中链接或下载附件，防止收集挂马和邮件附件冲击

3、尽量不要点击office宏运行提醒，避免来自office组件的病毒传染

4、需要的软件从正规（官网）途径下载，不要用双击体式打开.js、.vbs、.bat等后缀名的剧本文件

5、升级防病毒软件到最新的防病毒库，阻止已知病毒样本的冲击

6、开启Windows Update主动更新设置，按期对系统进行升级

7、养成精巧的备份习惯，对主要的数据文件按期进行非内陆备份，实时使用网盘或移动硬盘备份小我主要文件

8、更改账户暗码，设置强暗码，避免使用统一的暗码，因为统一的暗码会导致一台被攻破，多台遭殃，黑客会经由沟通的弱暗码冲击另外主机

9、若是买卖上无需使用RDP的，建议封闭RDP，以防被黑客RDP爆破冲击

经由笔者一向跟踪与剖析，展望勒索病毒冲击在来岁或者会越来越多，并且使用的冲击手法会越来越复杂，冲击也会越来越具有针对性和目的性，不清扫将来会有更多的新型黑客组织到场进来，经由勒索病毒敏捷获利，各企业要做好响应的提防办法，提高自身员工的平安意识，以防中招

*本文作者：熊猫正正，转载请注明来自FreeBuf.COM

出色介绍