近期,Linux服务器管理员们报告了多次攻击,这些攻击导致服务器的web文件夹消失、网站无限期关闭。在BleepingComputer网站的论坛上,众多帖子证实了大量这样的攻击。
据一个受害者说,此类攻击最可能是SSH暴力攻击造成的入侵。在每一次这样的攻击中,攻击者都会删除web文件夹并留下一个read_me文件,里面的链接指向一个贴有勒索信的Pastebin网站页面。攻击者在勒索信中索取2个比特币来交换文件。
什么是勒索软件
勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。
绝大多数情况下,此类攻击会从某个端点入手,其中46%的攻击通过发送一封电子邮件实现。很多攻击的规模并不大:60%的攻击索要1,000美元(750欧元),超过20%索要10,000美元(7,500欧元)或更多,而1%则虎口大开,要求150,000美元(113,000欧元)。
勒索软件并不新鲜,已经以各种形态存在了近20年,它可以分为两种性质的勒索:
1、不让你访问:基于locker的勒索软件。顾名思义,这种勒索软件会阻止受害者访问目标文件。
2、加密后删除:基于加密的勒索软件,他们给受害者的重要文件加密使得受害者不得不交出赎金才能访问文件。
Fairware勒索软件
攻击者们说,他们使用名为Fairware的恶意软件(他们称为勒索软件)感染Linux服务器。这令人们对这些攻击感到困惑和焦虑。
然而,据BleepingComputer的Lawrence Abrams所说,很多描述并不一定准确反映事实。
Abrams说:“如果攻击者上传了一个程序或脚本来执行‘攻击’,它可以被称为勒索软件。不幸的是,这次我们获得的信息有限。所有的报告都表明服务器受到了黑客攻击。但我还没能验证这些报告。”
勒索信给了受害者一个比特币地址和两周时间用来支付赎金,并威胁如果拿不到赎金就将文件泄露出去。
勒索信说:“你的服务器被黑时,文件就被加密并发送到我们控制的服务器。这世上只有我们能把这些文件还给你。”
勒索信中还提供一个电邮地址用于“技术支持”,但要求受害者不得向攻击者索取拥有丢失文件的证明。
Abrams说:“我不确定他们这次怎么处理这些文件。既然他们删除了这些文件,如果他们想保存的话,相对于加密和记录单独秘钥的麻烦,将文件存档并上传服务器更有意义。”
传统勒索软件会利用机器上的漏洞,或者诱骗受害者执行恶意文件。与之相比,这批攻击并未被发现有这些蛛丝马迹。
一个受害者在BleepingComputer发帖说,Linux服务器上的大多数文件(包括数据库文件)都完好无损,而那个read_me文件被放在根文件夹下。对勒索软件攻击者来说,删除文件、拒绝证实文件在手上都是不寻常的举动。
Abrams说:“这当然可能是个骗局。但是对于攻击者来说,这是一个很糟糕的决策。如果勒索软件攻击者在收到赎金后没能交还文件,消息一旦传播出去,就不会再有人支付赎金了。”
不管怎么说,一旦遭遇传说中的勒索软件攻击并被威胁将失窃数据公布在网上,受害者就会紧张并倾向于支付赎金。Fairware不是第一个威胁公布失窃数据的勒索软件。去年11月,Chimera勒索软件也曾威胁将加密过的数据公布在网上。不过,Chimera只被用来攻击德国公司。它确实是加密型的勒索软件,并像其他勒索软件族一样,加密保存在本地和网络共享硬盘上的数据。
Abrams说:“勒索软件的受害者应该避免支付赎金。但是,如果受害者仍然打算支付的话,建议先确定文件确实在勒索者手上。”
Fairware勒索软件简要分析
以下信息由绿盟威胁情报中心提供数据支持。信息显示该平台在2015年12月8日截获了Fairware勒索软件样本。
该样本关联地址为:http://pastebin.com/raw.php?i=wFVN9N9x
该站点使用的IP地址跟踪记录还包括
2015-10-28 00:00:00 104.20.63.56
2015-10-28 00:00:00 104.20.64.56
2015-10-27 00:00:00 104.20.79.19
2015-10-27 00:00:00 104.20.80.19
2015-04-17 00:00:00 190.93.250.33
2015-04-17 00:00:00 190.93.251.33
2015-03-08 00:00:00 190.93.248.10
2015-03-08 00:00:00 190.93.249.10
2015-02-21 00:00:00 190.93.254.69
2015-02-21 00:00:00 190.93.255.69
2015-02-10 00:00:00 190.93.254.68
2015-02-10 00:00:00 190.93.255.68
2015-01-14 00:00:00 190.93.254.110
2015-01-14 00:00:00 190.93.255.110
2014-02-02 00:00:00 190.93.250.20
2014-02-02 00:00:00 190.93.251.20
2014-01-24 00:00:00 190.93.253.28
2014-01-24 00:00:00 208.100.11.126
2014-01-23 00:00:00 190.93.252.28
2013-11-19 00:00:00 190.93.240.15
如何应对Fairware勒索软件
从2014年到2015年,勒索软件的增长可以说是爆发式的,这一年中勒索软件数量相对于2014年整整翻了5倍,且支付金额也在快速增加。卡巴斯基实验室有报告称
自2014年4月到2015年3月,全球范围内受到勒索软件敲诈的用户数量一年之内上涨了17.7%(从1,967,784 例上升到 2,315,931例)
遭遇勒索软件一次以上的用户数量上升0.7个百分点。2014年-2015年遭遇多次勒索软件攻击的用户占总受害者人数的3.63%,2015-2016占4.34%。
在这些受害者中,遭到加密型勒索软件的用户比例爆发式增长,达到25个百分点,从2014年的6.6%到2015年的31.6%。数量整整增加了5.5倍,从2014年的 131,111 例增加到2015年的718,536例。
遭到Win-locker型勒索软件敲诈的用户数量下降13.03%,从2014年的1,836,673例下降到2015年的1,597,395例。
政府与安全公司合作
这一形式被描述为为公、私部门的合作。这种方式越来越被视为打击网络犯罪最有效的途径。荷兰国家警察全国刑事调查处处长,威尔伯特.保利森(Wilbert Paulissen),解释说:“这是警察、司法部、欧洲刑警组织、信息通信公司共同的责任,需要共同的努力。”“这就是为什么我很高兴看到警察与因特尔安全和卡巴斯基实验室合作。我们将一起尽力去破坏犯罪分子的牟利计划,并将文件交还给正确的人,使失主不用支付大笔赎金就可以得回文件。”
荷兰警察在主动打击网络犯罪方面颇有声誉。2010年,通过与FoxIT和ISP LeaseWeb合作,荷兰警察接管了Bredolab病毒的服务器,并控制这些服务器下载警方告警信息并发送给受感染用户。
因特尔安全在欧洲、中东和非洲的首席技术官,拉吉.萨米尼(Raj Samani),评论说:“这次合作跨越了情报分享、消费者教育和捣毁行动,实际上帮助修复了施加给受害者的伤害。通过恢复用户对其系统的访问,我们使用户能够挺直腰杆,让他们看到可以采取行动,避免支付赎金去奖赏犯罪分子。”
备份、备份、再备份
从信息的机密性、可用性、完整性来看,不需要的,出于隐私考虑可能需要清除,需要的,那我们要找到一种方法对其进行存放,保证其能够存在足够长的时间,并且还不被破坏。但是实际生活中,大部分人其实并不能保证这三性,简单来讲,无非几点原因:
- 无所谓,不重视;
- 想做,但是执行起来有难度;
- 做了,不够全面;
针对这些问题笔者针对性提出几种方法:
- 对于不重视的这类人,请大家想想,通讯录、照片之类的,一旦丢失将会带来很多麻烦;
- 对于知道要在某些方面注意,但是实际执行起来却找不到对应的方法的人,因为对一些知识的匮乏而导致无从下手,这就需要一个长期的学习进步过程;
- 对于第三种能做,但是做的不够好,总是会落下一些关键问题,这也是需要学习提高而养成习惯的长期过程;
对于以上三种原因,我们可以采用最简单粗暴的方式:
备份、备份、备份,达到一最小的难度,最大程度对数据进行保护。
Fairware勒索软件频繁攻击Linux服务器 大家赶紧做好备份的相关文章请参看
