在最近几年间,说起令人厌烦的软件攻击类型,勒索软件已经成为不容忽视的一种存在了。
所谓勒索软件其实就是一种恶意软件,可以感染设备、网络与数据中心并使其瘫痪,直至用户或机构支付赎金使系统解锁。勒索软件至少从1989年起就已经存在,当时的“PC Cyborg”木马对硬盘上的文件名进行加密并要求用户支付189美元才能解锁。
到了00年代中期,勒索软件已经逐渐发展成为最普遍的一种网络威胁形式。其中Archievus成为第一个使用RSA加密技术的勒索软件,它会对系统中“我的文档”目录中所有内容进行加密,并要求用户从特定网站来购买以获取密码解密文件。此外,Archiveus也是第一个使用非对称加密的勒索软件变体。
在10年代初期,一系列“警察”(police)勒索软件包开始涌现。之所以称为“警察”勒索软件是因为其开发者伪装成警察等执法人员对非法活动发出警告,并要求受害者支付“罚款”。此外,他们还开始使用新一代匿名支付方式,以便在收取赎金后逃避追踪。
这些年来,勒索软件已经从一种“麻烦”逐渐发展成为间谍机构和国际阴谋交织融合的重大危机。下面概括的过去5年最严重的5起勒索软件攻击向我们讲述了勒索软件的发展故事:
1. Cryptolocker
2013年9月是勒索软件历史的关键时刻,因为CryptoLocker诞生了,它打开了进入真正的勒索软件时代的大门。CryptoLocker是第一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式的加密恶意软件。Avast策略总监Jonathan Penn指出,在2013年底和2014年初,CryptoLocker成功感染了超过50万台机器。
CryptoLocker利用AES-256lai加密特定扩展名的文件,然后使用命令控制服务器生成的2048位RSA密钥来加密AES-256位密钥。C2服务器位于Tor网络,这让解密很困难,因为攻击者将RSA公钥放在其C2服务器。攻击者威胁称如果在三天内没有收到钱他们将删除私钥。
最终,在2014年,由白帽子黑客发起的一场名为“Operation Tovar”的活动中成功终止了CryptoLocker的活动,在此过程中,他们发现了CryptoLocker用于加密文件的私钥。但是正如Penn所说,CryptoLocker已经为许多其他变体的文件加密勒索软件打开了“闸门”,其中一些源自Crypto Locker的代码,还有一些被赋予了CryptoLocker的名称或一个接近的变体。这些变体总共吸取了约300万美元的赎金。其中一个是“CryptoWall”家族,该软件到2015年的感染数占据了所有勒索软件感染的一半以上。
2. TeslaCrypt
TeslaCrypt勒索软件是Cryptolocker的变种,于2015年2月首次被发现,该木马病毒通过对特定游戏玩家群的文件进行加密,进而病毒感染受害人的PC电脑。一旦加密成功后,即会向受害人索要约500美元的赎金以恢复文件。
该恶意程序感染的游戏平台包括《我的世界》(MineCraft)、《魔兽世界》(World of Warcraft)、《星际争霸》(StarCraft)、《坦克世界》(World of Tanks)、《龙腾世纪》(Dragon Age)、《RPG制作大师》(RPG Maker)及Steam等超过20款游戏,并通过来自网站的偷渡式下载攻击在用户不知情的状况下导向至使用钓鱼攻击工具制成的Flash视频上。到2016年,TeslaCrypt感染量占据了所有勒索软件攻击的48%。
TeslaCrypt最为惊人的是其开发者对其进行的不断完善过程,第一个版本采用了相对薄弱的加密算法,能够轻易地攻破。该木马病毒还将解密密钥存放在受害人硬盘中一个单独文件内,因此受害人不费吹灰之力就能找到。最后,来自BleepingComputer论坛的用户们编写出了TeslaDecoder软件,可帮助受害人解密文件,因此无需支付任何赎金就能恢复。
之后,网络犯罪分子开始在原有基础上不断进行扩展完善,并由此推出TeslaCrypt 2.0、TeslaCrypt3.0以及TeslaCrypt4.0。由于这些版本进行了改进,所以在没有创建者帮助的情况下基本上不可能恢复。
但是令人震惊的是,就在2016年5月事情出现了戏剧性的转机,该恶意勒索软件的作者团队突然良心发现,宣布将中止开发该恶意软件,并在网页向诸位道歉并公布了主解密密钥。
3. SimpleLocker
随着越来越多有价值的文件开始迁移至移动设备中,勒索软件攻击者也开始调转枪头,瞄准移动设备。Android就不幸沦为首选平台,2015年底和2016年初,Android勒索软件感染量激增了近4倍。但是许多是所谓的“阻止”(blocker)攻击,只是通过阻止用户访问UI的一部分访问文件,而到了2015年底,一款名为“SimpleLocker”的勒索软件开始传播,它能够加密Android与Linux系统中的文件,在没有攻击者的帮助下,任何人将无法访问这些文件。
SimpleLocker同时也是第一个已知的通过木马下载器传播其恶意有效载荷的勒索软件,这使得安全措施很难对其发挥效用。虽然SimpleLocker出现在东欧,但是3/4的受害者却在美国,这一现象正是攻击者逐利的产物。
好消息是,虽然在SimpleLocker时期,Android恶意软件的感染率大幅上升,但是总体来看,这一数字仍然相对较低——截止2016年底,约有15万人感染恶意软件,这一数字只占Android用户的一小部分。而且大多数用户感染的原因是其试图从非官方Google Play商店下载色情或其他应用程序所致。Google向用户表示,正规途径下载的正规应用很难感染到恶意软件,但不可否认,它仍是一项潜在威胁。
4. WannaCry
CryptoLocker的出现标志着勒索软件已经不再仅仅是一件“麻烦事”这么简单。而到了2017年年中,两个主要的勒索软件攻击正将战火蔓延至全球,攻击击垮了乌克兰的医院以及加利福尼亚的广播电台等机构,勒索软件正在向我们展示其不可忽视的危害性、破坏性。
这两个主要的勒索软件攻击其中一个就是“WannaCry”。用Avast公司安全专家Penn的话说,“它很可能成为有史以来最糟糕的勒索软件攻击。5月12日,勒索软件开始从欧洲蔓延,16天后,Avast在116个国家检测到超过25万感染案例。”
但是WannaCry的真正重要性已经超出了数字能够表达的范畴:ReliaQuest 首席技术官Joe Partlow指出,这是“恶意利用NSA泄漏的黑客工具造成的第一波攻击”——在这一事件中,WannaCry 勒索软件利用NSA泄漏的“EternalBlue”漏洞进行传播,而EternalBlue则利用了微软MS17-010对应的SMB协议远程代码执行漏洞,受影响的操作系统包括:Windows 2000、Windows 2003、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10、Windows 2008以及Windows 2012。虽然微软已经发布了一个修补程序,但许多用户并没有安装。
DomainTools高级网络安全威胁研究员Kyle Wilhoit指出,
这些操作系统只要打开了445端口,并且未安装MS17-010补丁,均会受到病毒感染。
5. NotPetya
6 月 27 日,全球再次陷入勒索软件的梦魇,这次的规模看起来与不久前席卷全球的WannaCry勒索软件不相上下。
安全研究人员认为这次的勒索软件与2016年出现的 Petya 相似,但是“脱胎换骨”。他说,
Petya 与 WannaCry 都利用 NSA 外泄兵器库中的‘永恒之蓝’。而 Petya 不仅利用了 Windows SMB 存在的漏洞进行内网传播,还利用 Office RTF 漏洞进行钓鱼攻击。
研究人员将其称之为“NotPetya”。NotPetya滥用了一个能够远程控制其他系统的工具 PsExec,可以在其他电脑上远程执行恶意代码进行感染。如果一台受感染计算机拥有网络的管理员权限,那么这个网络中的所有电脑都会被感染。
这样的“混搭组合拳”帮助 NotPetya 实现爆发与快速传播,即使前有 WannaCry 的存在——不少设备已经进行了补丁——仍然于事无补。研究人员表示,
这次,内网中只要有一台未补丁的电脑,勒索软件就可能获得管理员权限并感染其他电脑。
因此,受到 WannaCry 影响的可能仅限于部分“过时”系统,但是 NotPetya 可以感染包括 Windows 10 在内、打过补丁的设备。
据悉,勒索软件NotPetya已经感染了全球超过 2000 家机构,包括丹麦公司 Maersk、英国广告公司 WPP、俄罗斯石油公司 Rosneft、美国医药公司 Merck 以及乌克兰的国家银行及电力公司等。
由于此次乌克兰是重灾区,也有大量猜测认为,NotPetya根本就不是勒索软件,而是俄罗斯针对乌克兰实施网络攻击的伪装。
但是不用担心,现在,NotPetya 的“免疫方式”已经被发现,只要在C:Windows 文件夹下建立名为 perfc 的文件,并设置为“只读”就可以避免感染。
总结
勒索软件的技术含量虽然不高,却可以对用户的数据安全造成严重危害,其威胁不可小觑。Wombat安全顾问Alan Levine表示,
大多数勒索软件攻击都是通过一个简单的钓鱼邮件开始的,这种方式非常普遍而广泛。所以面对勒索软件攻击,单纯的技术或程序上的防御还是远远不够的,我们每个人都应该了解这种潜在威胁,因为每个人的选择都至关重要。
毫无疑问,在巨额非法收入的诱惑下,越来越多的恶意软件开发者将加入勒索软件的开发的大军中,借助比特币等难于追踪的支付方式的保护,勒索软件开发者也会越来越有恃无恐。
所以面对勒索软件攻击,每个人都应该掌握一些基础的防范措施,对于一般的感染式病毒或木马,即使在遭受安全威胁之后再安装反病毒软件,依然可以亡羊补牢,让系统重新处于安全状态。而对于绑架用户数据的勒索软件而言,没有可靠的事前防御和检测能力,面对已经被勒索软件加密的用户数据,只有安装侧重于保护数据安全的工具或部署针对企业安全特点的安全产品,才能尽量避免给勒索软件以可乘之机。