当前位置:文档之家 › 勒索软件的前世今生

勒索软件的前世今生

  • 格式:pptx
  • 大小:30.31 MB
  • 文档页数:49

下载文档原格式

  / 49

合集下载

电脑病毒发展史

电脑病毒发展史

计算机病毒发展史2016-02-14 17:18:01 来源:安全客作者:卡布奇诺甜甜圈阅读:24088次点赞(8)收藏(24)情人节马上就要到来,它带来的不仅仅是色彩亮丽,迷人多情的世界,有时随之而来的还有外界的恶意软件。

在这篇博客中,我们将共同探讨一些多年来具有里程碑式意义的威胁。

1971:Creeper病毒在1949年,数学家约翰·冯·诺依曼在现代计算机出现之前,就形成了自复制自动机的思想。

在1971年,Bob Thomas创造了一个自我复制程序,它可以将代码传递给子代,使诺依曼的设想在某种程度上成为现实。

这个计算机病毒的产生,就是TENEX操作系统的概念的最简单证明。

然而,Creeper病毒的本质是现代恶意软件的昭示,很显然,事实是病毒不仅仅可以自复制,还能从一个系统“跳”到另一个系统,因为它可以在一个系统内卸载,然后再另一个系统内重新安装。

在2015年,FortiGuard Labs预测到“Ghostware”的出现,恶意软件可以自己掩盖其踪迹,然后从系统中获取数据。

.Ghostware在今年已经变得很疯狂。

1988: 莫里斯蠕虫病毒在1988年11月2日,互联网仍然是一个学者和工程师的紧密组织,一切都很学院式。

但是,康奈尔大学的Robert Morris创造了莫里斯蠕虫病毒,这是最早一批的恶意软件。

这个软件的目的只是简单的无限复制,从一个系统到另一个系统,它没有任何恶意目的。

不幸的是,其代码中的一个错误导致了系统崩溃,最终Morris成为了新互联网欺诈和滥用法案定罪的第一人。

虽然现在仍在讨论其影响范围,但由于那个年代的互联网人,几乎都听说过这个病毒,所以我们就认为它影响广泛。

1989: AIDS (PC电子木马)1989年6月的蒙特利尔,第五届国际艾滋病大会的第一天,吸引了超过120 00名代表,在本届大会,除了具有历史意义的蒙特利尔宣言的发表,一个不起眼的生物学家,Joseph Popp发放了超过20000张印有“艾滋病信息——引导磁盘”的软盘,随附的小册子上解释道:如果你在计算机上安装它然后在证书的许可下,你同意向PC电子公司支付租赁这些程序的全部成本。

勒索病毒概述

勒索病毒概述

勒索病毒概述
一、勒索病毒
一种恶意软件,可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁。

通过社工钓鱼邮件进行传播,当用户运行邮件附件后,开始下载病毒病毒自动运行,运行后,病毒会将电脑中的各类文档进行加密,让用户无法打开,并弹窗限时勒索付款提示信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复。

WannaCry勒索病毒弹窗
二、勒索病毒发展史
1、敲诈软件起源较早,最早于1996年。

2、早年间以数据绑架为主,多用自定义加密算法,可技术还原。

2016年开始,大面积感染中国地区;
2017年5月,WannaCry勒索病毒通过MS17-010漏洞在全球范围大爆发,包括中国在内的全球100多个国家和地区遭到大规模网络勒索攻击;
2017年6月,Petya勒索病毒再度肆虐全球,影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等;
2017年10月,新型勒索软件“坏兔子”正在欧洲多国蔓延,已有超过200多个政府机构和私营企业受到影响;
2018年2月,湖南、湖北两家省级医院信息系统遭受黑客攻击,导致系统大面积瘫痪,造成院内诊疗流程无法常运转;
2018年7月,多起国内用户感染“撒旦”勒索病毒,“撒旦”不仅会对感染病毒的电脑下手,同时还会利用多个漏洞继续攻击其他电脑;
……。

什么是勒索软件?它是怎样工作的

什么是勒索软件?它是怎样工作的

什么是勒索软件?它是怎样工作的作者:Josh Fruhlinger 杨勇来源:《计算机世界》2017年第50期勒索软件的时代始于2013年的CryptoLocker。

几年来,攻击者变得越来越老练而且有商业头脑。

本文介绍了一些您目前应该了解的相关内容。

勒索软件是一种恶意软件,一旦您的计算机被它控制,就会危及您的安全,通常会阻止您访问自己的数据。

攻击者要求受害者支付赎金,承诺(不一定是真的)在付款后就可以恢复对数据的访问。

用户能看到怎样支付赎金以获得解密密钥的说明。

这些费用从几百美元到几千美元不等,以比特币的形式支付给网络罪犯份子。

勒索软件是怎样工作的勒索软件有很多手段来访问计算机。

最常见的一种输送系统是网络钓鱼垃圾邮件——发送给受害者的电子邮件中含有附件,被伪装成他们可以信任的文件。

一旦下载和打开,它们就能控制受害者的计算机,特别是如果有内置的社会工程工具,会欺骗用户以管理员的身份进行访问。

还有一些更具攻击性的勒索软件,例如NotPetya,直接利用安全漏洞来感染计算机,并不需要欺骗用户。

一旦恶意软件控制了受害者的计算机,会干很多坏事,但到目前为止,最常见的行为是加密部分或者全部用户文件。

如果您想了解其技术细节,Infosec研究所深入研究了勒索软件加密文件所采用的几种方式,可以供您参考。

但最重要的是,在这个过程的最后,如果得不到只有攻击者才知道的数学密钥,这些文件就无法解密。

用户会看到一条消息,说他们的文件现在无法访问了,受害者只有把不可追踪的比特币支付给攻击者,才能解密文件。

在某些形式的恶意软件中,攻击者会声称自己是执法机构,由于在受害者的计算机中发现了色情或者盗版软件而关闭其计算机,并要求支付“罚款”,这也许是为了让受害者不要向当局报告攻击事件。

但大多数攻击都不太在乎这种伪装。

还有变种,被称为“leakware”或者“doxware”,攻击者威胁要公开受害者硬盘中的敏感数据——除非支付赎金。

恶意软件与计算机病的典型案例分析

恶意软件与计算机病的典型案例分析

恶意软件与计算机病的典型案例分析恶意软件和计算机病是当前互联网环境中普遍存在的问题,给个人和企业的计算机系统带来了巨大的威胁。

本文将通过对两个典型案例的分析,探讨恶意软件和计算机病的特点、传播途径以及防范措施。

案例一:勒索软件 WannaCryWannaCry是一种以勒索为目的的恶意软件,于2017年5月在全球范围内爆发。

该软件通过利用计算机系统中的漏洞进行传播,感染了数十万台个人电脑和企业服务器。

1. 特点:- 加密勒索:WannaCry通过加密受害者的文件和数据,然后勒索比特币作为赎金解密。

这种方式使得用户在无法访问自己的数据情况下被迫付款,威胁且具有经济利益。

- 横向传播:WannaCry利用网络上共享的漏洞传播,在一个网络中感染一台计算机后,它能够自动扫描并感染同一网络中的其他计算机。

2. 传播途径:- 利用NSA泄漏工具:WannaCry利用美国国家安全局(NSA)的漏洞工具“永恒之蓝”,该工具在黑市上流传,成为恶意软件攻击的重要利器。

- 钓鱼邮件和恶意网站:钓鱼邮件和恶意网站被用来欺骗用户点击链接或下载附件,一旦用户点击或下载,WannaCry即可侵入用户的计算机系统。

3. 防范措施:- 及时安装安全补丁:由于WannaCry利用了已知漏洞传播,及时安装操作系统的安全补丁是防止感染的有效措施。

- 不随意点击可疑链接或下载附件:提高警惕,不随意点击来自不明邮件或网站的链接或下载可疑附件,确保自己的计算机系统不会被感染。

案例二:网络蠕虫 ILOVEYOUILOVEYOU是在2000年肆虐全球的一种网络蠕虫病毒,它以电子邮件的形式传播,对全球计算机系统造成了巨大的破坏。

1. 特点:- 社会工程学元素:ILOVEYOU的邮件主题和正文利用了情感诱导和好奇心等人类的弱点,以使人们点击并下载附加的恶意文件。

- 删除、篡改文件:一旦用户打开了ILOVEYOU的附件,病毒会迅速在用户的电脑上复制自己,并删除和篡改用户的文件,造成不可逆的损失。

网络安全攻击事件

网络安全攻击事件

网络安全攻击事件网络安全攻击事件是指针对计算机网络系统的恶意活动,旨在获取、修改、破坏网络资源,或者干扰正常的网络运行。

这些攻击可以对个人、组织和国家造成严重损害,因此保护网络安全至关重要。

以下是一些近年来发生的网络安全攻击事件:1. 辛迪加攻击(Stuxnet Attack):该攻击发生于2010年,针对伊朗核设施。

辛迪加是一种独特的计算机蠕虫,能够操纵工业控制系统,以破坏伊朗的浓缩铀生产。

2. 勒索软件攻击(Ransomware Attack):勒索软件主要通过加密用户计算机中的文件,并要求用户支付赎金以解锁文件。

WannaCry是一次全球性的勒索软件攻击,发生在2017年,影响了包括英国国民保健服务系统在内的许多组织。

3. 金融机构被盗事件(Banking Institution Hacks):很多银行和金融机构被黑客攻击,目的是窃取客户敏感信息或直接非法转账。

2013年,美国目标公司是一例大规模的数据泄露事件,黑客窃取了数百万客户的信用卡信息。

4. 社交工程(Social Engineering):这种攻击方式是通过欺骗、诱导受害者来获取敏感信息。

例如,钓鱼邮件是一种常见的社交工程攻击,黑客通过伪装成合法的机构或个人来窃取用户的登录凭证。

5. DDoS攻击(Distributed Denial of Service Attack):DDoS攻击旨在通过使网络资源超负荷,使其无法正常工作。

攻击者会利用恶意软件或僵尸网络来发送大量流量到目标服务器,导致其崩溃或无法正常运行。

这些攻击事件表明,网络安全形势严峻,用户和组织需要提高对网络安全的重视,并采取适当的防御措施来保护自己的网络资源和敏感信息。

勒索病毒-永恒之蓝课件

勒索病毒-永恒之蓝课件

定期对杀毒软件和防火墙进行全面扫 描和检测,确保其正常工作且无漏洞 。
开启杀毒软件和防火墙的自动防护功 能,实时监测和拦截恶意软件和网络 攻击。
及时更新操作系统和软件补丁
及时关注操作系统和软件的官方 更新和补丁发布,确保及时安装
最新的安全补丁。
在安装补丁之前,先对系统和软 件进行备份,以防万一。
对于不常用的软件或功能,可以 关闭或卸载,以减少被攻击的风
通过软件漏洞传播
通过物理媒介传播
一些软件存在漏洞,恶意制造者利用这些 漏洞传播勒索病毒。例如,通过感染网页 服务器或软件更新机制等途径传播。
一些勒索病毒可能通过USB闪存盘、移动硬 盘等物理媒介传播,当用户插入这些设备 时,病毒会感染电脑。
02
永恒之蓝勒索病毒的特点
攻击方式与传播途径
攻击方式
永恒之蓝勒索病毒主要通过漏洞利用和网络传播进行攻击,利用Windows系 统的SMB协议漏洞,通过网络共享、恶意软件、网页挂马等方式传播。
病毒会窃取企业组织内部 的敏感数据,如客户信息 、商业机密等,给企业带 来重大损失。
形象受损
感染病毒会使企业组织的 形象受到损害,影响客户 和合作伙伴的信任。
对国家安全的危害
关键基础设施受损
永恒之蓝勒索病毒可能会攻击国 家的关键基础设施,如电力、通 信、交通等,导致基础设施瘫痪

社会秩序混乱
病毒的大规模爆发可能导致社会秩 序混乱,影响国家安全和稳定。
险。
05
永恒之蓝勒索病毒的应对措 施
被感染后的处理方式
隔离感染设备
立即断开感染设备与网络的连 接,防止病毒进一步传播。
备份重要数据
在安全的环境下备份设备中的 重要数据,以避免数据永久丢 失。

勒索病毒原理

勒索病毒原理勒索病毒,又称勒索软件,是一种恶意软件,其主要功能是加密用户的文件,然后要求用户支付赎金以解密文件。

勒索病毒的传播途径多样,可以通过电子邮件附件、恶意网站、USB设备等途径传播。

一旦用户的设备感染了勒索病毒,其个人文件和数据将面临严重威胁。

勒索病毒的原理主要包括以下几个方面,感染、加密和勒索。

首先,勒索病毒会通过各种途径感染用户的设备,一旦感染成功,勒索病毒会开始加密用户的文件,包括文档、照片、视频等各种类型的文件。

在加密完成后,勒索病毒会在用户的设备上生成勒索信息,要求用户支付赎金以获取解密密钥。

勒索病毒通常会设置一个时限,如果用户在规定的时间内不支付赎金,勒索病毒可能会威胁删除文件或者公开用户的个人信息。

勒索病毒的原理并不复杂,但其危害却非常严重。

一旦用户的个人文件和数据被加密,将对用户的生活和工作造成极大的影响。

因此,用户在面对勒索病毒时,应该保持冷静,切勿轻易支付赎金,而是寻求专业的技术支持和帮助。

为了防范勒索病毒的侵害,用户需要注意以下几点,首先,及时备份重要文件和数据,定期将文件备份到外部存储设备或云存储中,以便在设备感染勒索病毒时能够及时恢复数据。

其次,保持设备的安全性,安装杀毒软件、防火墙等安全工具,定期更新操作系统和软件补丁,以及避免访问不明链接和下载不明附件。

最后,提高安全意识,警惕勒索病毒的传播途径,不轻易点击不明链接和下载不明文件,避免给勒索病毒可乘之机。

总之,勒索病毒是一种危害严重的恶意软件,其原理主要包括感染、加密和勒索。

为了防范勒索病毒的侵害,用户需要及时备份重要文件、保持设备的安全性,以及提高安全意识。

只有这样,才能有效防范勒索病毒的侵害,保护个人文件和数据的安全。

勒索软件简史


1 9 8 9 勒 索软什 f l i 现至 今 ,

仃 近 卜 年 的 历
说 ,苹 』 J 索4 : L f ' t : 作 还 会 没定 一 个 艾 f 、 f
.们 !
泄【 < = l , f , j , 1 不 仉 没 仃 使 逐 渐 淌 I 、 ,反 愈 演 愈 从 f i { j 伪装 反病毒 软f ' l : 刊 恸索 比 特 币 ,再 到 " 今 勒 索 软 因此,
施, 奠人
多 网络 发 伞 厂 I 也 鄙 1 , I J 发 个 防 护 产 品 小 义 我 们 将 回 顺
需 要 通 过 动 念
- I I 添J J l l r 针 埘 索 软 件 的 防 护 模 块
些 吖 以傲 f , J 也索 , 』 I 擎 索 引 的

索软什 ( I { a n  ̄ o I 1 1 " 、 过 扰 、恐 『 】 F 川 数
)足
- 种 流 的 小 马 ,通
计 钟: 下 产, 卜 的} U’ j 币 哜 网 有 保护 隐私 的 … l 、 f ’
采 用 绑 架 川 义件 等 力 ‘ ,使 用 广 l
币 、l - c l t , ' t 币或 它 虚 拟 货 币 一 般 来
那 么 ,比特 币 l 一目 合 ,则使 个勒 索 过 变
得密 小透 仃 攻 给… t f i , J 恸 索 。 还 疗 “ 贴 心 ”地 介 r进 入 晴 网 的 办法 , ¨ 二 特f 的
以 父 川 索 软 I : 的 内 容 , 斤 合 2 0 1 6年 今 勒 索
随 荇 f 联 的 迅 速 发 腱 , 一 1 1 : - 法分J , 。 利 川 n 勺 特 ,迎 过 比特 币 的 交 埸 肜 J f : 始 r一些 / f 为

wannacry原理

wannacry原理WannaCry原理解析:探寻全球最具破坏力的勒索软件近年来,网络安全问题备受关注,各种恶意软件层出不穷,其中最为臭名昭著的就是WannaCry勒索软件。

WannaCry在2017年5月爆发时迅速蔓延至全球,对全球范围内的数十万台计算机造成了巨大的破坏。

本文将对WannaCry的原理进行深入解析,帮助读者更好地了解该恶意软件的运作方式。

我们需要了解WannaCry的传播方式。

WannaCry主要通过利用操作系统漏洞进行传播,而Windows操作系统中的一个名为“永恒之蓝”的漏洞成为了WannaCry的入侵通道。

攻击者通过该漏洞远程执行恶意程序,将WannaCry勒索软件植入受害者的计算机中。

此外,WannaCry还可以通过感染USB设备和网络共享等方式进行传播,从而快速蔓延至大量计算机。

我们来了解WannaCry的加密原理。

一旦感染了计算机,WannaCry 会对计算机中的文件进行加密,并要求用户支付比特币作为赎金以解密文件。

WannaCry使用的是非对称加密算法,首先生成一对公钥和私钥,公钥用于加密文件,而私钥则储存在攻击者的服务器上。

通过这种方式,攻击者可以确保只有在赎金支付后才能提供解密所需的私钥。

WannaCry还具有自我保护机制,使其更加难以清除。

WannaCry会在感染计算机后在系统中创建一个名为“mssecsvc2.0”或“tasksche.exe”的服务,并将自身加入到系统启动项中。

这样一来,即使用户在发现感染后删除了WannaCry的相关文件,它仍会在系统重启后重新激活,继续对文件进行加密。

针对WannaCry的防范措施也是非常重要的。

首先,及时更新操作系统补丁是防止WannaCry感染的重要手段。

微软在WannaCry爆发后发布了相应的补丁,修复了“永恒之蓝”漏洞,因此及时更新操作系统可以大大减少被感染的风险。

其次,不随意打开来历不明的邮件附件和下载不明来源的文件,以免触发WannaCry的感染过程。

黑吃黑:勒索比特币幕后

黑吃黑:勒索比特币幕后在当今数字化的时代,网络安全已经成为了每个人和组织都需要关注的重要问题。

黑客们利用各种技术手段不断发起网络攻击,其中勒索软件攻击尤为令人头痛。

最近几年,勒索软件攻击事件频发,成为了全球范围内的重要安全威胁。

而这些勒索软件攻击者的背后,却是一幅比黑客技术更为黑暗的画面,他们要求受害者支付比特币作为赎金。

今天,我们就来看一看这些勒索比特币幕后的故事。

一、勒索软件攻击成风勒索软件(Ransomware)是一种恶意软件,能够加密受害者的文件或者屏蔽受害者设备的访问权限,然后勒索受害者支付赎金以获取解密密钥或者解除屏蔽。

这种攻击方式不仅造成了数据的丢失,还给受害者带来了不小的经济损失和心理压力。

勒索软件攻击者往往以发送钓鱼邮件、利用漏洞攻击等手段,将恶意软件植入受害者的设备中,然后进行攻击。

而勒索软件攻击的目的,一般都是为了获取金钱。

据统计,自2013年以来,全球发生了数千起勒索软件攻击事件。

影响范围涉及到了个人用户、大型企业、政府机构等各个领域。

而且勒索软件攻击者的手段也在不断升级,越来越专业和隐蔽,令网络安全形势愈发严峻。

二、勒索比特币:暗网交易的赎金在过去,勒索软件攻击者要求受害者支付赎金一般都是通过传统的金融渠道,比如银行转账、支付宝转账等方式。

随着比特币的兴起,勒索软件攻击者的收款方式也发生了变化,他们开始要求受害者支付比特币。

比特币是一种基于区块链技术的加密货币,不受任何中央机构的控制,具有匿名性和不可追溯性。

这使得比特币成为了黑客和犯罪分子收取赎金的最佳方式。

受害者只需通过比特币钱包将赎金支付到指定的地址,而且这一过程是不可逆转的,受害者几乎不可能追回被支付的赎金。

勒索比特币的赎金支付通常都发生在暗网上,即互联网的一部分内容被隐藏,不易被搜索引擎检索到。

通过Tor网络等工具,人们可以在暗网上进行匿名交易,而且支付比特币更加不会留下任何痕迹。

这就为勒索软件攻击者提供了一个便利的渠道,可以自由地收取赎金,而且几乎不可能被追踪。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
勒索软件的前世今生
01 勒索软件安全挑战
02 Locky分析

03 蠕虫型勒索WannaCry分析

04 蠕虫型勒索Petya分析
05 勒索软件趋势
06 勒索软件防护实践
Part 01
勒索软件安全挑战
一大波勒索软件来袭
开放互联Internet, 勒索软件来侵害。 图片文档全加密, 要想恢复拿钱来。
蠕虫型勒索软件的感染方式
不幸勒索软件中招怎么办?
1 支付赎金解密 2 不支付
2.1 资料没什么用 2.2 资料有备份 2.3 有解密工具
/fbi-recommends-paying-ransom-for-infected-computer2015-10
脆弱性/威胁 识别
利用路径评估
一般性评估活动:
业务流分析 数据流分析
控制流分析 失效和后果分析
脆弱点分析 威胁树模式分析
利用场景分析 影响分析
风险评价和建 议
评估活动关注点:
设计和实现的合 理性、正确性
实现控制的有效 性
可能导致失效的 原因
失效的影响
脆弱点和威胁
对业务造成的影 响
基础安全自查-流程
资产梳理
漏洞扫描
配置核查
安全加固 复查
安全域边界梳 理
渗透测试及代码 审计(互联网网 站及移动应用)
安全保障应急演练
业 务 测 试
DDOS攻击 安全演练
网页篡改事件 安全演练
DNS劫持事件 安全演练
恶意代码事件 安全演练
链路、数据中心切换 安全演练
供电切换 安全演练
威胁分析系统TAC介绍
虚拟执行引擎 静态分析引擎 病毒特征引擎 信誉引擎
安全信誉
NTI 绿盟全球威胁情报中心
TAC
未知威胁分析本地信誉
IP信誉
Web 信誉
文件信誉
Email 信誉
IPS
NF
SEG
金山V8
RSVS
TAC动态沙箱引擎
流量重组 文件还原
虚拟执行环境
指令级 实时分析
详尽的 告警信息
Web Mail FTP、SMB
2013—至今
2013至今,我们所知道的由 “CryptoLocker”这样的勒索软件变 体所引发的“加密勒索软件” (crypto-ransomware)成为了现实。 这种变体不仅会对受害者文件进行加 密,如果受害者拒绝支付赎金时还会 删除文件。想要拿回文件,受害者必 须以“比特币”的形式支付不同数额 的赎金,以换取解密密钥。
Part 06
勒索软件防护实践
勒索软件防护实践
安全意识培训
备份、备份、备份
安全技术保护
1. 点击之前需要思考
1. 重要事情说三遍 2. 有效备份,3-2-1原则 3. 备份/ 恢复演习
1. 网络,邮件,终端 2. 更新补丁,弥补漏洞 3. 防病毒引擎应对已知 4. 沙箱防未知勒索软件
勒索软件防护实践-补丁
天下无”贼”
https:///
不再交赎金
勒索软件已成公害,欧洲刑警组 织于2016年8月份发布“不再交 赎金”计划,向勒索软件宣战。 这个项目由荷兰皇家警察,卡巴 斯基,迈克菲等成立,后续多个 安全公司参与。项目发布了门户 网站,提供了多个勒索软件的解 密工具,并持续更新。
Internet
SEG
TAC
1
垃圾邮件和病毒 邮件被处理
高级威胁通过沙 2 箱引擎分析处理
邮件安全网关 第一层过滤
第二层过滤,针对未知勒索 邮件。TAC工作原理于邮件 网关类似,邮件代理模式
Mail Server 过滤后的邮件最终
3 投递到邮件服务器
网络层面检测和阻断勒索软件
NTI
管理平台
⑦ 可视化呈现BSA
• 基于代码在执行环境的行为实时分析,不依赖攻击特征,有效检测0day漏洞及未知恶意软件;
• 基于应用软件真实的代码执行,检测精准;
TAC勒索软件行为分析和家族判断
勒索软件家族
• 勒索软件的执行过程,TAC沙箱进行记录和分析; • 行为模式匹配,判断是哪一类勒索软件的变种;
邮件通道检测和隔离勒索软件
勒索软件防护实践: 安全意识、备份、防护
Part 03
蠕虫型勒索软件 WannaCry分析
WannaCry加密后留下的勒索信息
WannaCry影响范围
来源:/
WannaCry感染方式
• 微软MS17-010 漏洞 • 2017年3月份更新漏洞 • 2017年4月份出现利用代码 • 美国NSA方程式攻击永恒之蓝 • 感染150多个国家 • 第一例以蠕虫型勒索
• Petya与其他流行的勒索软件的不同点在于,Petya不是逐个加密 文件,而是通过攻击磁盘上的低级结构来拒绝用户访问完整的系 统。这个敲诈勒索木马的作者不仅创建了自己的引导加载程序, 还创建了一个32个扇区长的小内核。
Petya病毒新样本
• 病毒样本类型为DLL,执行后导出函数。 当这个函数被调用时,首先尝试提升当前 进程的权限并设置标记,查找是否有指定 的安全软件,后面会根据是否存在指定的 安全软件跳过相应的流程。绕过安全软件 的行为监控。
行为和演变趋势
勒索软件的感染方式
鱼叉邮件
下载站点

………

僵尸网络CnC
Internet
蠕虫型勒索软件的感染方式
• 微软MS17-010 漏洞 • 2017年3月份漏洞披露 • 2017年4月份出现利用代码 • 美国NSA方程式攻击永恒之蓝 • 感染150多个国家 • 第一例以蠕虫型勒索
2007—2012
2012年,勒索软件开始从俄罗斯蔓延 到其他欧洲国家。这是因为“假冒病 毒”(FAKEAV)被打击取缔所造成的, 为此,犯罪分子不得不采取其他策略 来威胁恐吓受害者从中牟利。当时最 流行的方式是,冒充Reveton执法人员 威胁受害者称其存在网络犯罪行为, 进而进行勒索。勒索软件运营商还会 尝试使用不同的支付方式,包括 Ukash、paysafecard和MoneyPak等, 以避免被追踪到。
Petya病毒老样本
• 2016年4月,敲诈勒索类木马Petya被安全厂商曝光,被称作是 第一个将敲诈和修改MBR合二为一的恶意木马。木马Petya的主 要特点是会先修改系统MBR引导扇区,强制重启后执行MBR引 导扇区中的恶意代码,加密受害者硬盘数据后显示敲诈信息,并 通过Tor匿名网络索取比特币。
WannaCry感染方式
• Office文档,Word,Excel,PowerPoint • PDF文档,文本类型,Flash • 音频、视频类文档 • 图片类文档 • 压缩类文档,备份类文档 • 证书类 • 3D建模 • 数据库类文件 • 程序文件
Part 4
勒索软件趋势
Petya分析
Petya病毒爆发
AAPAPPPPP AAPAPPPPP OOSOSS
指定OS及应用
• 漏洞利用检测
• 进程创建终止、 进程注入
• 服务/驱动 • 注册表访问、改
写 • 文件访问、改写、
下载 • 程序端口监听 • 内存属性改变 • 网络访问行为
• 包括进程和模 块加载、文件 和网络访问等
• 客户更有效的 进行事件响应
勒索软件的历史
2005—2006
勒索软件首次出现于俄罗斯。其手段 是将受害计算机的特定文件压缩并用 密码保护起来,再将其中一个文件作 为勒索信,要求受害者支付300美元的 赎金才能换回自己文件。在威胁的早 期阶段,.DOC, .XLS, .JPG, .ZIP, .PDF 以及其他常用文件形式经常成为勒索 软件的目标。后来,又出现了能够感 染手机甚至计算机主引导记录(MBR) 的变体,阻止系统加载运行。
④ 威胁情报push
① 威胁进入
Internet
⑥ 安全事件上报 ② 威胁查询
③ 已知威胁,阻断!
NIPS
⑤ C&C服务器回连阻断
TAC
③ 未知恶意文件深度分析
⑧ 恶意软件清除服务
TAC检测案例
TAC检测”WannaCry”蠕虫型勒索
业务流程梳理
业务安全评估评估一般流程:
业务调研
正确性评估
有效性评估
• 2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英 国以及欧洲多国遭受大规模Petya勒索病毒袭击,该病毒远程锁 定设备,然后索要赎金。其中,乌克兰地区受灾最为严重,政府、 银行、电力系统、通讯系统、企业以及机场都不同程度的受到了 影响,包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行 (Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯 石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、 零售企业和政府系统都遭到了攻击。
勒索软件发展趋势-越来越多
数据来源:Symantec Internet Security Threat Report 201,勒索软件的数量和被感染的 数量都在快速增长
伪装成系统清理工具
勒索软件发展趋势-扩散
操作系统扩散
大数据/云计算/物联网扩散
Hadoop勒索软件:/hadoop-cluster-under-ransomware-attack
勒索软件发展趋势-多个漏洞利用
漏洞利用
勒索软件利用漏洞侵害主机 出现新漏洞利用,勒索软件也
会更新自己的武器库 有些勒索软件达到10多个漏洞
利用
Ransomware Families and the Number of Vulnerabilities They Exploit from Garter research