勒索软件(RansomWare)是一种流行的木马程序,通过骚扰、恐吓甚至采用绑架用户电子资产等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。
早期的勒索软件使用文件隐藏、删除、修改开机密码、锁定屏幕等勒索手段;邮寄现金、银行转账、Q币等为支付赎金。这些方式都可以对攻击者进行追踪和溯源。
而在2013年以后,勒索软件逐渐采用了比特币作为赎金、Tor作为不可追踪的支付链路,结合RSA等加密算法,形成了勒索软件所依赖的“铁三角”,这个“铁三角”只要一天不被打破,勒索软件就永远不会消失。
从Tesla到Crypt、Locky到Wannacry到感染MBR型勒索病毒,为什么愈演愈烈?
勒索软件制作、成熟、销售、免杀服务日趋成熟(RaaS):黑产逐利勒索工具、开发包和服务的易用性和破坏力不断提高匿名支付(比特币)和匿名网络的发展:犯罪隐蔽其他原因:成熟丰富的加密算法、动态域名:破解难度增加勒索病毒的传播1.钓鱼邮件:恶意代码伪装在邮件附件中,诱使打开附件;
2.蠕虫式传播:通过漏洞和口令进行网络空间中的蠕虫式传播;
3.Exploit Kit分发:通过黑色产业链中的Exploit Kit漏洞套件来分发勒索软件
4.暴力破解:通过暴力破解RDP端口、SSH端口,数据库端口
典型行为1.执行(解包)、收集系统信息;
2.修改注册表设置、以保持持久性;
3.禁用系统还原并删除备份中的所有内容;
4.通过C&C来获取将用于加密文件的公钥;
5.遍历文件并加密;
6.对.doc .docx .xls 等有价值文件后缀加密,忽略.exe等文件
7.加密文件写入到一个新的文件,删除原始文件;
8.从本地机上获得加密密钥并加密发送回C&C。