WannaCry爆發(fā)一周年,騰訊安全深度揭秘“勒索病毒黑色產(chǎn)業(yè)鏈”

距離去年5月12日勒索病毒爆發(fā)一周年了。一年前,一個叫“WannaCry”的勒索病毒突然大規(guī)模爆發(fā),席卷全球150多個國家,造成高達80億美元的經(jīng)濟損失。一年后,這個大型勒索病毒事件帶來的負面影響仍然難以消除:其背后的“永恒之藍”漏洞利用頻頻復(fù)現(xiàn);大型企事業(yè)單位屢次遭遇勒索病毒攻擊;勒索變種層出不窮,并開始從發(fā)達城市向偏遠地區(qū)擴散。

勒索病毒已發(fā)展成為威脅網(wǎng)絡(luò)安全的重大毒瘤,嚴(yán)重威脅著企業(yè)和個人用戶的文檔和數(shù)據(jù)安全。過去一年,騰訊安全通過精研勒索病毒防御技術(shù)和對黑產(chǎn)的深入調(diào)查探訪了解到,勒索病毒攻擊方式不斷升級,并呈現(xiàn)出組織團伙化、產(chǎn)業(yè)鏈條化特征。

WannaCry仍在活躍 勒索病毒攻擊呈現(xiàn)新趨勢

騰訊御見威脅情報中心監(jiān)控顯示,在過去的一年,經(jīng)過安全廠商的圍剿堵截,WannaCry勒索病毒攻擊在短時間內(nèi)急速下降后已趨平穩(wěn),但并未徹底消失。直到今天,由于病毒變種不斷出現(xiàn),WannaCry依然在持續(xù)傳播。

與以往勒索病毒主攻北上廣深地區(qū)不同,近期受WannaCry影響最為嚴(yán)重的地區(qū)為廣西和浙江,其次是江蘇和湖北。經(jīng)歷WannaCry爆發(fā)初期,國內(nèi)安全產(chǎn)商不斷精研安全能力,全民防御意識有所提升,導(dǎo)致WannaCry變種在后續(xù)的攻擊中逐漸將目標(biāo)轉(zhuǎn)向防御能力相對偏弱的地區(qū)。

　　(圖:近期WannaCry勒索病毒在國內(nèi)的攻擊地域分布)

從WannaCry近期攻擊行業(yè)分布上看,學(xué)校、傳統(tǒng)工業(yè)、政府機構(gòu)為主要目標(biāo)群體,其中學(xué)校被攻擊的比例更是占到35%?；蛴捎诖祟悪C構(gòu)長期依賴互聯(lián)網(wǎng)提供的基礎(chǔ)設(shè)施服務(wù),但相對缺少專業(yè)安全運維服務(wù),導(dǎo)致整體安全防御能力薄弱,極易被病毒入侵。

　　(圖:近期WannaCry勒索病毒攻擊行業(yè)分布)

不單單是WannaCry,進入2018年以來,越來越多的勒索病毒開始將攻擊目標(biāo)轉(zhuǎn)向企業(yè)服務(wù)器。由于企業(yè)用戶數(shù)據(jù)價值一般情況下遠高于個人用戶,一旦數(shù)據(jù)被加密會更傾向于繳納贖金。于是,勒索病毒的攻擊方式從最初的廣撒網(wǎng)逐漸轉(zhuǎn)變?yōu)橄蚋邇r值目標(biāo)發(fā)起定向攻擊。

勒索病毒產(chǎn)業(yè)鏈條化解密公司竟成勒索中間代理

伴隨勒索病毒攻擊方式進一步升級,勒索病毒在經(jīng)歷單打獨斗的發(fā)展時期后,已呈現(xiàn)出組織團伙化、產(chǎn)業(yè)鏈條化的特征。

騰訊御見威脅情報中心分析發(fā)現(xiàn),一次完整的勒索病毒攻擊流程涉及勒索病毒作者、勒索者、傳播渠道商、代理、受害者5個角色,從業(yè)人員之間的分工十分明確。勒索病毒作者負責(zé)勒索病毒編寫制作,對抗安全軟件;勒索者定制專屬病毒,并聯(lián)系傳播渠道商進行投放;代理向受害者假稱自己能夠解密各勒索病毒加密的文件,實則與勒索者合作,共同賺取受害者的贖金。

　　(圖:勒索病毒黑產(chǎn)流程圖)

更讓人意想不到的是,網(wǎng)絡(luò)上可搜索到的可支持勒索病毒解密的公司,竟然也是參與勒索病毒黑色產(chǎn)業(yè)鏈的中間代理。

在網(wǎng)絡(luò)上搜索勒索病毒解密相關(guān)信息時可以發(fā)現(xiàn),網(wǎng)絡(luò)上出現(xiàn)了許多提供“勒索病毒解密服務(wù)”的公司,排名靠前的大部分顯示為搜索引擎廣告。這類企業(yè)聲稱支持各種勒索病毒家族的解密,其中包括流行的Locky、Cerber、Crysis、GlobeImposter、GandCrab家族等。

　　(圖:網(wǎng)絡(luò)上搜索的勒索病毒解密服務(wù))

據(jù)騰訊安全技術(shù)專家介紹,除非勒索病毒存在邏輯漏洞,或者這些企業(yè)擁有解密密鑰,否則以正常的算力方法去解密的可能性微乎及微。然而,深圳某公司在服務(wù)器中招之后聯(lián)系解密公司求助,解密公司居然憑借極少的信息就給出了內(nèi)網(wǎng)IP以及對應(yīng)的解密密鑰,不禁讓人懷疑其與該病毒的勒索者有所關(guān)聯(lián)。技術(shù)人員假意表達想做中間代理而聯(lián)系勒索者,很快便得到了相應(yīng)回復(fù)。

探訪結(jié)果證明,這類解密公司實際上就是勒索者的代理,利用國內(nèi)用戶不方便購買勒索者要求的數(shù)字貨幣贖金,以相對便宜的價格吸引受害者達成交易。根據(jù)某解密公司官網(wǎng)上公開的記錄,一家解密公司靠做勒索中間代理一個月收入高達300萬人民幣。

對抗勒索病毒重在防御 騰訊“御”系列打造企業(yè)網(wǎng)絡(luò)安全閉環(huán)

為防御勒索病毒攻擊威脅,騰訊安全根據(jù)目前企業(yè)易遭受的安全威脅類型,推出“御”系列產(chǎn)品解決方案,整合騰訊安全安全技術(shù)能力及大數(shù)據(jù)資源,針對事前、事中、事后提供包括感知、檢測、攔截、溯源在內(nèi)的全套威脅應(yīng)對機制,幫助企業(yè)有效抵御網(wǎng)絡(luò)攻擊。

4月16日,國內(nèi)某醫(yī)院的服務(wù)器遭受到了最新變種勒索病毒GlobeImposter的攻擊,醫(yī)院的服務(wù)器系統(tǒng)遭到入侵,導(dǎo)致部分文件和應(yīng)用被病毒加密破壞。接到求助后,騰訊企業(yè)安全火速響應(yīng),通過針對感染情況的緊急分析和技術(shù)流操作,迅速鎖定病源,保障了內(nèi)網(wǎng)應(yīng)用的安全運行。騰訊企業(yè)安全“御點”終端安全管理系統(tǒng),將百億量級云查殺病毒庫、引擎庫以及騰訊TAV殺毒引擎、系統(tǒng)修復(fù)引擎應(yīng)用到醫(yī)療企業(yè)內(nèi)部,有效防御醫(yī)療企業(yè)內(nèi)網(wǎng)終端的病毒木馬攻擊。

騰訊御界防APT郵件網(wǎng)關(guān)系統(tǒng)依托哈勃分析系統(tǒng)的核心技術(shù),結(jié)合大數(shù)據(jù)與深度學(xué)習(xí),能夠迅速識別APT攻擊郵件、釣魚郵件、病毒木馬附件等;騰訊御見智能態(tài)勢感知平臺,通過對企業(yè)全面的基礎(chǔ)網(wǎng)絡(luò)信息進行集中采集、存儲和持續(xù)深層分析,能夠為企業(yè)用戶構(gòu)建自適應(yīng)安全體系,彈性應(yīng)對來自外部和內(nèi)部的各種威脅,實現(xiàn)企業(yè)全網(wǎng)安全態(tài)勢可知、可見、可控的閉環(huán)。

對于普通個人用戶,騰訊電腦管家整合推出的“文檔守護者”功能,幫助用戶構(gòu)建一站式文檔保護方案,可實現(xiàn)對包括“WannaCry”在內(nèi)的430種勒索病毒樣本的免疫,還能提供對未知的勒索病毒的攔截能力,并自動備份全盤文檔,全面保證用戶文檔安全。

對抗勒索病毒仍然長路漫漫,在互聯(lián)網(wǎng)全面介入各個產(chǎn)業(yè)的當(dāng)下,安全不再是單獨個人和安全產(chǎn)商的事,提高全民網(wǎng)絡(luò)安全意識,加強社會多方力量協(xié)作,疊加多元優(yōu)勢,形成合力,才能構(gòu)筑堅不可摧的網(wǎng)絡(luò)安全新防線。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。