近年來,勒索病毒層出不窮,從“讓你哭”的WannaCry到“魔鬼撒旦”Satan,每一次的變種升級都更加囂張肆虐,讓全球電腦使用者陷入集體恐慌。
近日,國內首例新型勒索病毒出現,該病毒針對Linux伺服器,並實現Windows跨平臺攻擊,其加密字尾為.lucky。傳播模組複用了Satan的傳播方式,在Linxu下可自動化傳播。
被這種新型勒索病毒感染的檔案,在被加密後檔名變為:
從上圖可以看到,檔名前被插入一個郵箱地址,檔案正常字尾之後被插入一段程式碼,最後是.lucky字尾。那段程式碼應該是加密檔案的特徵碼。釋放病毒的黑客留下一個名叫_How_To_Decrypt_My_File_.Dic的文字檔案,黑客在檔案中表示,如果想要恢復檔案,需要支付1比特幣到給出的錢包地址。
有意思的是,這次出現的新型勒索病毒和前面提到的WannaCry和Satan有一個共同點,被感染的電腦使用者需要支付贖金才可解開被加密檔案,而贖金就是——比特幣。
是比特幣的罪?
這幾年比特幣的走勢呈迅猛增長的態勢,尤其是2017年,是比特幣發展史中最重要的一年,全年漲幅高達1700%,2017年12月比特幣峰值高達18674美元。
儘管2018年的比特幣市場大幅下跌,並不理想。但似乎並沒有影響追逐區塊鏈的投資者,對比特幣的瘋狂程度似乎也沒有減少多少。同樣,犯罪分子依然青睞虛擬貨幣,其中虛擬貨幣錢包地址的隱蔽性是最重要的原因。然而,這也導致了大量加密貨幣勒索病毒和挖礦病毒的爆發。
勒索事件的背後,卻是一套成熟的體系。
在病毒交易、郵件傳播等環節都日漸成熟的暗網,已經形成了包括製作、傳播、贖金交付在內的一整套黑色產業鏈。不同身份的黑客在這個鏈條中分工合作,互相交換資源和資料。
這是虛擬空間對現實世界實施的攻擊。
如何防範新型勒索病毒“.lucky”?
1、隔離感染主機:已中毒計算機儘快隔離,關閉所有網路連線,禁用網路卡。
2、切斷傳播途徑:關閉潛在終端的SMB 445等網路共享埠,關閉異常的外聯訪問。 下一代防火牆使用者,可開啟IPS和殭屍網路功能,進行封堵。
3、查詢攻擊源:手工抓包分析或藉助安全感知平臺。
4、查殺病毒:推薦使用 EDR產品進行查殺。
5、修補漏洞:打上以下漏洞相關補丁,漏洞包括“永恆之藍”漏洞,JBoss反序列化漏洞(CVE-2013-4810)、JBoss預設配置漏洞(CVE-2010-0738)、Tomcat任意檔案上傳漏洞(CVE-2017-12615)、Weblogic WLS 元件漏洞(CVE-2017-10271)、apache Struts2遠端程式碼執行漏洞S2-045、Apache Struts2遠端程式碼執行漏洞S2-057。
來源:
更多資訊:
5、
來自卡巴斯基的黑五安全購物指南