< id="app">
< class="logo">折腾网_真人在线下注_信誉博彩娱乐网址_网上投注平台网站 < class="tit">

网络安全整体方案落地服务商

< class="tel">

4009663721

< class="navBar"> < class="hd"> < class="pic">折腾网_真人在线下注_信誉博彩娱乐网址_网上投注平台网站 < class="close"> < class="bd"> < class="nav-btn">
< class="back"> < class="title">行业研究动态 < class="nav-btn">
< class="cx-inpage-banner01" title="行业研究动态">< class="cx-mianbaoxue01 wrapper"> 当前位置: 首页>安全研究>行业研究动态
< class="wrapper"> < class="article"> < class="hd">

勒索病毒常见种类

< class="meta"> 文章来源:行业研究动态 2020-12-18 17:06:49 防病毒系统 入侵防御 分享到: < class="bd" id="content">

常见的勒索病毒

GandCrab

GandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。

新闻

2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。

2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。

2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。

GlobeImposter

2017年5月,勒索病毒Globelmposter首次在国内出现。2018年2月全国各大医院受Globelmposter勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务。Globelmposter攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。

Crysis

Crysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。

Sodinokibi

Sodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。

WananCry

WannaCry于2017年5月12日在全球范围大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注,由于当前网络中仍有部分机器未修复漏洞,所以该病毒仍然有较强活力(大部分加密功能失效)。

Stop

Stop勒索病毒家族在国内主要通过软件捆绑、垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。

加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;

通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站;

因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;

释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制;

下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码。

Paradise

Paradise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索说明文档。

Clop

Clop勒索病毒使用RSA+RC4的方式对文件进行加密,与其他勒索病毒不同的是,Clop勒索病毒部分情况下携带了有效的数字签名,数字签名滥用,冒用以往情况下多数发生在流氓软件,窃密类木马程序中。勒索病毒携带有效签名的情况极为少见,这意味着该病毒在部分拦截场景下更容易获取到安全软件的信任,进而感染成功,对企业造成无法逆转的损失。

SCarab

Scarab索病毒主要利用Necurs僵尸网络进行传播,在国内也有发现通过RDP过口令爆破后投毒。该家族变种较多,部分变种感染后外观展现形态差异较大,例如今年3月份我国部分企业感染的ImmortalLock(不死锁)病毒则为Scarab家族在国内活跃的一个变种。

Maze

Maze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是自称根据染毒机器的价值来确认勒索所需的具体金额。

< class="article-pager"> < class="prev">勒索病毒攻击手段 < class="back"> < class="next">内部数据中心不会消失的6个原因
< class="footer"> < class="wrapper"> < class="ft-Top"> < class="ft-logo"> 折腾网_真人在线下注_信誉博彩娱乐网址_网上投注平台网站 网络安全整体方案落地服务商 < class="back-top"> < class="ft-info">
解决方案_真人在线下注
终端安全解决方案_真人在线下注 企业整体网络安全建设 等保一体化合规解决方案_真人在线下注 企业级数据中心综合安全 勒索病毒综合防护 核心数据保护方案
关于折腾网
企业介绍 公司风采 资质实力 联系我们
联系我们

24小时服务热线:4009663721

公司地址:泉州市福田区园岭街道华林社区八卦三路八卦岭工业区532栋214

立即咨询立即咨询
< class="ft-fx">

分享:

< class="fx-list"> < class="item"> < class="pic"> 二维码 < class="item"> < class="ft-link"> < class="link-fl"> 折腾网_真人在线下注_信誉博彩娱乐网址_网上投注平台网站版权所有 闽ICP备15023274号-5 网站地图 BY SDW