2020年勒索病毒攻擊比以往都來的更猛了一點(diǎn)，各種不同的勒索病毒黑客組織都似乎加大了這方面的投入，而且又有一些新的黑客組織加入進(jìn)來，導(dǎo)致現(xiàn)在勒索病毒攻擊越來越頻繁了，最近幾款流行的勒索病毒都非?；钴S，經(jīng)常有人通過各種渠道向我咨詢勒索病毒相關(guān)的問題，勒索病毒攻擊已經(jīng)越來越嚴(yán)重了，目前大部分流行的勒索病毒都是無法解密的，勒索病毒以防為主，提高安全意識(shí)，雖然外界已經(jīng)宣傳了很多，但仍然有很多企業(yè)還是沒有引起足夠的重視，導(dǎo)致被勒索病毒攻擊之后，悔之晚矣，根據(jù)COVEWARE公司的報(bào)告，2020年Q1季度，企業(yè)平均贖金支付增加至111,605美元，比2019年第四季度增長(zhǎng)了33%，勒索軟件分銷商越來越多地將目標(biāo)對(duì)準(zhǔn)大型企業(yè)，并成功地強(qiáng)制勒索付款以安全恢復(fù)數(shù)據(jù)，大型企業(yè)贖金支付在數(shù)量上占少數(shù)，但支付規(guī)模極大地拉高了平均贖金支付，贖金的中位數(shù)保持相對(duì)穩(wěn)定，為44,021美元，僅略高于2019年第四季度的中位數(shù)41,179美元，中位數(shù)的穩(wěn)定性反映了一個(gè)事實(shí)，即大多數(shù)贖金支付相對(duì)于平均值而言是中等的，如下所示：

2020年第一季度，最流行的幾款勒索病毒，Sodinokibi占于榜首，如下所示：

勒索病毒主要的攻擊傳播方式仍然以RDP和釣魚郵件為主，如下所示：

更多詳細(xì)的報(bào)告，可以參考：

https://www.coveware.com/blog/q1-2020-ransomware-marketplace-report

趁五一休息，給大家聊聊最近幾款勒索病毒家族的一些最新咨訊，這幾款勒索病毒位于報(bào)告排行榜前四名，最近一段時(shí)間非常流行，各企業(yè)一定要提高安全意識(shí)，防止被勒索病毒攻擊，全球的勒索病毒黑客組織都在日夜不停的不斷尋找著他們下一個(gè)攻擊目標(biāo)，通過向目標(biāo)植入勒索病毒快速獲利

Sodinokibi勒索病毒

Sodinokibi勒索病毒(也稱REvil)，2019年5月24日首次在意大利被發(fā)現(xiàn)，在意大利被發(fā)現(xiàn)使用RDP攻擊的方式進(jìn)行傳播感染，這款病毒被稱為GandCrab勒索病毒的接班人，在短短幾個(gè)月的時(shí)間內(nèi)，已經(jīng)在全球大范圍傳播，這款勒索病毒與GandCrab勒索軟件存在很多關(guān)聯(lián)， Sodinokibi勒索病毒是一種勒索即服務(wù)(RAAS)的模式進(jìn)行分發(fā)和營銷的，并采用了一些免殺技術(shù)避免安全軟件檢測(cè)到，主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網(wǎng)絡(luò)釣魚郵件、RDP端口、漏洞利用工具包以及攻擊一些托管服務(wù)提供商MSP等方式發(fā)起攻擊，這款勒索病毒最新的版本為2.2，增加了自啟動(dòng)注冊(cè)表項(xiàng)等，同時(shí)還發(fā)現(xiàn)一批最新的采用PowerShell腳本進(jìn)行無文件攻擊的變種樣本，加密后的文件后，如下所示：

生成的勒索提示信息文件，如下所示：

最新的Sodinokibi勒索病毒變種樣本的交易方式已經(jīng)全部轉(zhuǎn)換為使用門羅幣進(jìn)行交易，如下所示：

Phobos勒索病毒

Phobos勒索病毒是2019年8月出現(xiàn)的一款新型的勒索病毒，這款勒索病毒與此前發(fā)現(xiàn)的CrySiS(Dharma)勒索病毒在一些行為表現(xiàn)上非常相似，然而兩者的代碼結(jié)構(gòu)完全不同，屬于兩個(gè)不同的勒索病毒家族，這款勒索病毒主要通過RDP方式入侵，然后再受害者主機(jī)上運(yùn)行勒索病毒加密文件，近期監(jiān)控到這款勒索病毒最新的變種樣本，這批變種樣本主要以devos、devoe、devil、dever、dewar、actin、acton、actor、acuff、acute等加密后綴為主，這款勒索病毒加密后的文件，如下所示：

彈出的勒索提示信息，如下所示：

目前這款勒索病毒的加密后綴，流行的已經(jīng)有幾十個(gè)不同變種，相關(guān)的加密后綴列表，如下所示：

CrySiS勒索病毒

CrySiS勒索病毒，又稱Dharma，首次出現(xiàn)是在2016年，2017年5月此勒索病毒萬能密鑰被公布之后，之前的樣本可以解密，導(dǎo)致此勒索病毒曾消失了一段時(shí)間，不過隨后又馬上出現(xiàn)了它的一款最新的變種樣本，加密后綴為java，通過RDP暴力破解的方式進(jìn)入受害者服務(wù)器進(jìn)行加密勒索，加密后的文件，如下所示：

彈出的勒索提示信息，如下所示：

Ryuk勒索病毒

Ryuk勒索病毒最早于2018年8月被首次發(fā)現(xiàn)，它是由俄羅斯黑客團(tuán)伙GrimSpider幕后操作運(yùn)營，GrimSpider是一個(gè)網(wǎng)絡(luò)犯罪集團(tuán)，使用Ryuk勒索軟件對(duì)大型企業(yè)及組織進(jìn)行針對(duì)性攻擊，C.R.A.M. TG Soft(反惡意軟件研究中心)發(fā)現(xiàn)Ryuk勒索軟件主要是通過網(wǎng)絡(luò)攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進(jìn)行傳播，Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網(wǎng)站登錄憑據(jù)，同時(shí)充當(dāng)下載器功能，提供下載其它勒索病毒服務(wù)，為啥Emotet和TrickBot銀行木馬會(huì)傳播Ryuk勒索病毒，因?yàn)門rickBot銀行木馬傳播渠道的運(yùn)營者是俄羅斯黑客團(tuán)伙WIZARD SPIDER，GRIM SPIDER是俄羅斯黑客團(tuán)伙WIZARD SPIDER的部門之一，這款勒索病主要在國外比較流行，針對(duì)一些大型企業(yè)進(jìn)行定向攻擊勒索，最新的變種加密后的文件，如下所示：

生成的勒索提示信息文件，如下所示：

2020年勒索病毒的幾大發(fā)展趨勢(shì)

• 各種新型勒索病毒不斷涌現(xiàn)，未來可能會(huì)有更多成熟的或新的黑客組織加入進(jìn)來，同時(shí)國外一些主流的勒索病毒運(yùn)營團(tuán)隊(duì)去年年底就已經(jīng)開始在國內(nèi)尋找勒索病毒分銷運(yùn)營商，今年已經(jīng)出現(xiàn)一些國內(nèi)勒索病毒的運(yùn)營商，他們通過暗網(wǎng)與國外運(yùn)營商進(jìn)行合作，進(jìn)行勒索病毒的分發(fā)傳播，謀取暴利
• 已知主流的幾款勒索病毒都已開始通過公布受害者數(shù)據(jù)逼迫受害者支付贖金，今年會(huì)不會(huì)有更多的勒索病毒運(yùn)營團(tuán)伙采用這種運(yùn)營方式來強(qiáng)迫受害者交付贖金
• 企業(yè)數(shù)據(jù)安全已經(jīng)成為未來網(wǎng)絡(luò)安全行業(yè)最重要的關(guān)注方向，今年針對(duì)企業(yè)的勒索病毒攻擊可能會(huì)更多，同時(shí)各種新型的竊密木馬會(huì)隨著勒索病毒一起下發(fā)，竊取企業(yè)數(shù)據(jù)，通過“勒索+竊取”兩種方式對(duì)企業(yè)的重要數(shù)據(jù)進(jìn)行攻擊，有報(bào)道指出在全球數(shù)據(jù)泄露的安全事件中，大部分是通過惡意軟件進(jìn)行網(wǎng)絡(luò)攻擊造成的
• 勒索病毒運(yùn)營團(tuán)隊(duì)會(huì)把更多的目光轉(zhuǎn)向針對(duì)云服務(wù)器提供商或運(yùn)營商，對(duì)云上的數(shù)據(jù)進(jìn)行加密勒索，針對(duì)Windows服務(wù)器和 Linux平臺(tái)上的勒索病毒今年可能會(huì)增多，目前發(fā)現(xiàn)的大部分Linux平臺(tái)勒索病毒大多數(shù)使用GO語言進(jìn)行開發(fā)
• 勒索病毒黑客組織運(yùn)營團(tuán)伙可能會(huì)關(guān)閉其公開的RAAS平臺(tái)服務(wù)，轉(zhuǎn)化為私有化服務(wù)，以篩選具備一定專業(yè)知識(shí)的客戶進(jìn)行傳播，提高勒索攻擊的成功率，防止一些不專業(yè)的人誤操作，造成相關(guān)數(shù)據(jù)被泄露，同時(shí)各個(gè)流行的勒索病毒黑客組織已經(jīng)開始在全球招募更多成熟的高端惡意軟件開發(fā)人員進(jìn)行勒索病毒的開發(fā)
• 各個(gè)不同的勒索病毒組織之間競(jìng)爭(zhēng)會(huì)越來越激烈，這也會(huì)促使這些勒索病毒黑客組織不斷更新，推出更多的新型的勒索病毒，同時(shí)也會(huì)加大在勒索病毒方面的運(yùn)營手段

勒索病毒攻擊已經(jīng)越來越頻繁了，現(xiàn)在不僅僅是企業(yè)，個(gè)人用戶也已經(jīng)成為了勒索病毒黑客組織攻擊的目標(biāo)，必竟其他行業(yè)里大多數(shù)人對(duì)勒索病毒并不了解，比如一些知名博主，圈內(nèi)大咖，公司高管等一些”上層”有錢人士未來會(huì)不會(huì)成為一些勒索病毒黑客組織攻擊的目標(biāo)?現(xiàn)在的勒索病毒使用的技術(shù)已經(jīng)越來越成熟，新的勒索病毒不斷被發(fā)現(xiàn)，舊的勒索病毒不斷變種，攻擊手法越來越多，不管是企業(yè)，還是個(gè)人一定要提高警惕，以防被勒索病毒趁虛而入，上面介紹的這幾款流行的勒索病毒暫時(shí)都無法解密，需要提高安全意識(shí)，勒索病毒，以防為主

如果你遇到了勒索病毒，歡迎提供勒索病毒的相關(guān)信息給我，例如：勒索病毒病毒樣本、勒索提示信息，勒索病毒黑客組織信息，勒索病毒RAAS平臺(tái)信息，主機(jī)日志信息，勒索病毒黑客的錢包地址等。