一周前，健身追蹤器、智能手表和GPS產(chǎn)品制造商Garmin(佳明)公司遭受了WastedLocker勒索軟件的全面攻擊，主要產(chǎn)品和網(wǎng)站均癱瘓。WastedLocker背后的勒索軟件犯罪組織Evil Corp向Garmin公司索要1000萬(wàn)美元的贖金。

[[336403]]

昨日，據(jù)《天空新聞》(Sky News)報(bào)道，Garmin已與Evil Corp達(dá)成解密協(xié)議，以在WastedLocker勒索軟件攻擊后解鎖其文件并恢復(fù)業(yè)務(wù)。

報(bào)道透露，Garmin通過(guò)名為Arete IR的勒索軟件談判中間人，將贖金支付給了勒索軟件背后的幫派Evil Corp。

雖然支付贖金是恢復(fù)業(yè)務(wù)的無(wú)奈之舉，但是，如果Garmin確實(shí)支付了贖金，那么從法律角度來(lái)看，該公司可能陷入困境。

美國(guó)財(cái)政部去年12月對(duì)Evil Corp實(shí)施了制裁，該制裁規(guī)定“通常禁止美國(guó)人與Evil Corp或其任何個(gè)人進(jìn)行交易”。

Evil Corp先前的攻擊行動(dòng)還使用Dridex銀行木馬捕獲銀行憑證，然后通過(guò)在不知道受害者的銀行帳戶(hù)的情況下進(jìn)行未經(jīng)授權(quán)的電子資金轉(zhuǎn)帳。然后，將這些被盜的資金接收到他們的銀行帳戶(hù)中，并將其轉(zhuǎn)移到海外。Dridex已將多家公司作為目標(biāo)，使他們損失了數(shù)百萬(wàn)美元。受害者包括兩家銀行，一個(gè)學(xué)區(qū)，一家石油企業(yè)，建筑材料供應(yīng)公司等。

結(jié)果，美國(guó)當(dāng)局懸賞500萬(wàn)美元，以逮捕32歲的Evil Corp領(lǐng)導(dǎo)人Maksim V. Yakubets，他們被冠以“aqua”的名字。

Garmin拒絕評(píng)論有關(guān)贖金或數(shù)據(jù)解密的任何調(diào)查結(jié)果。

網(wǎng)絡(luò)安全意識(shí)培訓(xùn)廠(chǎng)商KnowBe4的James McQuiggan在接受采訪(fǎng)時(shí)指出：“企業(yè)避免支付贖金的一種方法是評(píng)估其數(shù)據(jù)備份是否可用，以及是否被網(wǎng)絡(luò)犯罪分子破壞或刪除。在組織的網(wǎng)絡(luò)安全計(jì)劃中，制定數(shù)據(jù)備份策略至關(guān)重要。該策略需要包括定期計(jì)劃和測(cè)試備份，以確定其完整性。如果備份還原過(guò)程失敗，則可能由于停機(jī)而對(duì)組織的收入和聲譽(yù)造成額外風(fēng)險(xiǎn)。備份只是勒索軟件緩解計(jì)劃的一部分。大多數(shù)勒索軟件攻擊的重點(diǎn)攻擊矢量是網(wǎng)絡(luò)釣魚(yú)攻擊，以及脆弱且未打補(bǔ)丁的系統(tǒng)。”

WastedLocker為何如此“殘暴”?

卡巴斯基研究人員費(fèi)多爾·辛尼辛(Fedor Sinitsyn)在最近的一篇文章中表示，今年上半年使用WastedLocker的人數(shù)有所增加。在技術(shù)分析中，研究人員強(qiáng)調(diào)了WastedLocker勒索軟件中的幾個(gè)值得注意的功能。

首先，它有一個(gè)命令行界面，攻擊者可以使用它來(lái)控制其操作方式。他們可以指定要定位的特定目錄，并確定優(yōu)先加密的文件集的優(yōu)先級(jí)。CLI還允許攻擊者加密指定網(wǎng)絡(luò)資源上的文件。

WastedLocker還具有繞過(guò)Windows計(jì)算機(jī)上用戶(hù)帳戶(hù)控制(UAC)的功能，UAC是一項(xiàng)安全檢查，旨在防止惡意特權(quán)升級(jí)。如果某個(gè)程序試圖提升特權(quán)以使其正常運(yùn)行，則系統(tǒng)將彈窗詢(xún)問(wèn)：“是否要允許以下程序?qū)Υ擞?jì)算機(jī)進(jìn)行更改?”設(shè)備所有者或管理員可以選擇是或否，但系統(tǒng)會(huì)提示已分配了標(biāo)準(zhǔn)用戶(hù)訪(fǎng)問(wèn)令牌的用戶(hù)輸入管理員憑據(jù)。

為了繞過(guò)UAC，Sinitsyn說(shuō)，WastedLocker可以使用已知的旁路技術(shù)靜默地提升其特權(quán)。

研究人員稱(chēng)，在加密方面，WastedLocker結(jié)合使用了AES和RSA算法的公開(kāi)參考實(shí)現(xiàn)，該算法稱(chēng)為“rsaref”，在其他勒索軟件中也見(jiàn)到過(guò)這種情況。而且，它會(huì)應(yīng)用每個(gè)加密文件原始內(nèi)容的MD5哈希，該哈希將在解密過(guò)程中使用以確保該過(guò)程的正確性。

他解釋說(shuō)：“對(duì)于每個(gè)處理的文件，WastedLocker都會(huì)生成一個(gè)唯一的256位密鑰和一個(gè)128位IV，這些密鑰將用于在CBC模式下使用AES-256算法對(duì)文件內(nèi)容進(jìn)行加密。”“原始內(nèi)容的AES密鑰，IV和MD5哈希以及一些輔助信息均使用嵌入在木馬程序主體中的公共RSA密鑰進(jìn)行加密。正在考慮的樣本包含一個(gè)4096位公共RSA密鑰。”

他補(bǔ)充說(shuō)，RSA加密的結(jié)果是Base64編碼的，并保存在擴(kuò)展名為.garminwasted_info的新文件中。通常，會(huì)為每個(gè)受害者的加密文件創(chuàng)建一個(gè)新的信息文件。

Sinitsyn說(shuō)：“這是BitPaymer和DoppelPaymer特洛伊木馬以前使用的罕見(jiàn)方法。”“我們分析的這個(gè)WastedLocker樣本專(zhuān)門(mén)針對(duì)這種攻擊而設(shè)計(jì)和開(kāi)發(fā)。它使用了強(qiáng)大且正確實(shí)施的“經(jīng)典”AES+RSA加密方案，因此，如果沒(méi)有攻擊者的私有RSA密鑰，則無(wú)法解密此樣本加密的文件。”

為了防止勒索軟件攻擊，用戶(hù)應(yīng)該：

• 及時(shí)更新最新的操作系統(tǒng)和應(yīng)用程序版本;
• 阻止通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)遠(yuǎn)程桌面協(xié)議(RDP);
• 并盡快提高最終用戶(hù)對(duì)此類(lèi)威脅的安全意識(shí)。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文