盘点：2019年勒索病毒灾难事件

大家好。我是零日情报机构。

有数千万次网络攻击，勒索病毒占一半。今天，我们将在2019年进行一轮令人窒息的勒索病毒攻击。

今年3月，世界最大的铝生产商之一挪威水电公司遭到勒索软件的攻击，迫使该公司关闭了几条自动化生产线，震动了全球铝市场。

May，一个国内网络汽车平台成为黑客勒索软件的目标，服务器的核心数据被加密。攻击者索要巨额比特币赎金，并被迫向公安机关求助。

同样在5月，美国佛罗里达州的里维埃拉遭到勒索软件的攻击。市政工作暂停了几周。市政紧急会议决定支付60万美元的赎金。同样，在该市做出决定后的一周内，佛罗里达州的另一个热门城市莱克城被迫向黑客支付了价值近50万美元的比特币赎金。

6月，世界上最大的飞机零部件供应商ASCO遭到勒索病毒的袭击。生产环境系统瘫痪了。大约1000名工人被关闭，四个国家的工厂被迫关闭。

10月初，世界上最大的助听器制造商德蒙特(Demant)遭到勒索软件的入侵，造成高达9500万美元的直接经济损失。

10月中旬，世界著名的航运和电子商务巨头皮特尼·鲍尔斯(Pitney Bowes)遭到勒索软件的攻击。攻击者加密了该公司的系统数据，并摧毁了其在线服务系统。超过90%的财富全球500强合作企业受到影响。

10月16日，法国最大的商业电视台M6集团被勒索软件洗劫一空。该公司的电话、电子邮件、办公室和管理工具都被切断，该集团被迫“罢工”。

不幸的是，距离2019年底还有两个多月，但病毒勒索活动可能还没有达到顶峰。

由于敲诈病毒疫情，10月9日，总部设在荷兰海牙的欧洲警察局(Europol)和国际刑事警察组织(刑警组织)发布《2019互联网有组织犯罪威胁评估》，特别指出敲诈软件仍然是网络安全的最大威胁，全球各界需要加强合作，共同打击网络犯罪。

我们总结的五大勒索病毒家族

2019自成立以来，有近100种极其活跃的勒索软件。我们得出结论，其中一些是最凶猛的。

1. GandCrab勒索病毒

对许多人来说，GandCrab勒索病毒无疑是2019年最具传奇色彩的角色。GandCrab最早出现在2018年。经过五次迭代，它传播到几十个国家和地区，如罗马尼亚、巴西和印度，并感染了全球150多万用户。它也被国内安全小组称为“侠盗猎车手”，因为他们后来的版本避开了饱受战争蹂躏的叙利亚地区。

今年6月，GandCrab勒索软件团队的一条官方消息炸毁了互联网。他们高调宣布，仅在一年半的时间里，该团队就赚了20多亿美元，人均年收入1.5亿美元，因此他们决定停止更新恶意程序，退出现场。

(甘德卡勒索病毒小组官方声明，宣布足够的钱，准备撤退，让群众惊呆在原地)

2. Sodinokibi勒索病毒

甘德卡撤退时，其继任者索迪诺基比勒索病毒接力出现。索迪诺基比(Sodinokibi)，又被称为REvil讹诈病毒，与GandCrab有明显的代码重叠，所以很多人推测GandCrab的一些成员不愿意退出并开始新的业务。“Sodinokibi”的一些变体会将受害者的屏幕变成深蓝色，并将网撒向世界各地，索要2500至5000美元不等的赎金。在不到半年的时间里，勒索病毒已经非法赚取了数百万美元。

3. GlobeImposter勒索病毒

4. Stop勒索病毒

GlobeImposter病毒主要通过rdp远程桌面弱密码进行攻击。去年，山东10个城市的房地产系统受到了攻击。今年，许多国内企业、医院和其他机构被录用。

5. Phobos勒索病毒

停止勒索病毒，也称为djvu勒索病毒，是2019年最活跃的病毒家族之一。与频繁使用数百万和数千万美元的勒索软件相比，Stop走的是薄利多销的路线。解密赎金需要980美元，软件作者可以打50%的折扣联系72小时。病毒主要通过伪装成软件破解工具或捆绑在激活软件中的木马网站传播，用户招募率极高。

我们所发现的一些攻击趋势

一般来说，火卫一是一种非常难对付的敲诈病毒。它使用RDP蛮力破解并手动传送病毒。它还可以很容易地加密受害者电脑上的每个文件，并把它们都变成不可打开的。火卫一。

火卫一病毒可能与达摩病毒(也称为孤岛危机(CrySis))属于同一个组织，病毒会进行自我复制，并在注册表中添加一个自我激活密钥。如果系统中剩余的病毒体没有清除，很可能会遇到二次加密。

(来自火卫一病毒的勒索信息)

第一，从To C用户转向To B政企，赎金大幅涨价。

第二，从垃圾邮件到利用漏洞传播。

第三，打着勒索的幌子，实为获取情报或破坏数据。

第四，手动投毒在变多。

目前的勒索病毒显然已经从范围广泛和肤浅的普通用户转移到大中型政府和企业组织以及行业组织。安全报告显示，自2018年6月以来，针对To B的敲诈袭击在全球范围内增加了363%。正如我们在开始时提到的，世界上最大的铝制造商、世界上最大的助听器制造商、世界上最大的飞机零部件供应商和其他“世界上最大的系列”都相继受到攻击，都是为了获得巨大的经济利益。此外，赎金也在飙升。当万年利席卷全球时，它的赎金只有300美元。

但现在——Sodinokibi勒索病毒，赎金从3个比特币(约3万美元)开始；琉克勒索病毒，11枚比特币(约12万美元)启动；至于巨皮层勒索病毒，最高赎金高达600个比特币，相当于出价580万美元。此外，也许是受GandCrab家族在一年半内20亿美元收入的启发，MageCortex勒索病毒在其勒索信息中也留下了一句斗争格:“我们正在努力赚钱。这种犯罪活动的核心是在获得赎金后以最原始的形式归还你的宝贵数据。”

总之，看着这个黑客的勒索信息，我能清楚地感觉到他们想要割韭菜。

更多零日反思

虽然讹诈病毒有多种传播渠道，如垃圾邮件、RDP密码爆炸、网页挂马等，但一切都有漏洞，这可能是讹诈病毒进来的地方。

例如，Sodinokibi讹诈病毒集成了多个要传播的漏洞，包括视窗内核授权漏洞-2018-8453、融合漏洞-2019-3396、UAF漏洞-2018-4878、网络逻辑反序列化漏洞-2019-2725等。例如，BitPaymer勒索软件利用了苹果0天漏洞。GETCRYPT讹诈病毒使用RIGEK漏洞工具包；别忘了，还有勒索病毒斯皮拉(Spria)，它不断利用IE闪存的双重漏洞，假装通过铬浏览器窗口传播。总之，讹诈病毒利用漏洞进行组合攻击，这不仅提高了攻击的成功率，而且使威胁水平远远高于过去。从这个角度来看，敲诈病毒对查杀软件的拦截和查杀技术提出了更具挑战性的要求。

(敲诈病毒通过苹果的0天漏洞传播)

今年有一起与信息盗窃有关的案件，马尔瓦尔·亨特坦(MalwareHunterTeam)在9月份披露了一起不寻常的敲诈病毒案件。它不断在受感染的目标中搜索敏感信息，包括军事机密、银行信息、欺诈/刑事调查文件，其行为与赚钱完全不同。更令人怀疑的是，“勒索病毒”还将寻找美国社会保障部列出的2018年最常见的婴儿名字，包括艾玛、奥利维亚、诺亚，

除了窃取情报，还有其他更奇怪的攻击。一些“勒索病毒”会像被杀一样对文件进行多次加密，甚至对文件造成不可挽回的损害，完全切断了收取赎金的途径。据分析，这可能是APT黑客组织在渗透和窃取国有企业机密数据后所传递的破坏性讹诈病毒。以讹诈病毒为掩护，破坏数据，消除入侵痕迹，掩盖真正的攻击意图。

手动中毒的优势在于定位准确，黑客可以瞄准高价值的定制服务器和系统。

(黑客组织正在手动植入病毒)

因此，手动植入病毒的数量正在增加，Ryuk讹诈病毒的感染和传播过程都是由攻击者手动完成的。然而，环球影城勒索病毒不具备主动传播。黑客入侵内部网后，它被人工植入目标主机。MegaCortex病毒也是攻击者试图获取管理凭据的一部分，是“手动入侵”的一部分除了准确定位目标，这种方法还有其他好处:延长了“停留时间”，即从最初感染到安装讹诈软件之间的时间。

在此操作下，攻击者有时间分析受感染的网络，以确定网络中最关键的系统，并在释放讹诈软件之前获取受感染系统的密码，从而造成最大的损害。