盘点：2019 年全球 10 大“流行”勒索病毒

2019 年是勒索病毒针对企业进行攻击“爆发”的一年。这一年，仿佛全球各地都在被“勒索”，每天都有不同的政府、企业、组织机构被勒索病毒攻击的新闻出现。勒索病毒已经成为网络安全最大的威胁。利用勒索病毒犯罪也是全球危害最大的网络犯罪组织活动。下面我们来盘点一下 2019 年全球十大流行勒索病毒家族。

一、STOP 勒索病毒

STOP勒索病毒最早出现在 2018 年 2 月份左右。

从 2018 年 8 月份开始在全球活跃，它主要通过捆绑其它破解软件、广告类软件包等渠道进行感染传播。而最近一两年，STOP 勒索病毒通过捆绑 KMS 激活工具进行传播，甚至还捆绑过其他防毒软件。

截至目前，此勒索病毒一共有 160 多个变种。虽然此前 Emsisoft 公司已经发布过它的解密工具，能解密 140 多个变种，但最新的一批 STOP 勒索病毒仍无法解密。如下所示：

勒索提示信息，如下所示：

二、GandCrab 勒索病毒

2018 年 1 月，首次观察到GandCrab勒索病毒感染韩国公司。

此后，该勒索病毒迅速在全球扩张，包括 2018 年初的美国受害者，至少 8 个关键基础设施部门受此影响。因此，GandCrab 迅速成为最流行的勒索病毒。估计 2018 年中期，该勒索病毒已经占据勒索软件市场份额的 50%。

专家估计，GandCrab 在全球范围感染超过 500000 名受害者，造成超过 3 亿美元的损失。它使用勒索软件即服务（RaaS）的商业模式运营，通过将恶意软件卖给购买勒索病毒服务的合作伙伴，来换取 40％的赎金。

从 2018 年 1 月到 2019 年 6 月，此勒索病毒多现多个不同的变种。2019 年 1 月，此勒索病毒 GandCrab5.1 变种版本开始在全球流行，直到 2019 年 6 月 1 日，GandCrab 勒索病毒运营团队宣布关闭他们的网站，并声称他们已经赚了 20 亿美元赎金。

两周后，Bitdefender 与欧州刑警组织、联邦调查局、众多执法部门以及 NoMoreRansom 机构合作，发布 GandCrab 勒索病毒的解密工具，可以适用于 GandCrab1.0、4.0、5、5.2 等版本，此勒索病毒的故事就此结束，加密后的文件，如下所示：

勒索提示信息，如下所示：

最近半年确实没有发现这款勒索病毒的最新变种，取而代之的是另一款新型勒索病毒 REvil/Sodinokibi，而且这款勒索病毒全版本的解密工具也已经公布。

三、REvil/Sodinokibi 勒索病毒

Sodinokibi 勒索病毒(也称 REvil)，2019 年 5 月 24 日首次在意大利被发现。

在意大利，它被发现使用 RDP 攻击方式进行传播感染。这款病毒也被称为 GandCrab 勒索病毒接班人。短短几个月，它就在全球大范围传播。这款勒索病毒与 GandCrab 存在很多关联。国外安全研究人员此前已经发布多篇关于这两款勒索病毒相关联的文章。

Sodinokibi 勒索病毒也是采用 RaaS 模式进行分发和营销，并采用一些免杀技术避免安全软件检测到。它主要利用Oracle WebLogic漏洞、Flash UAF 漏洞、网络钓鱼邮件、RDP 端口、漏洞利用工具包等方式发起攻击。

此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

四、Globelmposter 勒索病毒

Globelmposter勒索病毒首次出现于 2017 年 5 月份，它主要通过钓鱼邮件进行传播。

2018 年 2 月，国内各大医院爆发 Globelmposter 变种样本 2.0 版本，通过溯源分析发现此勒索病毒可能是通过 RDP 爆破、社会工程等方式进行传播。

此勒索病毒采用 RSA2048 加密算法，导致加密后的文件无法解密。随后一年多的时间里，这款勒索病毒不断变种，2018 年 8 月出现此勒索病毒的“十二生肖”版，2019 年 7 月出现此勒索病毒的“十二主神”版。两大版本相差正好一年时间，“十二主神”版后面又出现一些小版本变化，主要是加密后的文件后缀出现微小变化。

此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

五、CrySiS/Dharma 勒索病毒

CrySiS 勒索病毒，又称 Dharma，首次出现于 2016 年。

2017 年 5 月，此勒索病毒的万能密钥被公布后，之前样本可以解密，导致此勒索病毒曾消失一段时间，不过随后又马上出现其最新的变种样本，加密后缀为 java。

通过 RDP 暴力破解的方式进入受害者服务器加密勒索，此勒索病毒加密算法采用 AES+RSA 方式，导致加密后文件无法解密，在最近一年时间里，这款勒索病毒异常活跃，变种已经达到一百多个。

此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

六、Phobos 勒索病毒

Phobos 勒索病毒在 2019 年非常活跃。

它首次出现于 2018 年 12 月，国外安全研究人员当时发现一种新型勒索病毒，加密后的文件后缀名为 Phobos，这款新型勒索病毒与 CrySiS(Dharma)勒索病毒有很多相似之处，同样使用 RDP 暴力破解的方式进行传播，两者使用非常相似的勒索提示信息，所以很容易搞混淆。

想要确认是哪个家族的勒索病毒，最好方式就是捕获到相应的样本，然后通过人工分析进行确认。单纯的通过勒索提示信息，很难辨别，两款勒索病毒背后是否是相同的黑客团伙在运营，需要捕获到更多证据。此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

七、Ryuk 勒索病毒

Ryuk 勒索病毒最早于 2018 年 8 月被发现，它由俄罗斯黑客团伙 GrimSpider 幕后操作运营。

GrimSpider 是一个网络犯罪集团，使用 Ryuk 勒索软件对大型企业及组织进行针对性攻击。C.R.A.M. TG Soft(反恶意软件研究中心)发现 Ryuk 勒索软件主要是通过利用其他恶意软件如 Emotet 或 TrickBot 等银行木马进行传播。

Emotet 和 TrickBot 银行木马主要用于盗取受害者银行网站登录凭据，同时充当下载器功能，提供下载其它勒索病毒服务。Emotet 和 TrickBot 银行木马传播 Ryuk 勒索病毒，是因为 TrickBot 银行木马传播渠道的运营者是俄罗斯黑客团伙 WIZARD SPIDER。而 GRIM SPIDER 是俄罗斯黑客团伙 WIZARD SPIDER 的部门之一。此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

八、Maze(迷宫)勒索病毒

Maze（迷宫）勒索病毒，又称 Chacha 勒索病毒，最早于 2019 年 5 月由 Malwarebytes 安全研究员发现。

此勒索病毒主要通过各种漏洞利用工具包 Fallout、Spelevo，伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播。最近一段时间里，Proofpoint 安全研究人员发现一个新型的黑客组织 TA2101，通过垃圾邮件的方式对德国、意大利、美国发起网络攻击，传播 Maze(迷宫)勒索病毒。

此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

九、Buran 勒索病毒

Buran 勒索病毒首次出现于 2019 年 5 月，它是一款基于RaaS模式传播的新型勒索病毒。

Buran 在一个著名的俄罗斯论坛中销售。与其他基于 RaaS 勒索病毒获得 30%-40%的收入不同，Buran 勒索病毒的作者仅占感染产生的 25%收入，安全研究人员认为 Buran 是 Jumper 勒索病毒的变种样本，同时 VegaLocker 勒索病毒是该家族最初的起源，由于其丰厚的利润，使其迅速开始在全球传播感染。

Buran 勒索病毒此前使用 RIG Exploit Kit 漏洞利用工具包进行传播，其利用了 IE 的一个比较严重的漏洞 CVE-2018-8174。近期发现，此勒索病毒利用 IQY(Microsoft Excel Web 查询文件)进行传播。此勒索病毒加密后的文件，如下所示：

勒索病毒信息，如下所示：

十、MegaCortex 勒索病毒

MegeCortex 勒索病毒最早于 2019 年 1 月份被人在 VT 上发现。当时，有人在 VT 上传了一个恶意样本，英国网络安全公司 Sophos 在 5 月份发布一个关于 MegaCortex 勒索病毒的相关分析报告。

笔者此前在分析时发现，此勒索病毒早期版本与去年流行的 SamSam 勒索病毒有些类似，都使用了 BAT 脚本，同时都使用密码参数，两款勒索病毒的负载加载手法类似，不过暂时还没有更多证据证明两款勒索病毒存在关联。

MegaCortex 勒索病毒从 1 月份被人上传到 VT 后，网络安全公司 Sophos 监控到此勒索病毒的数量一直在增加，并对此勒索病毒进行详细分析报道，该勒索病毒曾经对欧州和北美多个行业发起过勒索攻击，并要求支付高额赎金，美国、加拿大、荷兰、爱尔兰、意大利和法国等国家的一些企业网络都曾受到此勒索病毒的攻击。

2019 年 8 月，MegaCortex 勒索病毒 V2.0 版本被发现，重新设计负载的运行过程，它会自动执行不需要安装密码的要求，作者将密码硬编码在了二进制文件中，同时还加入一些反分析，以及阻止和杀死各种安全产品和服务的功能，此过程在之前的版本中是通过在在每个受害者主机上手动执行相关的批处理脚本来完成的，最新的版本不需要手动执行，都封装在了二进制程序中。此勒索病毒加密后的文件，如下所示：

勒索提示信息，如下所示：

全球这些主流的勒索病毒，笔者都曾详细跟踪并研究过，相关报告可以查看之前文章，2019 年下半年又出现了一些新型的勒索病毒，比方 NEMTY 勒索病毒、EvaRichter(GermanWiper)勒索病毒等。这几款新型的勒索病毒主要在国外比较流行，目前发现的大部分流行勒索病毒暂时无法解密，重点在防御，针对勒索病毒的一般防范措施，笔者总结了以下几条建议，仅供参考：

1、及时给电脑打补丁，修复漏洞；

2、谨慎打开来历不明的邮件，点击其中链接或下载附件，防止网络挂马和邮件附件攻击；

3、尽量不要点击 office 宏运行提示，避免来自 office 组件的病毒感染；

4、需要的软件从正规（官网）途径下载，不要用双击方式打开.js、.vbs、.bat 等后缀名的脚本文件；

5、升级防病毒软件到最新的防病毒库，阻止已知病毒样本的攻击；

6、开启 Windows Update 自动更新设置，定期对系统进行升级；

7、养成良好的备份习惯，对重要数据文件定期进行非本地备份，及时使用网盘或移动硬盘备份个人重要文件；

8、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃，黑客会通过相同的弱密码攻击其它主机；

9、如果业务上无需使用 RDP 的，建议关闭 RDP，以防被黑客 RDP 爆破攻击

通过笔者一直跟踪与分析，预测勒索病毒攻击在明年可能会越来越多，而且使用的攻击手法会越来越复杂，攻击也会越来越具有针对性和目的性，不排除未来会有更多的新型黑客组织加入进来，通过勒索病毒迅速获利，各企业要做好相应的防范措施，提高自身员工的安全意识，以防中招。（作者：熊猫正正，本文转自freebuf)