目前在一些安全厂商的威胁情报系统中跟踪超过150个不同的加密勒索家族。这些加密勒索家族都是截然不同的……

Ransomware Today

       每周，我们都会看到新闻里的新标题, 讲述着某个组织遭到勒索攻击后运作被迫关闭或严重降级的事件。 虽然盗窃数据的新闻可能会被忽视或者根本没有人报导,但是这种勒索攻击是会产生很大的公众影响。如今勒索已经从利基攻击转变为当今规模最大的组织威胁之一。 

       unit42目前在PALO AUTO Networks® Auto Focus™上下文的威胁情报系统中跟踪超过150个不同的加密勒索家族. 这些加密勒索家族都是截然不同的, 但都遵循着非常相似的剧本来证明了一个CryptoLocker。我们观察到克隆之间的差异比重大的，进化更精细，除了非营利动机的赎金软件变体。

       分布模型已经被更新了，以此用来利用额外的攻击向量。CryptoWall因为会利用各种可用工具包来允许有效负载的传递和执行，这之间完全不需要用户交互来成功感染，因此而臭名昭著。众所周知，LoKy被封装嵌入在恶意文档中，以便加载和执行。而其他变种，如SamSa，已经观察到由操作员手动加载而不用任何命令和控制，自动化通信，或交付。随着越来越多的组织开始剥离带有.exe扩展的文件时，TeslaCrypt操作符转向使用.zip归档文件中的JavaScript文件作为其有效负载的下载程序。 

       攻击计划的其他部分也得到了改进, 例如使用各种匿名网络 (如 TOR 或 I2P) 进行命令和控制通信, 以规避网络检查, 使用 CAPTCHAs 用于支付着陆页以躲避安全研究人员,甚至其他的功能也为受害者的提供了可用性。现在许多加密勒索的变体提供了很多功能, 如实时聊天的技术支持和本地化工作, 提供翻译的指示, 基于地理定位的受害者主机的 IP 地址。

       随着对手在勒索攻击中不断地发展技术和战术, 开发人员和运营商之间也已经建立了更多的划定。犯罪分子现在可以执行勒索攻击, 几乎没有任何专门知识就能开发恶意软件, 甚至深入了解网络攻击。勒索已经变得如此商业化, “勒索即服务” 的概念现在是勒索攻击的一个独特和非常真实的方面。利用 RaaS 商业模式的最臭名昭著的变体之一Cerber。再通过许可或租赁 Cerber 的费用或百分比的赎金, 甚至非技术性的犯罪分子都可以简单地导航到 RaaS 网站, 输入几个参数, 就能立刻获得定制的勒索变种, 并且不断的更新和发展, 还包含了新的功能和规避策略。因此勒索现在变得更加容易接近普通罪犯, 甚至管理突破技术专长障碍。

       网络罪犯已经意识到，勒索软件是一项利润丰厚的业务，几乎没有成本和低成本就能进入壁垒，并且利用AIDS、GPCode和CryptoLocker制定的框架，就已经成功掌握了这种犯罪业务模式所需的五个步骤。现在他们开始向外部平台扩展攻击，这已经不止针对于Windows系统了，这还包括通过第三方APK文件加载的Android手机，这些文件带有用户交互，最近还有Mac OS X系统。直到2016年3月，OS X在很大程度上被忽略或根本没有有效地加密勒索软件攻击，运算符。在2016年3月6日，我们发现了第一个专门针对OS X主机的密码赎金实例，称为KeRanger。 

      KeRanger以一种稍微独特的方式分发——运营商泄露了名为“传输”的流行BitTorrent客户端的网站，并且使网站上的安装包木马化。这不是一个新的战术了，它涉及到一般的恶意软件分发，但以前从没有被观察到。关于OS X上的勒索软件的关系。

Ransomware as an Espionage Tool

       总的来说，利润动机的勒索攻击在战术、技术和程序方面仍然是相同的。然而，在2017，我们开始观察利用勒索式战术的攻击，同时也在寻求以间谍为基础的结果。

RanRan

       在 2017年3月, 我们发现了一个全新的勒索变种针对在中东的几个组织, 我们命名为 “RANRAN”。直到今天, 我们在那个特定区域的时间框架内发现的攻击仍然是曾经被报告或讨论过的RANRAN的唯一实例。RANRAN非常独特, 因为它根本不是利润驱动的。相反, 一旦用户感染了RANRAN, 勒索说明要求受害者创建一个特定的网站, 并对该地区的政治领导人进行煽动性和暴力言论。这不是试图产生货币收益;相反, 这是政治敲诈。除了相当独特的动机和勒索说明, 实际的恶意软件本身的表现非常类似于其他已知的勒索, 在整个文件系统中枚举潜在的重要文件, 并用一个特定的密钥对它们进行加密。

WannaCry

       虽然RanRan显然是作为间谍手段部署的赎金，但它在时间框架和区域上仍然相当孤立。被称为WannaCry、WanaCrypt0r、WannaCrypt等的攻击将迅速改变我们对如何利用赎金工具来造成大规模破坏的看法。 

       2017年5月12日，一场勒索攻击被发起，一天之内，超过150个国家的23万多用户被报告感染了。这次攻击的是WaNaRYPYT0R，这是第一个勒索软件蠕虫的例子。在表面上，它看起来像大多数其他的勒索软件变体一样，列举了重要的系统文件，对其进行加密，并要求大约300美元的赎金来解密文件并允许恢复操作。 

       蠕虫攻击是独特的，因为它们在初始感染后的传递机制本质上是自动的。任何蠕虫攻击的目标通常是尽可能快地感染尽可能多的系统。随着攻击的增长规模，感染的速度也呈指数增长，因为越来越多的受害者加入感染者。最早发现的一种蠕虫是2008年11月出现的。据检测感染者多达1500万人。针对整个全球系统，它最终目标是创建一个庞大的僵尸网络，犯罪分子将从中获利。从那时起, 我们就没有发现WanaCrypt0r 的这种规模的蠕动攻击。WanaCrypt0r攻击是一个有趣的现象，因为各种因素在起作用，使得它变得如此有效还受到如此多的关注。最初的受害者是联合王国国家卫生局，该局立即报告称，其业务被大规模自传的赎金蠕虫扰乱。随着蠕虫继续蔓延到英国NHS之外，对其进行了更多的分析，几件事情变得明显： 

• 政府实体可能开发的两种工具正在被用于传播
• 勒索的经营者没有办法辨认出唯一的受害者和他们的付款
• 勒索本身包含了一个 “杀伤开关”

       用于传播的工具称为 ETERNALBLUE 和 Double Pulsar。这两种工具以前都是在一个叫做影子经纪的实体的数据转储中披露的, 声称美国政府实体为进攻行动开发了它们。ETERNALBLUE 是一种利用 Microsoft Windows 短消息块中的漏洞, 或者是 SMB 协议, 它主要用于文件传输。它允许任意执行转移的文件, 在这种情况下执行Double Pulsar。Double Pulsar是一种在内存中运行的后门工具, 允许它被 “fileless”, 并在被 ETERNALBLUE 执行之后使用, 然后安装实际的 WanaCrypt0r 勒索负载。

       除了自我传播和安装的机制之外, 很快就变得被发现外, 根据 WanaCrypt0r 勒索说明记录的书写方式–使用一小部分硬编码的比特币钱包–没有办法让运营商识别特定的受害者。也就是说无法明显的区分受害者, 如唯一的受害者 ID, 支付钱包, 或加密密钥。这就引出了一个问题: 这次攻击的终极目标是什么？

       最后, 当蠕虫继续传播和攻击时, 一名安全研究员发现了 WanaCrypt0r 有效载荷本身的 “杀伤开关” 功能。当在受害者主机上执行勒索负载时, 将对特定域执行初始检查, 希望它没有响应。如果作出反应, 勒索将立即停止执行。关于这一特定函数是否包含在负载中的主要理论是, 它可能被用作一种反分析技术来规避沙盘和其他分析环境。其想法是, 在沙盒或类似的环境中, 任何网络活动都会被响应, 以使恶意软件相信它感染了实际的受害者。不幸的是, WanaCrypt0r 的创造者, 他们忽略了注册域名, 这意味着, 一旦安全研究员注册域, 并开始响应任何检查, 所有未来的感染将立即失败。由于这些因素, WanaCrypt0r 的袭击在2017年5月15日三天后才有效地停止。

       检查这种攻击结果从多个角度来看他揭示了几个有趣的观点。首先，存在补丁的问题——微软在2017年3月发布了一个针对ETERNALBLUE所利用的SMB漏洞的补丁，远远提前了 这次的袭击，即使没有应用补丁，为什么SMB在如此多的组织中暴露于外部网络？SMB通常与内部网中的文件传输相关联，与其他可能更适合的协议相比较，外部网络。第三，攻击本身有几个因素并不十分合算，比如对受害者不特定的普通勒索说明和包括杀人开关。然而，有两件事情是肯定的：这次袭击在全世界造成了严重的破坏，并赢得了媒体的显著恶名。 

NotPetya

       当世界仍在从WanaCrypt0r勒索软件蠕虫所带来的影响中摇摇欲坠时，我们开始展开联想，如何将勒索软件策略用于除了纯利润之外的动机，这时我们观察到了利用勒索软件技术的另一种攻击。2017年6月27日，一种称为“A”的攻击。 “供应链”攻击被发起，乌克兰大量使用的一种名为“MeDocs”的会计软件开始通过软件更新向其用户推送自己的特洛伊化版本。MEDOCS被认为有大约400000用户，并且在超过90%的乌克兰税务公司使用。对手被认为已经危害了内部MeDocs系统，允许该人或组通过合法的更新通道分发特洛伊木马化版本。 

       MeDOCS中的有效载荷最初看起来是一种名为PITYA的著名勒索变体的版本。Petya的独特之处在于，它是一个不以文件为目标的勒索软件，而是对主引导记录进行加密，从而使受害者系统无法正常运行。在MeDocs内部发现的版本使用ETERNALBLUE和DoublePulsar，修改了目标文件以及包含WanaCrypt0r中发现的分发机制。对有效载荷的进一步分析表明修改是如此广泛。它开始被称为NotPetya和其他变种，如SortaPetya和Nyetya。NotPetya包含比原始Petya勒索软件有多得多的功能，包括文件覆盖、远程访问、凭证获取和任意文件执行。NoPETYA也有能力识别和指纹独特的主机，表明这种攻击是更针对性的性质。

       这表明攻击是更有针对性的性质。这次袭击主要是孤立于乌克兰国家, 但由于网络的无国界性质与地理边界相反, 乌克兰以外的一些组织也受到影响。据估计, 80% 的感染都在乌克兰。一些部委、银行、国有运输服务和能源服务受到影响。虽然受害者被显示清楚了说明的勒索的条件, 声称他们的文件可以很容易地被返回只要支付赎金， 但NotPetya 实际上覆盖了重要文件, 他们会给受害者留下永久地损坏。此外, 这次袭击是在乌克兰公众假期, 宪法日前夕执行的。还好政府办公室可能早已经没人了, 否则可能会导致更成功的攻击。

      由于这些因素，据信NotPetya袭击可能是一次有针对性的袭击，其目标是破坏和削弱乌克兰国家，特别是伪装成传统的勒索攻击。2017年6月28日，乌克兰政府发布了一份声明，表示袭击已经停止。2017年7月4日，在发现NotPetya运营商继续访问的潜在证据后，乌克兰警方突袭了MeDocs办公室，并没收了其服务器。

The Future of Ransomware

       近期勒索软件的成功研发并没有减缓或停止的迹象。勒索软件的商业模式已被证明在将受感染的计算机转化为网络罪犯的收入方面是非常有效的，并且正在取代以前的模式。显示弹出式广告和发送垃圾邮件已经不再像以前那样有利可图，但几乎所有的计算机或设备都是潜在的赎金对象。 

       除了我们一直与勒索攻击有联系的利润动机的敌人之外，我们现在开始看到更多不同的攻击，其中勒索技术正被有间谍动机的敌人所利用。考虑如何有效的对抗这些攻击甚至已经在数量有限的攻击中启动，毫无疑问，我们将观察更多的攻击与这些类型的战术进行部署。在未来，我们可以看到在RANSOWSH中的以下发展。 

More Platforms

      如前节所述，勒索软件已经从Windows移动到Android设备，还有一种目标是MacOSX。没有哪一种系统能够免疫攻击，攻击者可以持有的任何设备都将是未来的目标。随着互联网的发展，这个概念将更加适用。虽然攻击者可能会危害到互联网连接的冰箱，但是将感染转变为收入流将是一个挑战。勒索软件业务模型可以应用于，在这种或任何其他情况下攻击者可实现文档中早先标识成功。在感染了冰箱之后，攻击者可以远程禁用冷却系统，并且只有在受害者支付了少量费用之后才能重新启用它。

Higher Ransoms

      大多数单系统勒索攻击收费200美元和500美元之间的赎金, 但价值可能会高得多。如果攻击者能够确定他们已经破坏了存储有价值信息的系统, 并且受感染的组织有更高的支付能力, 他们将相应地增加赎金。我们已经在2016年对医院的一些高调勒索攻击中看到了这一点, 在那里支付的赎金远远超过1万美元。

Defense Against Ransomware

       虽然防范赎金攻击与防范其他涉及恶意软件的攻击没有完全不同，但它确实为网络维护者、系统管理员和用户带来了新的挑战和机遇。理解勒索赎金制度如何发展到目前的状态，使我们能够更好地理解为什么网络罪犯可能使用某些策略或方法，以及如何防范它们。

       任何组织都不想被勒索攻击到关闭，或者被迫支付赎金来获取数据。为了避免这种情况，最好意识到这种威胁，并制定一个计划，以便在它成为问题之前阻止它。对勒索软件的防御可以分为三个主要类别：准备、预防和响应。 

Preparation

Backup and Recovery

       准备备份和恢复针对勒索的最佳防御之一是通过备份和数据恢复过程。如果您可以从备份中恢复加密的文件, 您将能够从成功的勒索攻击中恢复, 而不会对您的组织造成任何影响。备份应保存在勒索不可访问的位置, 例如, 不是连接的 USB 驱动器。 攻击者被称为目标备份, 这是他们加密所有有价值文件的努力的一部分。测试从备份恢复文件的过程几乎和备份本身一样重要。如果您从未测试过恢复过程, 则可能会发现备份没有您想象的那么安全。

Network Share Access Control

       安装到多个系统并包含共享数据的网络驱动器尤其容易受到RangsWuffs攻击。如果能够写入已挂载驱动器的系统或用户感染了赎金软件，则存储在网络共享上的所有文件也可能被加密。这将单一感染变成网络范围的中断。组织应审查其对网络共享的使用，以确保写访问限于尽可能少的用户和系统。由于大多数赎金软件攻击发生在用户浏览网页或阅读电子邮件时，因此在具有写访问权限的系统上限制这种活动是非常谨慎的。 

Prevention：

       勒索的攻击行为十分迅速——通常在感染几分钟内，“检测和响应”模型在限制其影响方面几乎没有价值。如果检测系统警告您发生了感染，那么阻止您的文件被加密可能已经太晚了。部署控件是至关重要的。 能够防止恶意软件进入网络并在存储有价值数据的系统上执行。

Email and Executable Controls

       勒索软件的攻击通常最开始是与电子邮件承载Windows开始的，其可执行文件或用户单击下载一个链接的链接。极少合法的场景，其中用户应该接收发送的可执行文件。电子邮件附件。通过Web浏览器下载可执行文件也是一个罕见的事件值得仔细审查。网络安全设备，如下一代防火墙，当它们遍历网络时，可以识别这些文件。并封锁或隔离它们。虽然这不会阻止所有的勒索攻击，但它会预防其中的许多，是预防的第一步。 

Unknown Malware Prevention

       基于签名的检测方法来检测新的恶意软件已被证明是不可靠的，这尚未在别的地方被观察到。发起赎金战役的攻击者在部署这些系统之前测试它们对这些系统的攻击，以确保不会检测到它们。为了保护您的组织免受这些快速变化的恶意软件变体的影响，您需要能够识别从未见过的威胁，并自动向网络发送新的保护。与匹配已知的恶意模式相反，这些系统利用沙箱分析在虚拟环境中通过静态和动态分析来识别恶意行为，包括全球威胁情报共享。 

Endpoint Control

       基于网络的安全设备有时对攻击是盲目的，尤其是那些利用SSL加密或其他形式的网络流量混淆的攻击。在这些情况下，最好的防御是基于端点的控制，它在启动恶意文件之前就应该停止执行。

User Identity Protection

       能够保护个人用户凭据的关键的是网络安全的整体。在整个网络中使用诸如强制多因素身份验证之类的技术可以有助于对付几种赎金软件类型的攻击。在一个蠕虫场景中，比如WanaCrypt0r，强迫用户在试图通过SMB协议访问另一个系统时重新进行身份验证，可能已经减缓了扩散，甚至将其隔离到单个系统。通常，在勒索的情况下，对手将凭借着通过各种渠道收集破坏合法邮箱的方式，通过合法电子邮件地址的钓鱼来分发他们的赎金。再次，部署多因素身份验证有助于防止对手获得访问权限。即使用户的邮箱密码已被泄露。 

Response

       如果你的预防控制失败了，你发现自己是赎金攻击的受害者，那么制定一个应对计划是很重要的。这个计划将帮助您做出正确的决策，以最小的影响来尽快恢复数据。

Understand the Threat

       随着每天会在网络上发现超过150个勒索家族的，最重要的第一个反应步骤是要明确知道你在做什么。大多数新的赎金病毒使用难以逆转的强密码，但在某些情况下，安全供应商已经找到在不支付赎金的情况下解密文件的方法。你唯一知道的方法就是先确定是哪种勒索。 

      通常，我们可以使用在系统中留下的RANSOM注释中的信息来识别一些勒索软件。诸如对手的电子邮件地址、赎金通知的文本甚至比特币钱包地址之类的信息可以帮助识别特定的赎金器家族。另一种选择是使用自动恶意软件分析或智能系统，可以识别勒索家族。

Prepare for the Worst

       支付赎金以获取文件应该是任何组织的最后手段。支付赎金是有助于资助犯罪企业的，并通过鼓励他人持有更多索取赎金的数据来持续攻击。即使你没有加密数据的备份，在付款前考虑也应该考虑以下几个问题： 

• 您能重现被盗的数据吗？
• 您是否有可以用新信息更新的旧版本的文件？
• 数据是否有储存于其他任何地方, 例如, 在没有在其他没有受到影响的系统上？

如果其他的一切都失败了, 你决定支付赎金, 那你应该准备好及时付款。因为几乎所有的勒索都需要通过比特币 cryptocurrency 付款, 但在几个小时内获得成千上万美元的比特币可能会相当棘手。任何响应勒索计划的一部分都应包括，如何在最坏情况下帮助支付的细节。