螣龙安科:“迷宫”勒索病毒——究竟何时才能走出?

尽管这种勒索软件已经存在了十二个月以上,但是在使用了加密算法之后,它最初被简称为ChaCha。

但是,从2019年5月起,其背后的犯罪分子采用了“迷宫”这个名称,甚至提出了自己的视觉“品牌”:

犯罪分子甚至会在扰乱您的文件后与您交谈-当然,虽然不是他们自己的声音-并使用您的用户名致电给您,以确保您知道他们希望得到报酬。

令人遗憾的是,最近几个月迷宫新闻频繁出现,特别是因为创建该迷宫的团伙处于新一波“双重打击”勒索软件攻击的先头。

骗子要求你支付勒索钱的原因:

  • 付费以获取解密密钥以恢复您的宝贵文件,这些是我们与恶意软件一起加密的。
  • 付钱停止我们释放您的贵重文件,在我们对它们进行加扰之前,我们已对其进行了复制。

早期勒索病毒

当勒索软件首次出现时(可追溯到1989年),家庭互联网基本上是闻所未闻的,因此臭名昭著的AIDS Information Trojan的犯罪者不得不依靠邮寄软盘。

这些邮件以带有真实邮票的真实信封寄出,发送给世界各地成千上万的实际地址。

因此,加密是一种捷径,它避免了首先复制受害者文件以将其勒索的方法,因为文件实际上是“绑架”的,这意味着无需与任何网络建立主动连接即可​​实施犯罪。 

在2010年代,诸如CryptoLocker,Locky和Teslacrypt之类的现代文件锁定勒索软件系列的第一波遵循了类似的方法。

即使该恶意软件现在是通过Internet(通常是通过大量垃圾邮件活动)传递的,但犯罪分子仍在要求付款之前坚持将文件扰乱到位。

他们的目的是同时吸引成千上万的受害者,每个受害者的费用通常徘徊在300美元左右。

从成千上万的计算机上上传数百或数千兆字节是所有用户的噩梦,尤其是考虑到当时典型的家庭互联网连接的上载速度不超过1兆比特/秒。

实际上,骗子根本不需要上传任何东西,甚至不需要他们在攻击的每台计算机上使用的随机生成的加密密钥。

他们所需要做的就是在用公用加密密钥对受害者进行解密之后,向受害者显示秘密解密密钥,而只有骗子才拥有匹配的私钥。

公钥加密使用不同的密钥来锁定和解锁数据,并且您无法从公钥向后进行操作以恢复私钥。 因此,骗子只要将私钥保留给自己,就可以将其公钥嵌入勒索软件程序中。

勒索病毒后续发展

迷宫人员是最早的勒索软件帮派之一,转向勒索和敲诈勒索的结合,要求受害者支付有效的现金和绑架勒索。

实际上,该团伙甚至在其网站上设置了两个不同的部分:一个是受害者去付钱的部分,第二个是该团伙本身公开发布“新闻稿”,以命名和羞辱拒绝合作的受害者。

勒索病毒的页面上有一个警告,上面写着:

如果您已被锁定并试图忽略它,则应了解:

–有关安全漏洞的所有信息将公开发布
–具有商业价值的信息将在暗市场中出售
–所有违规信息将发送到大众媒体
–您所列出的所有证券交易所都会收到通知,告知您您被黑,锁定和丢失了敏感信息
–我们将使用获得的信息来攻击您的客户和合作伙伴。 我们还将通知他们有关信息来源

该怎么办?

鉴于勒索软件的弊端不仅使您远离数据,而且威胁要与世界其他地方保持联系,因此预防远胜于治愈。

我们的最高提示是:

  • 尽早修补,经常修补。骗子一次发起所有网络攻击,就可以花时间探究他们所知道的任何现有漏洞。尽快修补已知的错误,使他们变得更难。
  • 检查您是否没有意外的方式进入网络。可以使用RDP和SSH之类的技术进行远程管理–只需确保您唯一的远程登录门户位于您期望的位置并按预期进行设置即可,例如在VPN(虚拟专用网络)中。
  • 看你的日志。勒索软件攻击首先会窃取大量数据,而骗子会仔细地学习如何遍历您的网络,但往往会留下明显的迹象,表明有人在不该去的地方闲逛。
  • 为员工设置预警电子邮件地址。骗子经常使用网络钓鱼电子邮件来挖掘他们本来不应该拥有的密码或数据,以便找到自己的路。骗子很少向组织中的一个人发送电子邮件,因此,发出警报的警报人员会发出警告。 50位同事,否则可能会受到伤害。
posted @ 2020-06-06 08:26  螣龙安科  阅读(200)  评论(0编辑  收藏  举报