2020上半年十大典型勒索软件大盘点

　　NetWalker（又名Mailto）勒索软件最早于2019年8月首次发现，Mailto是基于加密文件名格式的勒索软件的名称，Netwalker是基于勒索软件的勒索信内容给出的名称，目前针对的目标是企业和政府机构，近期开始活跃。Netwalker活动背后的攻击者使用常见的实用程序、开发后工具包和living-off-The-land，LOTL策略来探索一个受到破坏的环境，并尽可能多地获取数据。这些工具可以包括mimikatz（及其变体）、各种PSTools、AnyDesk、TeamViewer、NLBrute等。勒索软件利用PowerShell编写，直接在内存中执行，没有将实际的勒索软件二进制文件存储到磁盘中。恶意软件利用了反射动态链接库（DLL）注入的技术，也称reflective DLL加载，可以从内存注入DLL，不需要实际DLL文件，也不需要任何Windows加载程序即可注入。这让此勒索病毒成为了无档案病毒（fileless malware），能够保持持续性，并利用系统内的工具来进行攻击而不被侦测到和杀软查杀。

　　在加密完成后，进程退出前最后会弹出勒索信，勒索提示信息文件[加密后缀]-Readme.txt，加密后的文件后缀名为随机字符串。

　　6、勒索软件CLOP

　　Clop勒索软件于2019年2月出现在公众视野中，Clop背后团队的主要目标是加密企业的文件，收到赎金后再发送解密器。目前Clop仍处于快速发展阶段。该恶意软件暂无有效的解密工具，致受害企业大量数据被加密而损失严重。

　　与其他勒索病毒不同的是，Clop勒索软件部分情况下携带了有效的数字签名，数字签名滥用和冒用在以往情况下多数发生在流氓软件和窃密类木马程序中。勒索软件携带有效签名的情况极为少见，这意味着该软件在部分拦截场景下更容易获取到安全软件的信任，进而感染成功，造成无法逆转的损失。

　　Clop勒索软件通过多种途径感染受害者的计算机设备。主感染文件会利用随机脚本提取恶意可执行文件，恶意Java脚本被设置为通过诱使受害者访问或被重定向至恶意站点将恶意可执行文件下载并安装至受害者计算机上。另一种分发传播Clop勒索软件的途径是利用插入到文档中的恶意宏代码。这些文档常以垃圾邮件附件的形式发送给受害者。

　　此恶意软件旨在通过附加“.Clop ”扩展名来加密受害计算机上的数据并重命名每个文件。例如，“sample.jpg”被重命名为“sample.jpg.Clop”。成功加密后，Clop会生成一个文本文件“ClopReadMe.txt”并在每个现有文件夹中放置一个副本，文本文件包含赎金通知消息。

　　7、勒索软件EKANS

　　EKANS勒索软件（也称Snake），于2020年1月首次被发现，是一种新的勒索软件，专门针对工业控制系统。EKANS代码中包含一系列特定用于工业控制系统功能相关的命令与过程，可导致与工业控制操作相关的诸多流程应用程序停滞。EKANS勒索软件是用Golang编写的，将整个网络作为目标，并且存在大量混淆。其中，包含了一种常规混淆，这种混淆在以前并不常见，通常是与目标方法结合使用。

　　EKANS在执行时会删除计算机的卷影副本，还会停止与SCADA系统、虚拟机、工业控制系统、远程管理工具、网络管理软件等相关的众多进程。然后，EKANS还会加密系统上的文件，从而跳过Windows系统文件和文件夹。在文件扩展名后面还会附加一个勒索5字符字符串（即名为invoice.doc的文件被加密并重命名为invoice.docIksrt）。该恶意软件在每个加密文件后附加了“EKANS”文件标记。加密过程完成后，勒索软件将在C:UsersPublicDesktop文件夹中创建一个勒索记录（名为“Fix Your Files.txt”），其中包含要联系以接收付款指示的电子邮件地址。EKANS目前的主要感染媒介似乎是钓鱼附件。

　　8、勒索软件Nefilim

　　Nefilim出现于2020年3月，可能是通过公开的RDP（远程桌面服务）进行分发。Nefilim与Nemty共享许多相同的代码，主要的不同之处在于，Nefilim移除了勒索软件即服务（RaaS）的组件，依靠电子邮件进行支付，而不是Tor支付网站。Nefilim使用AES-128加密文件，每个加密的文件都将附加.NEFILIM扩展名，加密完成后，调用cmd命令进行自我删除。释放的勒索信中包含不同的联系电子邮件，并且威胁如果在7天内未支付赎金，将会泄漏数据。

　　从技术上讲，Nefilim目前主要的传播方法是利用易受攻击的RDP服务。一旦攻击者通过RDP进入了网络，他们就会继续建立持久化，在可能的情况下查找和窃取其他凭证，然后将勒索软件的payload传播给潜在目标。

　　9、勒索软件Ragnar Locker

　　RagnarLocker勒索软件在2019年12月底首次出现，是一种新的勒索软件，将恶意软件部署为虚拟机（VM），以逃避传统防御。勒索软件的代码较小，在删除其自定义加壳程序后仅有48KB，并且使用高级编程语言（C/C++）进行编码。

　　RagnarLocke是使用GPO任务执行Microsoft Installer（msiexec.exe），传递参数从远程Web服务器下载并以静默方式安装制作的122 MB未经签名的MSI软件包。MSI软件包包含一个Oracle VirtualBox虚拟机管理程序和一个名为micro.vdi的虚拟磁盘映像文件（VDI），该文件是Windows XP SP3操作系统的精简版本映像。由于vrun.exe勒索软件应用程序在虚拟客户机内部运行，因此其过程和行为可以不受阻碍地运行，物理主机上的安全软件是无能为力的。

　　RagnarLocker在选择受害者时是很有选择性的。目标往往是公司，而不是个人用户。该恶意软件的目标是对可以加密的所有文件进行加密，并提出勒索，要求用户支付赎金以进行解密。

　　10、勒索软件PonyFinal

　　一种新型的人工勒索软件“PonyFinal”，通过手动启动有效载荷来部署攻击。它对目标公司的系统管理服务器使用“暴力手段”，无需依靠诱骗用户通过网络钓鱼链接或电子邮件来启动有效负载。主要针对在COVID-19危机中的医疗卫生机构。

　　PonyFinal的入侵点通常是公司系统管理服务器上的一个账户，PonyFinal的黑客们使用猜测弱密码的暴力攻击来攻击该帐户。一旦黑客进入内部系统后，他们会部署Visual Basic脚本，该脚本会运行PowerShell反向外壳程序以转储和窃取本地数据。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!