用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



看看勒索病毒的历史,最具破坏性的勒索病毒攻击以及这种病毒威胁的未来。

2024-07-19 23:59:06 5196 编辑:91数据恢复专家 来源:本站原创
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
自2000年代中期以来,勒索病毒一直是对企业,中小企业和个人的重大威胁。2017年,FBI的互联网犯罪投诉中心(IC3)收到了1,783项勒索病毒投诉,受害者的费用超过230万美元。但是,这些投诉仅代表报告给IC3的攻击。勒索病毒攻击的实际数量和成本要高得多。实际上,仅去年一年,据估计就有1.84亿个勒索病毒攻击。勒索病毒最初是针对个人的,如今仍然构成了大多数攻击。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
[[{{fid“:” 18071“,” view_mode“:”默认“,”字段“:{” format“:”默认“,” alignment“:”“,” field_file_image_alt_text [und] [0] [值] “:”“通过2017 Internet犯罪报告的图像”,“ field_file_image_title_text [und] [0] [值]”:“通过2017 Internet犯罪报告的图像”},“类型”:“媒体”,“ field_deltas”:{“ 1” :{“ format”:“默认”,“ alignment”:“”,“ field_file_image_alt_text [und] [0] [值]”:“通过2017年互联网犯罪报告的图像”,“ field_file_image_title_text [und] [0] [值] “:”通过2017 Internet犯罪报告提供的图像“}},”属性“:{” alt“:”通过2017 Internet犯罪报告提供的图像“,”标题“:”通过2017 Internet犯罪报告获取的图像“,”类“:”默认媒体元素文件“,”数据增量“:” 1“}}]]]7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
我们研究了勒索病毒从1989年首次有记载的攻击到今天的历史。我们将详细讨论一些最重要的勒索病毒攻击和变种。最后,我们看一下勒索病毒在2018年及以后的发展方向。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
目录:7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
什么是勒索病毒?7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
勒索病毒攻击如何发挥作用7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
第一次勒索病毒攻击7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
勒索病毒的演变7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
最大的勒索病毒攻击和最突出的变体7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
勒索病毒的未来7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
防范勒索病毒攻击7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
有关勒索病毒和勒索病毒攻击的进一步阅读7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

什么是勒索病毒?

勒索病毒 是一种恶意软件,可以访问文件或系统,并阻止用户访问这些文件或系统。然后,使用加密将所有文件甚至整个设备扣为人质,直到受害者支付赎金以换取解密密钥。该密钥允许用户访问由程序加密的文件或系统。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
尽管勒索病毒已经存在了数十年,但勒索病毒的种类已经变得越来越先进,它们具有传播,逃避检测,加密文件以及强迫用户支付勒索的能力。Ryan Francis解释说:“新时代的勒索病毒涉及高级分发工作,例如用于轻松和广泛分发新品种的预建基础架构,以及诸如使用加密器确保逆向工程非常困难的高级开发技术,” CSO和Network World的执行编辑。“此外,脱机加密方法的使用正变得越来越流行,勒索病毒利用了诸如Microsoft CryptoAPI之类的合法系统功能,从而消除了对命令和控制(C2)通信的需求。”7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
在受害者支付了超过500美元的赎金后,CryptoWall网站显示了解密说明。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
随着勒索病毒的稳定运行成为当今企业和个人面临的最重大威胁之一,毫不奇怪的是,攻击变得越来越复杂,预防更具挑战性并对其受害者造成更大破坏。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
勒索病毒攻击如何发挥作用7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
现在,我们对勒索病毒有了一个宽松的定义,让我们更详细地介绍这些恶意程序如何获得对公司文件和系统的访问权限。术语“勒索病毒”描述了该软件的功能,该功能旨在勒索用户或企业以获取经济利益。但是,该程序必须能够访问将持有赎金的文件或系统。这种访问是通过感染或攻击媒介进行的。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
恶意软件和病毒软件与生物疾病具有相似之处。由于这些相似之处,被视为切入点通常被称为“载体” ,就像流行病学界使用该术语指有害病原体的携带者一样。像生物界一样,系统有多种方法可以被破坏并随后被勒索。从技术上讲,攻击或感染媒介是勒索病毒获得访问权的手段。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
向量类型的示例包括:7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
电子邮件附件7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
[[{{fid“:” 18076“,” view_mode“:”默认“,”字段“:{” format“:”默认“,” alignment“:”“,” field_file_image_alt_text [und] [0] [值] “:”通过EDTS截屏。“,” field_file_image_title_text [und] [0] [值]“:”通过EDTS截屏。“},”类型“:”媒体“,” field_deltas“:{” 2“:{”格式“:”默认“,”对齐“:”“,” field_file_image_alt_text [und] [0] [value]“:”通过EDTS截屏。“,”“ field_file_image_title_text [und] [0] [value]”:“通过EDTS截屏。“}},”属性“:{” alt“:”通过EDTS截屏。“,”标题“:”通过EDTS截屏。“,”类别“:”media-element file-default“,” data-delta“:” 2“}}]]7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
用于分发勒索病毒的一种常见欺骗方法是发送令人信服的理由让企业打开伪装成紧急电子邮件附件的恶意软件。如果发票是发给企业主或应付帐款部门的,则很可能会打开它。像该列表中的许多相关策略一样,此策略会进行欺骗以获取对文件和/或系统的访问权限。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
留言内容7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
[[{{fid“:” 18081“,” view_mode“:”默认“,”字段“:{” format“:”默认“,” alignment“:”“,” field_file_image_alt_text [und] [0] [值] “:”通过Windows Club截屏“,” field_file_image_title_text [und] [0] [值]“:”通过Windows Club截屏“},”类型“:”媒体“,” field_deltas“:{” 3“:{ “ format”:“默认”,“ alignment”:“”,“ field_file_image_alt_text [und] [0] [value]”:“通过Windows Club截屏”,“ field_file_image_title_text [und] [0] [value]”:“通过Windows Club截屏”}},“属性”:{“ alt”:“通过Windows Club截屏”,“标题”:“通过Windows Club截屏”,“类”:“默认媒体元素文件”,“数据增量”:“ 3”}}]]]7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
勒索病毒攻击者采用的另一种欺骗手段是在社交媒体上向受害者发送消息。Facebook Messenger是此方法中使用的最重要的渠道之一。创建模仿用户当前“朋友”的帐户。这些帐户用于发送带有文件附件的邮件。一旦打开,勒索病毒就可以访问并锁定连接到受感染设备的网络。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
弹出窗口7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
[[{{fid“:” 18086“,” view_mode“:”默认“,”字段“:{” format“:”默认“,” alignment“:”“,” field_file_image_alt_text [und] [0] [值] “:”通过Fixyourbrowser截屏。“,” field_file_image_title_text [und] [0] [值]“:”通过Fixyourbrowser截屏。“},”类型“:” media“,” field_deltas“:{” 4“:{”格式“:”默认“,”对齐“:”“,” field_file_image_alt_text [und] [0] [value]“:”通过Fixyourbrowser截屏。“,” field_file_image_title_text [und] [0] [value]“:”通过Fixyourbrowser截屏。“}},”属性“:{” alt“:”通过Fixyourbrowser截屏。“,”标题“:”通过Fixyourbrowser截屏。“,” class“:”媒体元素文件默认值“,” data-delta“:” 4“}}]]7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
另一个常见但较老的勒索病毒媒介是在线“弹出窗口”。弹出窗口可模仿当前使用的软件,使用户在遵循提示时会感到更自在,这些提示最终旨在伤害用户。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

第一次勒索病毒攻击

自从2005年以来,勒索病毒一直是最大的威胁之一,但首次攻击却发生得更早。根据《贝克尔医院评论》,第一次已知的勒索病毒攻击发生在1989年,并针对医疗保健行业。28年后,医疗保健行业仍然是勒索病毒攻击的首要目标。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
1989年开始的CYBORG PC顾问。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
第一次已知的攻击是由AIDS研究人员约瑟夫·波普(Joseph Popp)博士于1989年发起的,他通过向遍布90多个国家的AIDS研究人员分发了20,000张软盘来进行攻击,声称该磁盘包含一个程序,该程序可以分析个人患上艾滋病的风险通过使用问卷获得艾滋病。但是,该磁盘还包含一个恶意软件程序,该程序最初在计算机中处于休眠状态,只有在计算机通电90次后才能激活。达到90开始阈值后,恶意软件显示一条消息,要求支付189美元和另外378美元的软件租赁费用。这种勒索病毒攻击被称为AIDS Trojan或PC Cyborg。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

勒索病毒的演变

当然,第一次勒索病毒攻击充其量是基本的,并且报告表明它存在缺陷,但是确实为勒索病毒演变成今天进行的复杂攻击奠定了基础。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
根据Fast Company中的一篇文章,早期的勒索病毒开发人员通常编写自己的加密代码。如今,攻击者越来越依赖“难以破解的现成库”,并利用更复杂的交付方式(例如鱼叉式网络钓鱼活动)而不是传统的网络钓鱼电子邮件爆炸,后者经常被过滤掉。电子邮件垃圾邮件过滤器。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
一些复杂的攻击者正在开发工具包,攻击者可以通过较低的技术技能来下载和部署这些工具包。一些最先进的网络犯罪分子通过提供作为服务的勒索病毒程序将勒索病毒货币化,这导致知名勒索病毒的知名度上升,例如CryptoLocker,CryptoWall,Locky和TeslaCrypt。这些是高级恶意软件的常见类型的一些示例。仅CryptoWall便产生了超过3.2亿美元的收入。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
自1989年首次有记录的勒索病毒攻击以来,这种类型的网络犯罪一直不常见,直到2000年代中期,当时攻击开始使用更复杂,更难破解的加密算法,例如RSA加密。在此期间流行的是Gpcode,TROJ.RANSOM.A,Archiveus,Krotten,Cryzip和MayArchive。2011年,出现了仿冒Windows产品激活通知的勒索病毒蠕虫,使用户更难分辨真实通知和威胁之间的区别。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
卡巴斯基实验室(Kaspersky Labs)观察到的勒索病毒变体的百分比分布,2014-2015年。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
到2015年,影响多个平台的多个变体对全球用户造成严重破坏。卡巴斯基的SecureList报告称,从2014年4月到2015年3月,最主要的勒索病毒威胁为CryptoWall,Cryakl,Scatter,Mor,CTB-Locker,TorrentLocker,Fury,Lortok,Aura和Shade。报告指出:“在他们之间,他们能够攻击全球101,568名用户,占该时期内使用加密勒索病毒攻击的所有用户的77.48%。” 在短短一年内,景观发生了巨大变化。根据卡巴斯基2015年至2016年的研究,“ TeslaCrypt以及CTB-Locker,Scatter和Cryakl负责对79.21%遭受任何加密勒索病毒攻击的攻击。”7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
卡巴斯基实验室(Kaspersky Labs)观察到的勒索病毒变体的百分比分布,2015-2016年。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

最大的勒索病毒攻击和最突出的变体

鉴于勒索病毒和攻击活动的发展,近年来最大的勒索病毒攻击已经不足为奇了。赎金的要求也在上升。报告表明,平均需求在2000年代中期徘徊在300美元左右,但如今平均为500美元左右。通常,为付款指定了截止日期,如果截止日期过去,则赎金需求将增加一倍,或者销毁文件或将其永久锁定。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
勒索针对15个主要勒索病毒系列收费。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
CryptoLocker是当时最赚钱的勒索病毒之一。在2013年9月至2013年12月之间,CryptoLocker感染了超过250,000个系统。在过去用于发动攻击的Gameover ZeuS僵尸网络于2014年在国际运营中下线之前,它为创造者赚了300万美元。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
随后,对其加密模型进行了分析,现在可以在线使用一种工具来恢复受CryptoLocker破坏的加密文件。不幸的是,CryptoLocker的灭亡仅导致出现了几种仿制勒索病毒变体,其中包括众所周知的克隆CryptoWall和TorrentLocker。Gameover ZeuS本身在2014年重新出现,“以不断发展的活动形式发送恶意垃圾邮件消息。” 自那时以来,变种和攻击的数量一直在稳定上升,主要的高价值目标是银行,医疗保健和政府部门。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
从2014年4月到2016年初,CryptoWall是最常用的勒索病毒之一,针对数十万个人和企业的各种形式的勒索病毒。到2015年中,CryptoWall已从受害者那里勒索了1800万美元,促使FBI发布了有关威胁的咨询报告。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
2015年,一个名为TeslaCrypt或Alpha Crypt的勒索病毒攻击了163名受害者,为背后的攻击者净赚76,522美元。TeslaCrypt通常要求用比特币赎金,尽管在某些情况下使用了PayPal或My Cash卡。赎金数额从150美元到1,000美元不等。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
同样在2015年,一个名为Armada Collective的组织对希腊银行进行了一系列攻击。“通过针对这三个希腊金融机构并加密重要文件,他们希望说服银行各支付700万欧元。不用说,能够在五天内进行三种不同类型的攻击,这对于银行的安全性非常令人担忧,”《数字货币时代》报道。攻击者要求每家银行赎回20,000比特币(700万欧元)赎金,但尽管舰队随后作出了种种努力,但银行没有支付费用,而是提高了防御能力,避免了进一步的服务中断。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
对于针对大型公司的攻击,据报道赎金高达50,000美元,尽管去年针对洛杉矶医院系统好莱坞长老会医疗中心(HPMC)的勒索病毒攻击据称要求赎金340万美元。这次袭击迫使医院重新进入了预计算时代,将其访问公司网络,电子邮件和重要患者数据的访问时间限制了十天。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
最终,该公司在被拒绝了必不可少的计算机系统和通信服务之后,仅支付了17,000美元即可重新获得对其关键数据的访问权限。HPMC的更新表明,最初的赎金需求为340万美元的报告是不准确的,并且医院支付了所要求的17,000美元(或当时的40个比特币)以快速有效地恢复运营。一个多星期后,洛杉矶县卫生局感染了一个阻止该组织访问其数据的程序。但是,该机构成功隔离了受感染的设备,没有支付赎金。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
2016年3月,渥太华医院遭受勒索病毒的袭击,该勒索病毒影响了9,800多台计算机,但医院通过擦拭驱动器做出了回应。由于勤奋的备份和恢复过程,医院得以在自己的游戏中击败攻击者,并避免支付赎金。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
同月,肯塔基州卫理公会医院,奇诺瓦利医学中心和加利福尼亚的沙漠谷医院遭到勒索病毒攻击。“肯塔基州卫理公会医院信息系统主管杰米·里德命名为参与Locky,一个新的错误,加密文件,文档和图像,并重新命名他们的扩展.locky恶意软件,”报道BBC.com指出的是,没有任何影响被认为是本医院已经支付了赎金。在2016年3月18日发现攻击后,大多数系统在3月24日之前已恢复,并且没有危及患者数据。但是,由于共享系统脱机,攻击还造成了其他几家医院的中断。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
2016年3月,也出现了Petya勒索病毒变体。Petya是一种高级勒索病毒,它可以加密计算机的主文件表,并用赎金记录替换主引导记录,除非支付了赎金,否则计算机将无法使用。到5月,它已经进一步发展为包括直接文件加密功能作为故障保护。Petya也是作为勒索病毒即服务操作的一部分提供的首批勒索病毒变体之一。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
ZDNet在2016年5月的一篇文章中报道说:“根据卡巴斯基实验室研究人员的检测,今年第一季度排名前三的勒索病毒系列分别是:Teslacrypt(58.4%),CTB-Locker(23.5%)和Cryptowall(3.4% )。所有这三个主要是通过带有恶意附件或指向受感染网页的链接的垃圾邮件来感染用户的。”7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
到2016年年中,Locky巩固了其作为最常用勒索病毒品种之一的地位,据PhishMe研究报告称,Locky的使用早在2016年2月就超过了CryptoWall。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
PhishMe20161月至9月观察到的勒索病毒变体的细分。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
在2016年的黑色星期五(11月25日),旧金山市交通局成为勒索病毒攻击的受害者,该勒索病毒攻击破坏了火车票务和巴士管理系统。攻击者要求提供高达100比特币的赎金(当时相当于约73,000美元),但是由于快速的响应和全面的备份流程,SFTMA能够在两天内恢复其系统。尽管不必支付赎金,但SFMTA仍要承担一些费用,因为乘客可以在系统停机的两天时间内无需支付车费。攻击中使用的勒索病毒被认为是Mamba或HDDCryptor。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
我们生活安全。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
针对苹果OS X的首批勒索病毒变体之一也出现在2016年。KeRanger主要影响了使用Transmission应用程序的用户,但在一天半的时间内影响了约6,500台计算机。被发现后的第二天,Keranger被迅速从Transmission中删除。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
2016年是勒索病毒攻击的重要一年,2017年初的报告估计勒索病毒使网络犯罪分子总共净赚10亿美元。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

勒索病毒的未来

这些事件将勒索病毒推向了一个新时代,在这个时代中,网络犯罪分子可以轻松地复制较小的攻击,并针对更大的公司实施攻击,要求更大的赎金。尽管有些受害者能够在无需支付赎金的情况下减轻攻击并恢复其文件或系统,但仅需很小一部分攻击就能为网络犯罪分子带来可观的收入和诱因。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
攻击者要求的赎金数额明细。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
即使支付赎金也不能保证您将被授予访问文件的权限。CNET报告根据安全分类帐中的一篇文章发现,CryptoLocker勒索病毒“从用户那里勒索了300万美元,但并未解密所有付费用户的文件” 。Datto进行的一项调查发现,在支付赎金的四分之一事件中,攻击者都忽略了解锁受害者的数据。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
Petya和Cerber勒索病毒开创了勒索病毒即服务方案的先驱,勒索病毒的运营在使工作货币化方面继续发挥更大的创造力。Cerber的作者尤其是机会主义者,将勒索病毒操作作为服务提供,以换取从有偿勒索中获得的利润减少40%。根据Check Point研究人员的说法,Cerber仅在2016年7月就感染了15万名受害者,估计收入19.5万美元,其中有7.8万美元归勒索病毒的作者所有。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
勒索病毒作者和运营商的获利潜力也推动了网络犯罪分子之间的迅速创新和残酷的竞争。ZDNet最近报道了PetrWrap勒索病毒,该软件是使用从Petya提取的破解代码构建的。对于受害者而言,代码的来源无关紧要-无论您是感染了Petya还是PetrWrap,最终结果都是相同的:您的文件使用强大的算法加密,以至于目前没有解密工具。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
勒索病毒的下一步是什么?ZDNet文章中报道了英国国家网络安全中心(NCSC)和国家犯罪局(NCA)的一份新报告,警告了诸如勒索病毒即服务和移动勒索病毒等威胁的发展。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
此外,2017年首次报告了对连接设备的勒索病毒攻击。据《卫报》报道,有55个交通摄像机被WannaCry勒索病毒感染。尽管这种攻击造成的损失很小,但所有的物联网(IoT)设备(例如智能电视,健身追踪器等)都容易受到攻击。物联网的增长速度,加上广泛报道的物联网设备的不安全性,为勒索病毒运营商提供了全新的领域。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
勒索病毒保护的最佳做法(例如定期备份和保持软件最新)不适用于大多数已连接的设备,并且许多IoT制造商在发布软件补丁程序时反应迟钝或只是疏忽大意。随着企业越来越依赖物联网设备来运行运营,对连接设备的勒索病毒攻击可能会激增。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
DHS企业绩效管理办公室主任Neil Jenkins在2017年RSA大会上警告说,关键基础设施构成了未来勒索病毒攻击的另一个令人不安的目标,即水务公司和类似基础设施可能为攻击者提供可行的高价值目标。詹金斯(Jenkins)引用了2017年1月的勒索病毒攻击,该攻击暂时禁用了奥地利旅馆钥匙卡系统的组件,这是未来基础设施遭受更重大攻击的潜在前身。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 

防范勒索病毒攻击

最终用户和公司都可以采取一些措施来显着降低遭受勒索病毒侵害的风险。如上所述,遵循基本的网络安全最佳实践是最大程度降低勒索病毒损害的关键。在任何企业中,都有以下四种重要的安全实践:7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
频繁,经过测试的备份:备份每个重要文件和系统是抵御勒索病毒的最有力防御措施之一。可以将所有数据还原到先前的保存点。应测试备份文件,以确保数据完整且未损坏。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
结构化的定期更新:企业使用的大多数软件都是由软件创建者定期更新的。这些更新可以包括补丁,以使软件更安全地防御已知威胁。每个公司都应指定一名员工来更新软件。涉及更新系统的人员越少,意味着犯罪分子的潜在攻击媒介就越少。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
明智的限制:对以下人员和承包商应设置某些限制:7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
使用包含公司文件,记录和/或程序的设备7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
使用连接到公司网络的设备可能会受到攻击7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
是第三方或临时工7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
正确的凭据跟踪:有权访问系统的任何员工,承包商和个人都可能创建勒索病毒的潜在漏洞点。周转,无法更新密码以及不适当的限制可能会导致在这些位置出现更高的攻击可能性。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
尽管这些最佳做法众所周知,但许多人仍无法定期备份其数据,而某些企业仅在自己的网络中进行备份,这意味着备份可能会受到一次勒索病毒攻击的破坏。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
有效的勒索病毒防御最终取决于教育。用户和企业应该花一些时间来了解他们关于自动数据备份和软件更新的最佳选择。对于当今使用连接设备的任何人来说,对诱骗软件分发策略的明显迹象进行教育,例如网络钓鱼攻击,偷渡式下载和欺骗性网站,都是当务之急。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
企业还应该实施能够提供高级威胁防护的安全解决方案。端点检测和响应(EDR)工具监视端点和网络上的活动,以识别和缓解威胁。Digital Guardian提供了端点检测和响应功能,可以帮助您防止勒索病毒影响您的业务。我们在整个攻击生命周期中检测和阻止高级威胁的能力使我们能够为所有高级威胁防护客户成功检测并包含WannaCry。了解有关我们的EDR功能的更多信息,并了解DG为什么在2018 Forrester Wave for EDR中被评为领导者。7K091数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:133-188-44580 166-6622-5144

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2