比特幣勒索病毒花樣翻新 日常該如何防範

Mar 14, 2019新浪新聞中心

今年以來至少出現了6起比特幣勒索事件,黑客勒索套路不斷翻新,但一些黑客的奇葩行為也令人哭笑不得。

今年,加密勒索病毒仍在頻繁出沒,勒索方式花樣百出,並且這些囂張的黑客誰都敢勒索,從企業、政府、高校到礦商一個都沒放過......

據宜昌市夷陵區人民政府消息,國家網路與信息安全信息通報中心監測發現,2019年3月11日起,境外某黑客組織對我國有關政府部門開展勒索病毒郵件攻擊。郵件主題為「你必須在3月11日下午3點向警察局報到!」,發件人名為「Min,GapRyong」,郵件附件名為「03-11-19.rar」。

經分析研判,該勒索病毒版本號為GANDCRABV5.2,是2019年2月最新升級的勒索病毒版本,運行后將對用戶主機硬碟數據全盤加密,並讓受害用戶訪問網址下載Tor瀏覽器,隨後通過Tor瀏覽器登錄攻擊者的數字貨幣支付窗口,要求受害用戶繳納贖金。

不知黑客意圖何為,但「你必須在3月11日下午3點向警察局報到!」的郵件主題顯得頗為奇葩......

除了政府部門外,上海財經大學教育技術中心也表示,該校郵件系統共有145個用戶收到此類郵件,其中少量用戶已讀此郵件。為避免更多用戶遭受攻擊,教育技術中心於11日第一時間從後台刪除了該145封郵件。

在比特幣勒索病毒大量爆發的2017年、2018年過去后,2019年仍不安寧。根據公開報導,小蔥APP粗略統計,今年1月以來,至少出現了6起比特幣勒索病毒事件(加上本起):

1月初,H-Ant勒索病毒劫持大型礦場(cC礦場的螞蟻礦機),黑客留言:有兩個辦法免受攻擊,一將病毒傳染給其他礦場的至少1000台機器,二是給黑客打10個比特幣。不這樣做的話,將燒毀礦機甚至房子。

1月24日,新型勒索病毒CerBer2019攻擊部分企業用戶,要求每筆支付1 BTC,該病毒除加密常見文件類型外,還會把其他勒索病毒(如:WannaCry,Crysis)加密過的文件再次加密。

1月31日,升級版「Satan」勒索病毒入侵百余台Windows伺服器,要求每筆支付1 BTC,通過多個Web應用漏洞對伺服器發起攻擊,加密文件,72小時內未支付,贖金將翻倍。

2月1日,Shade勒索病毒入侵超過2000個CMS站點,要求每筆支付0.085 BTC。

3月4日,山東某企業遭新型勒索病毒Aurora入侵,勒索者威脅受害者繳納相當於350美元的比特幣來獲取解密工具,黑客已至少獲利3次,約1035美元。

今年,比特幣勒索病毒仍呈現蔓延之態,並且黑客的威脅手段花樣百出,比如「燒毀房子」的恐怖威脅、「贖金翻倍」的財產威脅、「重複加密」的技術威脅等等。2018年12月,據《河南商報》的報導,一鄭州男大學生還曾收到了一封不打比特幣就曝光的「裸照威脅」,然而這位大學生向《河南商報》表示,這張「裸照」非常粗糙,「一看就是PS的。腦袋是我,身子顯然不是......」

黑客主要目的:坑錢、免費挖礦

有人說,比特幣的名聲就是被這些技術垃圾搞臭的。

1年前,那個席捲全球的比特幣勒索病毒「WannaCry」通過加密你電腦里的重要文件來進行勒索,它讓我國多地的出入境、派出所等公安網疑似遭遇了病毒襲擊;中石油旗下不少加油站也因遭受病毒襲擊一度「斷網」,使在線支付業務停滯;勒索病毒還在我國校園網內的肆虐,甚至還導致不少畢業生的畢業設計論文被鎖等等。

實際上,勒索病毒最早出現在1989年,其與加密貨幣也並無關聯,所以有不少觀點認為,勒索病毒是由於電腦系統漏洞而生,並不能歸咎於加密貨幣。

但也有觀點認為,由於比特幣及加密貨幣的匿名性、無法追蹤性讓病毒木馬黑色產業如獲至寶,讓比特幣勒索病毒更加猖狂,防範此類事件發生也變得越發重要。

騰訊御見2018企業網路安全年度報告指出,2018年,數字加密幣已徹底改變了病毒木馬黑色產業,使勒索病毒和挖礦木馬成為影響企業網路安全的兩大核心威脅。勒索病毒直接要求受害者向指定數字加密幣錢包轉帳;挖礦木馬傳播者瘋狂入侵企業網路,利用企業IT資源實現0成本挖礦(不管比特幣、門羅幣、以太坊幣跌成什麼樣,利用殭屍網路挖礦不需要購買礦機,也不需要自己付電費)。而暗網平台大量存在的非法交易,更是數字加密幣持續火爆的土壤。

魔高一尺,道高一丈:如何防禦比特幣勒索病毒

儘管比特幣病毒仍層出不窮,但魔高一尺,道高一丈。

比特幣勒索病毒其實有時候要達到的目的是通過快速感染、傳播來製造恐慌情緒,從而進行勒索,而其本身極易破解,代碼並不複雜。

比如去年12月,國內出現了要求微信支付贖金的新勒索病毒。該病毒入侵用戶電腦後會加密用戶文件,但不收取比特幣,而是要求受害者掃描彈出的微信二維碼支付贖金,獲得解密鑰匙。

然而,這個病毒被一些安全團隊稱為是「小學生級別」的病毒,破解起來非常簡單。

據每日經濟新聞,一些互聯網安全團隊發現,該勒索病毒由易語言編寫,易語言是一門以中文作為程序代碼的編程語言,屬於初級入門級語言,從這一點就可以看出勒索病毒作者代碼水平還比較初級。

除了一些黑客的技術水平堪以外,目前,主流殺毒軟體早已實現了對各類勒索病毒的全面查殺。而個人、企業常見的各類安全問題,也不難解決。

但如果我們平時遭遇了比特幣病毒該怎麼做呢?

1.不要打開來歷不明的郵件附件;

2.及時安裝主流殺毒軟體,升級病毒庫,對相關係統進行全面掃描查殺;

3.在Windows中禁用U盤的自動運行功能;

4.及時升級操作系統安全補丁,升級Web、資料庫等服務程序,防止病毒利用漏洞傳播;

5.清查系統防範策略,確認關閉139、445、3389等可能傳播勒索病毒的埠;

6.是對已感染主機或伺服器採取斷網措施,防止病毒擴散蔓延。