黑客大战勒索病毒,勒索病毒黑客抓到了吗

2021勒索病毒大盘点

2021年，新冠肺炎仍然在全球范围内肆虐，各行业除了应对疫情的持续冲击外，还面临着一种形态多样、高频化的“流行病”-- 勒索病毒 。它们加密并窃取数据，甚至威胁破坏或泄漏数据，以此胁迫受害者缴纳高昂赎金，获得“暴利”。勒索病毒为何有这么大的能量，让所有行业“谈虎色变”？面对勒索病毒，难道只能“躺平”？接下来，我们就来盘一盘。

从1989年出现世界上之一个已知的勒索病毒“AIDS Trojan”，到2006年中国大陆出现首个勒索软件“Redplus”，全球范围内一直都在遭受着勒索攻击。尤其是近年来勒索攻击形势更加严峻，国际知名企业被勒索病毒攻击的事件层出不穷，并且赎金持续刷新记录。勒索病毒俨然成为了全球 *** 安全面临的头号威胁，那么，勒索病毒主要有哪几类？

以RSA、AES等多种加密算法对用户文件进行加密，并以此索要赎金。该类勒索病毒已经成为当前勒索病毒的主要类型，以WannaCry为代表。今年WannaCry再度复苏，最常被攻击的主要是 *** 、军方单位，其次为制造业、银行、金融与医疗系统。

通常采用多种加密算法加密用户数据，但在勒索环节，攻击者通过甄别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎金。2021年3月，知名电脑制造商宏碁遭遇REvil勒索软件威胁攻击，攻击者索要5000万美元赎金（约3.3亿人民币），否则就公开被窃取和加密的数据。2021年5月，FBI称Conti勒索软件袭击了16个美国健康和紧急服务机构，影响了超过400个全球组织。

通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密，阻止用户访问磁盘，影响用户设备的正常启动和使用，并向用户勒索赎金，甚至对全部磁盘数据进行加密。以2016年首次发现的Petya勒索病毒为代表。

全屏锁定用户设备的屏幕，并显示包含勒索信息的图像、文字，或伪装成系统出现蓝屏错误，直接导致用户无法登陆和使用设备（系统组件同时会被禁用），进而勒索用户支付赎金。该类勒索攻击还存在于移动端。比如2017年发现的Leatherlocker。

免费领取学习资料

2021年 *** *** 安全资料包及最新面试题

(渗透工具，环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等）

通过对近年来勒索事件的分析，可以看到勒索软件不仅从“加密数据”演化到“三重勒索”、从“散装攻击”演化到“定向攻击”，还对特定的行业、地域具有明显的针对性。

勒索病毒攻击的目标从个人用户转向支付赎金能力更高，对数据依赖性更强的政企用户。比如高校由于大量设备疏于安全加固和漏洞修复，受WannaCry感染严重。能源、医疗等承载重要数据资源的行业由于对业务连续性要求高，也成为勒索病毒攻击的“高价值”目标。另外，重要 *** 部门/机构、军队单位以及关系民生的关基设施与工控系统面临的攻击风险也在加剧。

经济利益驱动运作模式升级，初步形成勒索病毒黑产链条。近些年较为活跃的提供勒索即服务RaaS （Ransomware-as-a-service）平台服务的家族DopplePaymer、Egregor、Netwalker、REvil/Sodinokibi、DarkSide、Ryuk，以及今年7月首次出现的BlackMatter，都具有较高的威胁能力。

2021年7月，黑客发起了一场全球勒索软件攻击，共袭击了超过1000多家公司，并迫使瑞典更大连锁超市之一的Coop关闭了数百家门店。在这场似乎是迄今为止规模更大的供应链黑客攻击事件中，黑客将目标锁定在了IT管理软件供应商Kaseya上，并且再次揭示出勒索软件即服务（RaaS）大流行的趋势正在蔓延。

2021年7月，LockFile利用Exchange服务器的ProxyShell漏洞入侵企业内部 *** ，已经攻击了至少10个组织或企业，其攻击目标主要为美国和亚洲。

由于勒索病毒加密信息难以恢复、攻击来源难以溯源，一旦遭遇勒索攻击，不仅会带来赎金损失、停产损失、赔偿和罚款以及数据重新上线费用等直接损失，还包括可能因为停产或服务中断带来的社会损失。比如赎金损失，据Censuswide的调研报告显示，在遭遇勒索攻击后，会有相当一部分企业会选择支付赎金。但是,

2021年3月，美国更大的保险公司之一CAN Financial遭到黑客组织Phoenix的勒索软件攻击，约15000台设备被加密，不计其数的客户资料受到泄漏的风险。CNA Financial在试图恢复文件无果之后，开始与攻击者谈判，黑客最初索要 6,000 万美元，谈判后向黑客支付了 4,000 万美元，创下了历史上更高的已支付赎金金额的记录。

2021年5月，美国更大的成品油的管道运输商Colonial Pipeline遭到“Darkside”黑客组织的勒索病毒攻击，美国东部沿海的燃油 *** 陷入瘫痪。同月，美国东部17个州和首都所在的华盛顿特区进入紧急状态。

图源 ***

2021年，LockBit升级为2.0版本，加密数据的速度能达到373MB/s，在不到20分钟内便可以从受感染设备上盗取并加密100GB的数据，是普通勒索病毒加密速度的3倍以上。8月，全球IT咨询巨头埃森哲遭受来自LockBit团伙的攻击，LockBit勒索团队声称窃取了超过6TB的数据，并勒索5000万美元（约3.2亿人民币）赎金。

勒索病毒的攻击过程是怎样的？

勒索病毒工作原理：

勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件，并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过 *** 钓鱼等方式，向受害电脑或服务器植入病毒，加密硬盘上的文档乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将无法恢复。

1、针对个人用户常见的攻击方式

通过用户浏览网页下载勒索病毒，攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等，诱导受害者下载运行病毒，运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示：

攻击流程

2、针对企业用户常见的攻击方式

勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中，钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。

1）系统漏洞攻击

系统漏洞是指操作系统在逻辑设计上的缺陷或错误，不法者通过 *** 植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。同个人用户一样，企业用户也会受到系统漏洞攻击，由于企业局域网中机器众多，更新补丁费时费力，有时还需要中断业务，因此企业用户不太及时更新补丁，给系统造成严重的威胁，攻击者可以通过漏洞植入病毒，并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在 *** 中迅速传播。

攻击者利用系统漏洞主要有以下两种方式，一种是通过系统漏洞扫描互联网中的机器，发送漏洞攻击数据包，入侵机器植入后门，然后上传运行勒索病毒。

通过系统漏洞扫描 *** 中的计算机

另外一种是通过钓鱼邮件、弱口令等其他方式，入侵连接了互联网的一台机器，然后再利用漏洞局域网横向传播。大部分企业的 *** 无法做到绝对的隔离， 一台连接了外网的机器被入侵，内网中存在漏洞的机器也将受到影响。

入侵一台机器后再通过漏洞局域网横向传

网上有大量的漏洞攻击工具，尤其是武器级别的NSA方程式组织工具的泄露，给 *** 安全造成了巨大的影响，被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具，封装为图形化一键自动攻击工具，进一步降低了攻击的门槛。

2）远程访问弱口令攻击

由于企业机器很多需要远程维护，所以很多机器都开启了远程访问功能。如果密码过于简单，就会给攻击者可乘之机。很多用户存在侥幸心理，总觉得 *** 上的机器这么多，自己被攻击的概率很低，然而事实上，在全世界范围内，成千上万的攻击者不停的使用工具扫描 *** 中存在弱口令的机器。有的机器由于存在弱口令，被不同的攻击者攻击，植入了多种病毒。这个病毒还没删除，又中了新病毒，导致机器卡顿，文件被加密。

通过弱口令攻击和漏洞攻击类似，只不过通过弱口令攻击使用的是暴力破解，尝试字典中的账号密码来扫描互联网中的设备。

弱口令扫描 *** 中的计算机

通过弱口令攻击还有另一种方式，一台连接外网的机器被入侵，通过弱口令攻击内网中的机器。

入侵一台机器再弱口令爆破局域网机器横

3）钓鱼邮件攻击

企业用户也会受到钓鱼邮件攻击，相对个人用户，由于企业用户使用邮件频率较高，业务需要不得不打开很多邮件，而一旦打开的附件中含有病毒，就会导致企业整个 *** 遭受攻击。钓鱼邮件攻击逻辑图：

钓鱼邮件攻击逻辑

文章转载至：2018勒索病毒全面分析报告

”勒索病毒”出现2.0版，黑客为何敢如此猖狂？

我记得一技术学长说过：多数黑客的宗旨，就是要“搞事情”。

勒索病毒爆发到现在已有几天，照目前来看，受灾最严重的国家估计就是英国了，病毒爆发时，英国全国上下的16家医院首先报道同时遭到 *** 攻击，这些医院的 *** 被攻陷，电脑被锁定，屏幕上显示黑客要求每台电脑支付300美元的等额比特币，否则将删除电脑所有资料，（请注意是等额三百美元的比特币不是三百比特币哦）。

说到这里，应该插播一下这款勒索病毒的资料，这款勒索病毒的工具，名叫“永恒之蓝”，这是一个可以远程攻破全球约70%Windows机器的漏洞利用工具。永恒之蓝可以干什么呢，总的来说，这款病毒工具可以不经过你的同意，远程入侵，让你执行任何程序。所以，勒索病毒再加上永恒之蓝，也就成了可以不经过你同意，直接让你执行勒索病毒，锁定你的电脑，并开始连串攻击跟你同一个联网里的任何其他电脑。很多人都有防范意识，不会轻易去点击一些奇怪的链接或者邮件等，一个学校，一个公司，一家医院，100个人里哪怕99%的人不会去点击这些奇怪的消息或者恶意网页，恶意邮件，但只要有一个人点击了带着病毒的附件，那么整个连接了此 *** 的电脑都会跟着中毒。

所以，在勒索病毒攻击爆发之后，英国很多医院内部的医疗系统几乎停止运转。病毒爆发后，有安全专家统计过，此次整个攻击遍布全世界超过99个国家，而那些幸免的国家里，要么几乎没有电脑，要么几乎没有 *** 。

病毒爆发后，英国的安全人员在后来发现黑客针对勒索病毒用域名设定了一个紧急停止的开关，虽然安全人员对已经被感染了的电脑无能为力，但是发现紧急停止开关后，也阻止了勒索病毒进一步大范围爆发的可能，只是黑客也很快做出反应，将病毒升级，做成了2.0版，开关作废。

那么黑客将勒索病毒事件闹得这么大是为了什么？我们前面已经说过了，很多黑客的宗旨就是要“搞事情”，搞事情是为了什么呢，一是为名，二是为利。

勒索病毒写明黑客勒索的金额是与300美金等额的比特币，比特币应该很多人都已经知道，是一种 *** 虚拟货币，比特币更大的特点，就是分散在整个 *** 上，完全匿名，完全不受各种金融限制，几乎很难从一个比特币账户追查到个人，于是，这成了黑客索要赎金的更佳支付手段，300美金，二千多元人民币，这场全球爆发的病毒涉及了无数人，这其中肯定有不少电脑里存着重要资料愿意花钱赎回的，一个人就是两千多人民币了，你想想，黑客这得收到多少钱。

传播病毒勒索钱财是犯法的行为，抓到了肯定是要坐牢的，只是对于一些黑客来说，他们却不太在乎这一点——有时候被抓到了，就等于成名，你想想，一场波及全球的病毒，虽然是没有升级补丁的电脑才会中招，但也有不少人遭殃，若被抓，也就出名了。英国有个天才黑客尼古拉斯·韦伯，在被警方通缉而又靠着技术屡屡逃过追捕时，给警方发出了一个邮件，里面说只要破解了这个程序漏洞，就能抓住他。

靠着这个韦伯自己提供的线索，最后警察们在一个酒店里抓住了他。“如果我不这样的话，你们永远也抓不住我，但我很想出名，所以我就故意露出马脚了。”韦伯说。

黑客都是技术型人才，这些人才如果将自己的智慧用在正道上将会是对社会极大的贡献，而像发布勒索病毒这样的黑客，虽然很厉害，被抓后，却也得面临牢狱之灾。

黑客勒索比特币是怎么回事 中了比特币勒索病毒怎么办

wanacry勒索病毒是由“影子经纪人”专业犯罪集团编写的蠕虫类带有勒索性质的计算机病毒。

因wanacry勒索病毒利用Windows-445系列端口漏洞ms17-010进行攻击，覆盖了Windows所有版本，受众数量特别庞大。wanacry攻击计算机后会大量加密用户的文档/数据/文件/照片等并要求支付比特币赎金才能解锁。

Windows用户不幸遭受wanacry勒索病毒攻击目前解决办法如下:(无论如何切勿支付赎金，有大量证据表明即使支付赎金文件也无法解密。)

Windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。

个人用户可以联系国内外安全厂商例如:奇虎360，金山毒霸，卡巴斯基，麦克菲尔，腾讯安全管家等安全中心寻求协助恢复重要数据。

利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版，并将文件拷贝至安全、无毒的U盘；再将指定电脑在关闭WiFi，拔掉网线，断网状态下开机，并尽快备份重要文件；然后通过U盘使用“勒索病毒免疫工具”离线版，进行一键修复漏洞；联网即可正常使用电脑。

利用“文件恢复工具”进行恢复。已经中了病毒的用户，可以使用电脑管家-文件恢复工具进行文件恢复，有一定概率恢复您的文档。

注意:也可持续关注相关安全厂商的处理办法，等待更加优越的完美解锁。

勒索病毒怎么解决

勒索病毒的解决如下：

1、及时止损（拔网线）。

能拔网线的直接拔网线，物理隔离，防止出现「机传机」的现象。如果是云环境，没法拔网线，赶紧修改安全组策略，总之，将被感染的机器隔离，确保被感染的机器不能和内网其他机器通讯，防止内网感染。

改密码！如果被勒索的机器和未被勒索的机器存在相同的登陆口令（相同的密码），及时修改未感染机器的登陆口令。

保护好案发现场，不要重启！不要破坏被勒索的机器环境，保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作，更好保持原封不动，在不了解的情况下，任何动作都可能导致系统完全崩溃，严重影响后续动作。

关端口及时关闭未感染机器远程桌面/共享端口（如：22/135/139/445/3389/3306/1521）对未感染的重要机器进行隔离备份，备份后及时物理隔离开备份数据，如：硬盘或者 u 盘备份后需要及时拔掉。

不要联系黑客，在不了解勒索病毒的情况下，建议不要直接联系黑客（容易钱财两空）。

2、确定影响范围。

止损之后，逐一排查感染规模及环境（是 OA 还是服务器/一共中了多少台），可通过 *** 区域划分，防火墙设备、流量检测设备辅助快速确认影响范围。

3、病毒提取和 *** 恢复。

取证，通过对被勒索机器进行取证提取病毒样本，或结合终端防病毒软件，对影响区域内或可疑区域进行逐台确认，是否有遗留的病毒样本，确保所有机器上的病毒样本均已查杀；恢复 *** 制定 *** 恢复计划，优先对非重要区域的终端进行 *** 恢复，恢复过程中需通过流量检测设备进行实时监测，确保恢复后不会出现横移情况；直至全部 *** 恢复。

4、数据恢复和解密。

目前绝大多数勒索病毒均无法解密（在没有拿到解密密钥的情况下），通常有如下几种选择：如有数据备份，则可以直接通过数据备份进行恢复；放弃数据恢复；联系勒索者缴纳赎金，但是不建议自己联系，更好是专业的服务商协助，他们比较知道怎么跟勒索者谈判。

5、溯源分析。

溯源分析的目的，并不是是查到勒索者是谁，而是找到勒索入侵的源头（从哪台机器上进来的），即 0 号主机，然后进行相应的安全加固，以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征，可以判断勒索病毒家族；

对于内部攻击路径溯源，需依托于 *** 、安全设备日志以及感染/关联终端日志记录，包括流量检测设备、防火墙设备、防病毒软件、终端日志。 备注：因为很多勒索病毒存在反侦察手段，终端环境可能会被清理，如果没有流量监控等相关设备，溯源难度会非常大。

6、安全加固。

修复内网中高危漏洞，确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口，如：445、3389等。对重要系统进行异地物理备份，确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域，各个区域之间使用严格的ACL，避免攻击者大范围横向移动扩散。