启明星辰ADLab勒索软件专题报告.PDF

启明星辰ADLab 勒索软件专题报告 启明星辰积极防御实验室 启明星辰ADLab 勒索软件专题报告 目 录 1. 概述 1 1.1.2016，勒索之年 1 1.2.2017 勒索攻击活动威胁情报信息速递 1 2. 勒索软件的基本概念与原理5 2.1.什么是勒索软件5 2.2.勒索软件的分类5 2.3.勒索软件的特点6 2.4.勒索软件的原理7 2.4.1 加密勒索软件运行原理7 2.4.2 勒索软件传播方式8 2.4.3 勒索软件感染方式9 3. 勒索软件的发展历史 10 3.1.加密勒索软件 11 3.2.不加密勒索软件 12 3.3.移动勒索软件 12 3.4.典型的勒索软件家族 13 3.4.1CryptoLocker 13 3.4.2CTB-Locker 15 3.4.3TeslaCrypt 16 3.4.4Locky 18 3.4.5Cerber22 4. 抵御勒索软件攻击22 4.1.构建防御：防止勒索软件进入系统22 4.2. 中断损伤：检测和阻止破坏产生23 4.3.灾难恢复：从感染中恢复24 5. 参考文献：27 启明星辰ADLab 勒索软件专题报告 1. 概述 1.1. 2016，勒索之年 纵观过去一年国内外网络勒索事件，可以看到，勒索软件在运行模式、加密技术等方面 不断创新和改进，攻击目标从医疗、交通、政府、酒店等行业，开始出现向IOT 、工控，以 及公有云领域扩展的趋势。 另外，趋势科技 2016 年度安全报告显示，新勒索软件家族的数量仅 2016 年就增加了 752% 。 图1 每月增加的勒索软件家族数量【图片来源：TrendMicro】 1.2. 2017 勒索攻击活动威胁情报信息速递 在刚刚过去的RSA 2017 的一个专题演讲中，勒索软件被定义为七大致命攻击之首，成 为最受关注的安全威胁。从去年开始，我们的威胁情报研究团队就一直与合作伙伴一起持续 关注勒索软件的发展动向，以便及时为我们用户提供咨询和支持。以下是我们威胁情报研究 团队在过去的一个月观察到的勒索软件威胁情报。 （1）Cerber 勒索软件瞄准国内某金融机构 我们的威胁情报研究团队和合作伙伴于2017 年2 月20 日左右观察到某金融机构遭到 Cerber 勒索软件的威胁，随即开始对这个勒索软件活动进行相应的分析。分析发现该恶意团 伙疑似2016 年圣诞节开始针对个人实施勒索活动， 2017 年春节期间开始针对企业目标实 1 启明星辰ADLab 勒索软件专题报告 施勒索活动，并且该团伙的威胁活动仍然在继续。该团伙使用网络钓鱼邮件手段，利用恶意 Office 携带宏代码投递Cerber 恶意程序。通过样本分析，我们推测该勒索软件团伙可能位于 欧洲且使用俄语作为主要语言。该勒索活动针对13 种语言操作系统发起勒索攻击，涉及语 言有:英文、阿拉伯文、中文、荷兰语、法语、德语、意大利语、日语、韩语、波兰语、葡 萄牙语、西班牙语、土耳其语，上述语言的Windows 操作系统可能会被攻击，而这个语言 列表中没有俄罗斯语。我们观察到此团伙的威胁活动针对行业有：金融银行业、IT 及网络 服务商、政府机构、医疗行业、能源电力等。以下是该攻击活动的威胁情报指标：  威胁源 图2 Cerber 威胁指标分布图  攻击目标 Windows 10 Windows 8 Windows 7 Windows XP  传播方式 网络钓鱼邮件等。  应对措施 针对该攻击活动共观察到68 条指示器，网关设备可对指示器进行阻断。  指示器