问人人知识网

  1. 首页 > 智慧生活 > >

遭受勒索病毒攻击后主要有哪些特征

生活百科知识分享

前两周某天,突然接到朋友电话 , 说中勒索病毒了,因为安装了某云的杀软,所以某云先进行了处理,结论是通过Todesk软件入侵的 。朋友有些怀疑,所以让我给看看 。

遭受勒索病毒攻击后主要有哪些特征

文章插图
中招勒索病毒之后,电脑出现付款解密提示
朋友发来的截图,所有文件都被加密了,并有详细的付款解密提示 。从后缀名可以判断是Devos勒索病毒 , 这是Phobos黑客组织的典型特征 。
接下来就是找病毒程序 , 在C盘的administrator目录下找到了:
遭受勒索病毒攻击后主要有哪些特征

文章插图
在电脑硬盘里面找到勒索病毒程序
这里跟某云得出的结论有矛盾:朋友公司安装了域控服务器 , 正常都是通过域用户登录到桌面,但勒索病毒却在本地管路员(Administrator)目录下?
那究竟是怎么登录的呢?先看看中招设备的日志 。运气不错,黑客居然没有清理日志:
遭受勒索病毒攻击后主要有哪些特征

文章插图
红框中就是RDP远程登录日志
注意截图红框中的登录日志,用本地管理员账户登录,与其他通过域账户登录形成鲜明的对比,并且还是凌晨两点多,从同一网段的另一台设备(172.117.25.15)登录过来的 。同一网段都是相同作用的机器 , 这就好比A和B是同事,通过A电脑远程RDP登录到B电脑上,逻辑上说不通 。
那么去172.117.25.15设备上看看日志,依旧未被清除:
遭受勒索病毒攻击后主要有哪些特征

文章插图
另一台机器上的RDP远程登录日志
最早是从4号晚上大约12点登录的 , 隔了两个小时后开始密集登录,这期间发生了什么?照例先看日志:
遭受勒索病毒攻击后主要有哪些特征

文章插图
黑客入侵后的命令行操作
大约晚上12点18分(上图),黑客执行了netscanold.exe程序 , 这是黑客常用的弱口令扫描工具之一 。仅一分钟多(下图),这个扫描器就找到了一台存在弱口令的机器……
那基本可以确定172.117.25.15这台机器就是0号机了,也就是黑客的入侵点 。后来朋友排查,发现这台机器开启了3389端口远程桌面协议(RDP) 连接,并经路由器映射到了互联网上……
这也符合Phobos黑客组织的特征:通过端口 3389 上的开放或不安全的远程桌面协议(RDP) 连接实现入侵 。通过暴力破解 RDP 凭据、使用被盗和购买的 RDP 凭据或网络钓鱼来获得账号密码 。并且 , Phobos还会利用恶意邮件附件、下载链接、补丁程序和软件漏洞等来访问企业的终端与网络 。
剩下的事情就是朋友恢复机器去了 , 还好有备份 。不过还是要提醒大家注意防范勒索病毒 。Phobos黑客组织是一个非常典型的RDaas(RansomWare as a Service , 勒索即服务)勒索组织:Phobos组织本身会对企业进行勒索,同时也出售高度自动化的勒索工具包,这意味着没有任何技术知识的犯罪分子也可以借助于Phobos提供的工具包创建勒索软件变种 , 并对企业目标发起攻击 。
而且,这次勒索事件也是利用的Phobos工具包:晚上12点左右登录进行弱口令扫描的是购买勒索工具包的人,而在凌晨2点多登录的又是另一波人,这波人的技术水平明显高明不少,用工具暴力破解了数十台存在弱口令的设备 。这也是当前勒索攻击非常典型的分工协作模式 。
提醒一下大家,中招勒索病毒后的处理,千万别病急乱投医:
1、 如果数据还未被加密,立马断网,直接拔网线,但一定不要关机!不要关机!不要关机?。ㄖ匾虑樗等椋┎蝗范ㄓ芯钟蛲卸嗌偕璞钢姓星榭鱿拢?拔交换机电源!
2、 如果数据已经被加密 , 那基本没法破解的,除非你有量子计算机 。所以千万不要相信网上说能解密的广告!免得数据没了,还额外损失钱财!
3、 如果数据有备份,千万记得断开备份,联系网络安全专家找黑客入侵点;
4、 如果没有备份 , 立马找网络安全专家找黑客入侵点 。
中了勒索病毒之后 , 最重要的是找到入侵点!不然即使恢复了,依旧有继续中招的风险 。
写在最后:为什么勒索攻击越来越泛滥?
关于勒索攻击的起源可以说是一个“long story”,目前业内一般认为1989年的PC Cyborg是首款勒索软件,使用对称加密,手法比较粗糙,所以危害性不大 。但到2006年,Archiveus木马首次使用了非对称加密,几乎无法破解 。
但2010年以前的勒索攻击几乎没什么影响,其主要有三大问题没有解决:
1、 如何交易?不管是现金、银行卡还是pos机交易,都极其容易被抓捕;
2、 僵尸主机有何价值?黑客虽然控制主机,但只能使用算力(内存和CPU) , 无法提供额外价值;
3、 谁是买主?通过勒索软件加密了数据 , 因为是随机入侵 , 黑客很难判断数据的价值,也不知道应该卖给谁……
但是 , 2010年之后,加密货币出现了!一举解决了两大问题:加密货币通过hash后的交易地址几乎无法被溯源,自然也就找不到黑客;并且 , 黑客控制的僵尸主机还可以用来“挖矿”!
并且,黑客也不用费心找数据“买主”,因为最大的“买主”就是被勒索攻击的企业 。数据不恢复,业务就无法正常运行,找不到入侵点就永远有风险 。
到2015年,RDaaS这种新型运营模式诞生,攻击者的技术门槛越来越低 。2017年,WannaCry席卷全球 , 勒索攻击大规模爆发 。2021年,双重勒索(数据加密+数据窃?。┏晌髁鳎?比如英伟达被勒索,数据泄露 。据有关数据统计 , 全球平均每14秒就会遭受一次勒索攻击,而2022年最新的数据是 , 每12秒就会受到一次勒索攻击!
不要以为勒索攻击只针对大型企业,勒索攻击已经越来越接近你!前段时间 , 黑客利用某公司的ERP软件漏洞入侵并勒索,而这款软件主要面向的是中小型企业 。
可见,RDaaS的兴起,连勒索攻击都越来越卷了……这也意味着勒索攻击的成本越来越低了,哪怕中小企业都不愿放过!
所以 , 朋友们 , 做好安全防御措施吧 , 不要掉以轻心!
【遭受勒索病毒攻击后主要有哪些特征】搜索“企业IT观察”,欢迎关注,接收最新IT资讯


    上一篇:内蒙古最好吃的奶制品

    下一篇:板材、龙骨、水泥、沙子……一文搞懂装修辅材清单