2023年,勒索软件攻击依然是一个严重的网络安全威胁。这些勒索软件通常会利用未修补的漏洞或弱密码等手段来感染目标系统,然后加密文件或数据,最后要求受害者支付赎金以解密文件或数据。下面,六方云将重点介绍2023年比较活跃的一些勒索家族。
LockBit
LockBit 勒索病毒首次攻击于 2019 年 9 月被发现,最开始被称为ABCD勒索病毒,因为它加密后的文件后缀名为abcd,随后它加密后的文件后缀修改为lockbit,并被更名为 LockBit 勒索病毒,2021年6月该勒索病毒推出了它的更新版本 LockBit2.0。
一旦感染了Lockbit勒索病毒,受害者将面临以下风险:无法访问重要文件和应用程序;数据丢失或损坏;被迫支付高额的赎金才能恢复访问权限。
Phobos
Phobos勒索软件自2019年被发现后攻击活动一直很活跃,但样本的迭代升级并不多。Phobos可以通过几种方式到达系统,例如通过开放或不安全的远程桌面协议(RDP)连接、强行使用RDP凭据、使用被盗和购买的RDP凭据以及老式的网络钓鱼。
Phobos操作员还可以利用恶意附件、下载、补丁利用和软件漏洞来访问组织的端点和网络。Phobos会通过添加“.phobos”扩展名以及受害者的唯一ID和电子邮件地址来重命名所有加密文件。该病毒使用AES加密技术对数据进行加密,并在加密后生成HTML应用程序(“ Phobos.hta”)并将其打开。该应用程序显示一个包含赎金消息的弹出窗口。
Akira
Akira勒索病毒是一种新型的混合型勒索软件,最早出现于2023年3月,它同时具有多种不同的攻击方式,包括但不限于加密文件、锁定系统、威胁用户等。该软件使用了一种名为“丝绸之路”的加密算法来保护受感染的文件和文件夹,并要求用户支付赎金以获取解密密钥。
一旦感染了Akira勒索病毒,受害者将面临以下风险:无法访问重要文件和应用程序;数据丢失或损坏;被迫支付高额的赎金才能恢复访问权限。
Makop
Makop勒索软件是一种新型的恶意软件,首次出现在2020年,目前正在逐渐流行。它通过加密受害者的文件来获取赎金,并使用AES256密钥在运行时解密重要字符串。该软件使用互斥锁来确保每个系统只感染一次,并在主机上建立持久性,以实现长期控制。
一旦感染了Makop勒索软件,受害者的文件将被加密,并添加一个特殊的扩展名,如“.makop”或“.mkp”。同时,该软件还会在每个受感染的文件夹和桌面上放置一个名为“readme-warning.txt”的勒索信。
Mallox
Mallox勒索软件是一种恶意软件,也称为“勒索病毒”或“Ransomware”,最早出现于 2021年6月中旬,并在 2021 年10月开始进入国内”。它通过加密受害者的文件来获取赎金,并使用一种特定的算法来生成唯一的密钥,以控制受感染的文件。一旦感染了Mallox勒索软件,受害者的文件将被加密,并添加一个特殊的扩展名,如“.mallox”或“.mal”。同时,该软件还会在每个受感染的文件夹和桌面上放置一个名为“FILE RECOVERY.txt”的勒索信。
为了解密文件,受害者需要支付一笔赎金,并获得解密密钥。如果不支付赎金,受害者的文件将永远无法恢复。Mallox勒索软件的传播方式有多种,包括但不限于利用电子邮件附件、恶意网站、下载链接等方式进行传播。它通常隐藏在看似无害的文件或附件中,一旦受害者打开这些文件或附件,就会感染该软件。
Djvu(STOP)
jvu(STOP)也称为“勒索病毒”或“Ransomware”,最早出现在2018年。它通过加密受害者的文件来获取赎金,并使用一种特定的算法来生成唯一的密钥,以控制受感染的文件。一旦感染了Djvu(STOP)勒索软件,受害者的文件将被加密,并添加一个特殊的扩展名,如“.djvu”或“.stop”。同时,该软件还会在每个受感染的文件夹和桌面上放置一个名为“解密指南.txt”的勒索信。
为了解密文件,受害者需要支付一笔赎金,并获得解密密钥。如果不支付赎金,受害者的文件将永远无法恢复。Djvu(STOP)勒索软件的传播方式有多种,包括但不限于利用电子邮件附件、恶意网站、下载链接等方式进行传播。它通常隐藏在看似无害的文件或附件中,一旦受害者打开这些文件或附件,就会感染该软件。
Royal
Royal勒索病毒是一种新型的电脑病毒,首次发现是在2022年初。主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
勒索病毒主要通过三种途径传播:漏洞、邮件和广告推广。通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞,而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7、xp等老旧系统,因此也成为病毒攻击的重灾区,病毒可以通过漏洞在局域网中无限传播。相反,win10系统因为强制更新,几乎不受漏洞攻击的影响。通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少,但对于有收发邮件、网页浏览需求的企业而言,依旧会受到威胁。此外,对于某些特别依赖U盘、记录仪办公的局域网机构用户来说,外设则成为勒索病毒攻击的特殊途径。
Rhysida
Rhysida勒索病毒是一种新型的勒索软件,于2023年5月首次被发现。由于其处于发展的早期阶段,该病毒的功能和技术相对不完善。Rhysida勒索病毒通过网络钓鱼和Cobalt Strike木马进行攻击,并将明文写入样本字符串中,加密用户的文档,留下PDF格式的勒索信,并修改桌面背景。勒索信中记录了暗网的地址和密码,并要求受害者通过支付比特币进行解密。
Cactus
Cactus勒索病毒是一种新型的电脑病毒,于2023年3月开始持续活跃。该病毒利用存在漏洞的VPN设备进行入侵,并设置SSH后门以便长期入侵。一旦感染了Cactus勒索病毒,受害者的文件将被加密,并添加特定的扩展名,同时还会收到一个名为“CACTUS.readme.txt”的勒索信。
Cactus勒索病毒主要针对大型商业实体,并使用加密来保护勒索软件二进制文件,使其更难检测。此外,Cactus还增加了自己的手段来避免被发现,例如在加密过程中删除.7z档案和使用批处理脚本提取勒索软件二进制文件。
