存在數(shù)年的勒索軟件已經(jīng)讓許多人深受其害,包括大型企業(yè)、金融機構(gòu)、醫(yī)院等,而網(wǎng)絡犯罪分子卻從中牟利數(shù)千萬。過去幾個月,一連串勒索軟件攻擊(包括WannaCry、NotPetya和LeakerLocke)肆虐全球,致使醫(yī)院、汽車制造商、電信公司、銀行和眾多企業(yè)網(wǎng)絡崩潰。
WannaCry和NotPetya爆發(fā)之前,臭名昭著的全盤加密勒索軟件Mamba和Locky去年也在全球掀起波瀾。最新消息,這兩大軟件帶著更具破壞性的新變種又回來了!
Diablo6: Locky勒索軟件新變種Locky 2016年初首度浮出水面,如今已經(jīng)成為感染范圍最大的勒索軟件之一。
Locky通常會誘騙受害者點擊惡意附件,隨后加密受害者電腦和網(wǎng)絡中的所有格式的文件,受害者成功支付贖金才會解密文件。這款勒索軟件曾多次攜變種卷土重來,通過Necurs和Dridex僵尸網(wǎng)絡散播。
這次,安全研究人員發(fā)現(xiàn)Locky新變種“Diablo6”針對全球的計算機發(fā)起攻擊,美國是主要目標,其次是奧地利。
攻擊過程安全研究人員“Racco42”首次發(fā)現(xiàn)這個新變種在被感染計算機上加密文件,并附加了.diablo6文件擴展名。
Diablo6作為Word附件包含在電子郵件中,附件被打開時會執(zhí)行VBS下載器腳本,之后該腳本設法從遠程文件服務器下載Diablo6 的Payload。
隨后,Diablo6顯示信息指引受害者下載并安裝Tor瀏覽器之前,會使用RSA-2048密鑰(AES CBC 256位加密算法)。
Locky Diablo6 索要0.49比特幣(約13676元)恢復文件。不幸的是, Diablo6加密的文件無法恢復,因此用戶打開電子郵件附件時要小心謹慎。
磁盤加密勒索軟件Mamba再現(xiàn)江湖Mamba是另一款強大而危險的勒索軟件,會全盤加密,而不止是文件。
其它勒索軟件攻擊也會使用類似的策略,包括NotPetya和WannaCry,但是Mamba勒索軟件意在破壞公司和大型組織機構(gòu),而不是勒索比特幣。
去年年底,Mamba在感恩節(jié)周末感染了舊金山市交通局(MUNI)的系統(tǒng)網(wǎng)絡,造成列車誤點,并迫使當?shù)仃P(guān)閉售票機和某些車站的檢票閘口。
如今,卡巴斯基實驗室的安全研究人員發(fā)現(xiàn)新一輪Mamba活動,其將主要目標指向巴西和沙特阿拉伯的公司網(wǎng)絡。
Mamba利用合法開源Windows磁盤加密工具“DiskCryptor”對目標組織機構(gòu)的計算機進行全盤加密。加密數(shù)據(jù)無法被解密,因為DiskCryptor使用的加密算法非常強大。
雖然尚不清楚這款勒索軟件最初是如何進入公司網(wǎng)絡的,但研究人員認為,Mamba與大多數(shù)勒索軟件變種一樣,可能使用被感染或惡意網(wǎng)站上的漏洞利用工具或隨著電子郵件攜帶的惡意附件感染目標網(wǎng)絡。
從被感染電腦屏幕上顯示的信息來看,攻擊者僅聲稱加密了受害者的硬盤,并提供了索要恢復密鑰的兩個電子郵箱和唯一ID號,這說明勒索信不會立即索要贖金。
如何保護自身免遭勒索軟件攻擊?過去幾個月,勒索軟件已經(jīng)成為個人和企業(yè)的最大威脅之一。目前市面上尚未出現(xiàn)解密Mamba和Locky加密數(shù)據(jù)的解密器,因此,強烈建議用戶采取預防措施防止遭遇此類攻擊。
注意網(wǎng)絡釣魚電子郵件:勿打開來路不明或存疑的電子郵件附件,勿點擊這些附件內(nèi)的鏈接,除非已驗證來源可靠。
定期備份:謹慎管理重要文件和文檔,養(yǎng)成定期備份的習慣,可將副本保存至外部存儲設備。
使用反病毒軟件、及時更新系統(tǒng),以防御最新的威脅。