勒索病毒为什么中国黑客阻止不了
没有为什么。
这是世界上到目前为止都无法破解的病毒。
计算加密的方法不一样,破解的话,需要的时间是N年。
勒索病毒黑客在我国有什么法律待遇
如果他是在中国实施的黑客行为,可以享受坐牢的待遇。已经涉嫌破坏计算机信息系统罪、敲诈勒索罪。
《刑法》第二百八十六条,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
《刑法》第二百七十四条,敲诈勒索公私财物,数额较大或者多次敲诈勒索的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑,并处罚金。
2022年5月勒索病毒态势分析
勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御,为大量需要帮助的用户提供360反勒索服务。
2022年5月,全球新增的活跃勒索病毒家族有:7Locker、EAF、QuickBubck、PSRansom、Cheers、RansomHouse、Mindware等家族,其中Cheers、RansomHouse、Mindware均为具有双重勒索功能的家族。
基于对360反勒索数据的分析研判,360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
根据本月勒索病毒受害者排查反馈统计,Magniber家族占比46.17%居首位,其次是占比15.52%的TargetCompany(Mallox),phobos家族以10.15%位居第三。
本月因大量用户浏览网站时有意或无意下载伪装成Win10/win11的补丁/升级包的Magniber勒索病毒而中招,首次出现单个家族感染量占比近50%的“霸榜”现象。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows 7。
2022年5月被感染的系统中桌面系统和服务器系统占比显示,因Magniber勒索病毒攻击这针对Windows 10和Windows 11,导致桌面PC占比上涨。
今年4月底,Magniber勒索病毒伪装成Wndows10升级补丁包进行大肆传播,360安全大脑对其进行了预警。
而5月初,360安全大脑再次监测到该家族新增对Windows 11系统的攻击,其主要传播的包名也有所更新,比如:
win10-11_system_upgrade_software.msi
covid.warning.readme.xxxxxxxx.msi
其传播方式仍然是各类论坛、破解软件网站、虚假色情站等。用户在访问这些站点时,会被诱导至第三方网盘下载伪装成补丁或更新的勒索病毒。此外也有部分网站存在自动下载情况。
以下是该病毒近期传播针对Windows 11的攻击态势图:
遭到该勒索病毒加密后,文件后缀会被修改为随机后缀,且每个受害者会有一个独立的支付页面——若不能在规定时间内支付赎金,该链接将失效。若受害者能在5天内支付赎金,则只需支付0.09个比特币(截止该报告撰写时,约合人民币17908元),而超过5天赎金将会翻倍。
本月360安全大脑监测发现多起Mallox勒索病毒攻击事件。该病毒主要针对企业的Web应用发起攻击,包括Spring Boot、Weblogic、通达OA等。在其拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,危害性极大。360提醒用户加强防护,并建议使用360终端安全产品提供的安全补丁,防御查杀该病毒。
360安全大脑监测 历史 显示,Mallox(又被称作Target Company)于2021年10月进入中国,早期主要通过SQLGlobeImposter渠道进行传播(通过获取到数据库口令后,远程下发勒索病毒。该渠道曾长期被GlobeImposter勒索病毒使用)。而今年GlobeImposter勒索病毒的传播量逐渐下降,Mallox就逐渐占据了这一渠道。
除了传播渠道之外,360通过分析近期攻击案例发现攻击者会向Web应用中植入大量的WebShell,而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备,攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户,并尝试远程登录目标机器。此外,攻击者还会使用fscan工具扫描设备所在内网,并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。
近日360安全大脑监控到一款新型勒索病毒7Locker,该病毒使用java语言编写,并通过OA系统漏洞进行传播。其本质上是利用7z压缩工具将文件添加密码后进行压缩,被加密压缩后的文件被新增扩展名.7z。每个受害者通过唯一的Client Key查看具体赎金要求以及指定的赎金支付地址。
另外,根据目前已掌握的信息推测:该家族的传播事件有很大概率是中国台湾黑客针对中国内陆发起的勒索攻击。
5月8日星期日,新当选的哥斯达黎加总统查韦斯宣布国家进入紧急状态,理由是多个政府机构正遭到Conti勒索病毒攻击。
Conti勒索病毒最初声称上个月对哥斯达黎加政府进行了攻击。该国的公共卫生机构哥斯达黎加 社会 保障基金(CCSS)早些时候曾表示,“正在对Conti勒索病毒进行外围安全审查,以验证和防止其可能再次发动攻击。”
目前,Conti已发布了大约672 GB的数据,其中似乎包含属于哥斯达黎加政府机构的数据。
以下是本月收集到的黑客邮箱信息:
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月总共有220个组织/企业遭遇勒索攻击,其中包含中国10个组织/企业(含中国台湾省5个组织/企业)在本月遭遇了双重勒索/多重勒索。
表格2. 受害组织/企业
在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。
对2022年5月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2022年5月弱口令攻击态势,发现RDP弱口令攻击和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽有波动,但依然处于常规范围内且整体呈上升态势。
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
从解密大师本月解密数据看,解密量最大的是GandCrab,其次是Coffee。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备,其次是被CryptoJoker家族加密的设备。
黑客勒索病毒何时解除
勒索病毒是一种蠕虫病毒,只有高发期、低发期或隐藏期,无法全部彻底解除。
现在勒索病毒已经出现新变种。如今网络黑客商业化已经非常成熟了,造枪(制造)、卖枪(贩卖)、拿箱子(购买实施者)、挂马(传播)、分销、变现,“一条龙”下环环相扣,每天在全球黑产网络中流转的交易额数以亿元计算。
国内遭勒索病毒袭击的重灾区是校园网,相比之下,英国遭到攻击的医院已经陷入了一片混乱。据英国镜报等报道,受病毒影响的40家医院所有IT系统、电话系统、患者管理系统等目前通通暂停。这意味着所有系统都处于离线状态,医院根本无法接听来电。候诊的急症病人会根据医生的安排,转移到其他地方,且至少一家医院被迫关闭。
报道称,目前已经发生了超过45000次攻击,主要发生在俄罗斯,已经至少有10笔每笔额度300美元左右的赎金被打到黑客提供的比特币账户。
360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。
360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
至此,幕后开发者还未找到,攻击还在持续中......
制造勒索病毒的黑客会有什么刑罚?
近日,“比特币勒索病毒”肆虐互联网,使全球多个国家、多家机构及个人电脑遭受此种病毒软件的攻击。据互联网相关安全专家分析,此种病毒可进行远程攻击,无需用户任何操作,只要开机联网,就能在电脑里执行任意代码、植入恶意程序进行控制勒索。其传播速度之快,范围之广,影响之严重,犹如“网络瘟疫”,给整个互联网生态和电脑用户带来极大的危害和极其严重的损失。
能定什么罪?
从“比特币勒索病毒”侵害的行为模式来看,病毒制造者也即黑客,将病毒勒索软件在在秘密情况下非法植入他人电脑,使电脑感染病毒后自动加密锁住电脑中的文件资料,并且以此锁住的文件为要挟要求他人支付赎金。这一行为已经涉嫌我国刑法规定的以下四个罪名:
一.非法侵入计算机信息系统罪、非法控制计算机信息系统罪
根据我国刑法第285条的规定,侵入计算机信息系统或者对该计算机信息系统实施非法控制,情节严重的,就可构成上述两罪。如果侵入的是国家事务、国防建设、尖端科学技术领域的计算机信息系统的,则不需要情节严重,可直接构成非法侵入计算机信息系统罪。
二.破坏计算机信息系统罪
根据刑法第286条的规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的构成此罪。如果黑客在他人不支付赎金的情况下不恢复数据,导致电脑无法正常运行,在造成大面积电脑用户受损的情况下,也可能构成破坏计算机信息系统罪。
三.敲诈勒索罪
根据刑法第274条的规定,敲诈勒索公私财物,数额较大或者多次敲诈勒索的,构成此罪。黑客通过使用病毒软件侵入控制他人计算机的方式勒索他人钱财,符合敲诈勒索罪的构成要件。
由上可知,如果黑客一旦被抓获归案,我国刑法中有四个罪名可以对其进行规制适用。但应该看到,黑客是利用病毒勒索软件非法侵入和控制他人计算机信息系统的方式勒索钱财,其行为和目的之间存在牵连关系,根据刑法的一般理论,“择一重”论处,最终应以法定刑较高的敲诈勒索罪定罪处罚。
黑客非中国人怎么办?
需要注意的是,本案中的黑客可能并不是我们国家的公民或者可能在国外实施了此次病毒勒索行为,我们国家的刑法能不能对其进行适用?根据我国刑法属地管辖的基本原则,犯罪行为或者结果有一项发生在中华人民共和国领域内的,就认为是在中华人民共和国领域内犯罪,我国就有刑事管辖权。
因此,即使黑客不是我国公民,或者人在我国领域外,只要对我们国家的计算机信息系统实施了侵害或者对我们国家的公民实施了敲诈勒索行为,我们国家仍然能对其进行刑事管辖。
警示:做好预防工作
不过,同时也应该看到,此次病毒勒索事件给我们最大的警示不是刑法如何适用,而是如何预防此类犯罪行为的发生。截至目前,我们仍然没有发现真正的病毒制造者,也没有有效的破解加密文件的方法去挽回可能造成的重大损失。
事实上,在规制网络犯罪中,事前的预防比事后的打击更为重要。因互联网无国界,跨区域的特点,网络犯罪行为的实施和所产生的后果已经突破了传统国家地域之间的界限,因此加强国际合作,探讨综合治理模式,共同打击网络犯罪也显得愈发重要。
勒索病毒怎么解决
勒索病毒的解决如下:
1、及时止损(拔网线)。
能拔网线的直接拔网线,物理隔离,防止出现「机传机」的现象。如果是云环境,没法拔网线,赶紧修改安全组策略,总之,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通讯,防止内网感染。
改密码!如果被勒索的机器和未被勒索的机器存在相同的登陆口令(相同的密码),及时修改未感染机器的登陆口令。
保护好案发现场,不要重启!不要破坏被勒索的机器环境,保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致系统完全崩溃,严重影响后续动作。
关端口及时关闭未感染机器远程桌面/共享端口(如:22/135/139/445/3389/3306/1521)对未感染的重要机器进行隔离备份,备份后及时物理隔离开备份数据,如:硬盘或者 u 盘备份后需要及时拔掉。
不要联系黑客,在不了解勒索病毒的情况下,建议不要直接联系黑客(容易钱财两空)。
2、确定影响范围。
止损之后,逐一排查感染规模及环境(是 OA 还是服务器/一共中了多少台),可通过网络区域划分,防火墙设备、流量检测设备辅助快速确认影响范围。
3、病毒提取和网络恢复。
取证,通过对被勒索机器进行取证提取病毒样本,或结合终端防病毒软件,对影响区域内或可疑区域进行逐台确认,是否有遗留的病毒样本,确保所有机器上的病毒样本均已查杀;恢复网络制定网络恢复计划,优先对非重要区域的终端进行网络恢复,恢复过程中需通过流量检测设备进行实时监测,确保恢复后不会出现横移情况;直至全部网络恢复。
4、数据恢复和解密。
目前绝大多数勒索病毒均无法解密(在没有拿到解密密钥的情况下),通常有如下几种选择:如有数据备份,则可以直接通过数据备份进行恢复;放弃数据恢复;联系勒索者缴纳赎金,但是不建议自己联系,最好是专业的服务商协助,他们比较知道怎么跟勒索者谈判。
5、溯源分析。
溯源分析的目的,并不是是查到勒索者是谁,而是找到勒索入侵的源头(从哪台机器上进来的),即 0 号主机,然后进行相应的安全加固,以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征,可以判断勒索病毒家族;
对于内部攻击路径溯源,需依托于网络、安全设备日志以及感染/关联终端日志记录,包括流量检测设备、防火墙设备、防病毒软件、终端日志。 备注:因为很多勒索病毒存在反侦察手段,终端环境可能会被清理,如果没有流量监控等相关设备,溯源难度会非常大。
6、安全加固。
修复内网中高危漏洞,确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口,如:445、3389等。对重要系统进行异地物理备份,确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域,各个区域之间使用严格的ACL,避免攻击者大范围横向移动扩散。
0条大神的评论