常见的勒索病毒有哪些?
1、全球大规模勒索软件
Glotemposter 3、0系列的变体使用RSA+AES算法进行加密。目前,还没有针对被勒索病毒加密的文件的解密工具。加密后,Ox4444、China 4444、Help4444、Rat4444、Tiger 4444、Rabbit 4444、Dragon4444、Snake 4444、Horse 4444、Goat 4444、Monkey 4444、Rooster 4444使用后缀(如Dog444)转换文件。生成一个名为“HOW_TO_BACK_”FILES的加密目录,其中显示受害者的个人ID序列号和黑客的联系信息。
GlobeImposter病毒本身无法传播,主要是通过垃圾邮件和RDP突发迁移。
2、GandCrab勒索软件
自2018年1月发布以来,GandCrab勒索软件在一年内经历了几次更新。目前的最新版本是V5。这种病毒以各种方式传播对企业网络的攻击。数据库、文档图像和压缩包等文件都是加密的。如果没有备份适当的数据或文件,正常的业务运营将受到影响。该病毒使用Salsa20和RSA-2048算法对文件进行加密,并将文件后缀修改为GDCB。爬行KRAB或5-10个任意字符,身份发票文件是GDCB DECRYPT、txt,KRAB DECRYPTxt[5-10个任意字符的DECRYPT、html、txt,用您的赎金发票图像替换主机的受感染桌面背景。
GandCrab病毒家族主要通过RDP暴力破解、网络钓鱼、恶意软件捆绑、僵尸网络和漏洞传播。这种病毒本身没有传播蠕虫的能力。通过枚举方法加密网络共享资源。同时,攻击者经常通过手动穿透内网、提取密码、扫描端口、炸毁密码等方式攻击其他主机并移植病毒,对Windows系统造成重大影响
3、撒旦变种病毒
撒旦勒索病毒的起源可以追溯到2017年1月。当时,病毒作者提供了一个门户网站(RaaS或勒索软件服务),允许任何人注册并创建撒旦勒索软件的定制版本。
2017年11月左右,撒旦开发者开始更新他们的勒索软件程序,以更好地适应这一趋势。第一步是将EternalBlue SMB漏洞攻击和扫描模块添加到Satan程序中。添加此漏洞意味着撒旦感染计算机后,勒索软件会使用EternalBlue。这意味着扫描多个本地网络以发现并感染具有旧SMB服务的计算机,从而最大限度地提高攻击的有效性。
2018年5月底,撒旦勒索软件的最新变种发布。该病毒不仅使用了一个永久性的蓝色漏洞,还使用了几个与WEB相关的漏洞进行传播。
2018年10月下旬,恶意软件猎人团队发现了一种名为DBGer勒索病毒的新型撒旦勒索病毒,这是撒旦勒索病毒的最新变种。它不仅利用了以前的一些漏洞,还集成了Mimikatz的功能,将加密文件后缀更改为、dbger。
2018年11月初,人们发现一些在Linux和Windows平台上拥有远程控制病毒样本的金融客户的样本与收集到的样本非常相似。
2018年11月底,国内金融公司开始推出最新的撒旦变体,该变体可以同时部署在Linux和Windows平台上。“使用勒索软件加密本地文件,并将加密的文件名更改为Lucky。”
撒旦病毒家族通过以下八个常见漏洞传播:目前,撒旦在Linux平台上搜索内部IP流和端口列表漏洞;漏洞搜索是在Windows平台上通过IP列表和端口列表进行的。
4、Sodinoki勒索软件
在分析了该行业电子邮件附件中发现的有害样本后,发现该病毒是2019年6月发布的一种新的Sodinokibi勒索软件。病毒是通过网络钓鱼电子邮件传播的。此电子邮件的附件包含一个伪装成Word文档的可执行文件。员工可以打开附件并加密主机文件。
目前,还没有针对Sodinokibi勒索软件的解密工具。如果将来有解密工具,您可以首先备份、存储和解密加密的重要文件和勒索软件信息文件。
