什么是勒索病毒?

勒索病毒是一种极具传播性、破坏性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒攻击形势更加严峻,由于其加密信息难以恢复、攻击来源难以溯源,对现实世界威胁加剧,已成为教育领域广泛关注且亟需加强防范与应对的网络安全问题。

2021年1月发现的BabukLocker,2019年12月首次出现的Conti,2019年4月首次发现的REvil/Sodinokibi等都是典型的勒索病毒。

更多
勒索病毒主要类型
文件加密类勒索病毒
该类勒索病毒以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金,—旦感染,极难恢复文件。该类勒索病毒以WannaCry为代表,自2017年全球大规模爆发以来引起攻击者的广泛模仿。
数据窃取类勒索病毒
该类勒索病毒与文件加密类勒索病毒类似,通常采用多种加密算法加密用户数据,一旦感染,同样极难进行数据恢复,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。
系统加密类勒索病毒
该类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,一旦感染,同样难以进行数据恢复。
屏幕锁定类勒索病毒
该类勒索病毒对用户设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索信息的图像,导致用户无法登录和使用设备,或伪装成系统出现蓝屏错误等,进而勒索赎金,但该类勒索病毒未对用户数据进行加密,具备数据恢复的可能。
更多
勒索病毒典型传播方式
  • 利用安全漏洞传播
  • 利用钓鱼邮件传播
  • 利用网站挂马传播
  • 利用移动介质传播
  • 利用软件供应链传播
  • 利用远程桌面入侵传播
典型勒索病毒攻击流程
聚焦勒索病毒攻击链,其典型攻击流程主要包括探测侦查、攻击入侵、病毒植入、实施勒索4个阶段。
更多
勒索病毒安全防护要点
事前夯实风险防范基础
事中做好攻击应急响应
事后开展网络安全加固
做好保障服务支撑
典型勒索病毒攻击事件
起亚美国遭 DoppelPaymer 勒索病毒攻击,导致长时间 IT 系统中断
2021年2月,起亚汽车美国公司(KMA)遭 DoppelPaymer 勒索病毒攻击,要求起亚在两到三周内支付2000万美元的比特币赎金(约合人民币1.29亿元),一旦延期支付,赎金将达到约 3000 万美元(约合1.93亿元)。攻击者在其数据泄露网站称,已经窃取起亚美国大量数据,起亚美国若未与之谈判,将在两到三周内公布数据。此次,勒索病毒攻击导致起亚美国长时间IT系统中断,影响其应用程序、电话服务、支付系统等。
宏碁遭 REvil 勒索病毒攻击,攻击团伙索要高额赎金
2021年3月,中国台湾计算机制造商宏碁(Acer)遭 REvil勒索病毒攻击。REvil勒索病毒团伙在其数据泄露网站公布遭窃取文件的图片作为证据,包括财务电子表格、银行余额和银行通信等,索要赎金5000万美元(约合人民币3.25亿元),经谈判如提前支付赎金,勒索病毒团伙可提供20%的赎金折扣,提供解密工具、漏洞报告,并删除窃取到的文件。
美最大成品油管道运营商科洛尼尔遭暗面组织勒索病毒攻击,严重影响美东海岸成品油供应
2021年5月,美国最大成品油管道运营商科洛尼尔(Colonial Pipeline)公司遭暗面(arkside)勒索病毒攻击,导致美国东部沿海主要城市输送油气的管道系统被迫下线,成品油供应中断。科洛尼尔支付约500万美元(约合人民币3200万元)的加密货币勒索赎金,获得暗面组织提供的勒索病毒解密工具,但由于该工具恢复数据速度缓慢,科洛尼尔已采用备份数据进行系统恢复。
北约“北极星”计划云平台供应商遭受勒索病毒攻击,攻击者索要高额赎金
2021年6月,勒索病毒攻击者入侵西班牙企业Everis及其位于南美洲的子公司,北约“北极星”计划云平台相关代码、文档等敏感信息可能遭到窃取。攻击者称有能力植入后门,攻击出于政治动机,威胁将数据发送到俄罗斯情报部门,以此勒索超10亿欧元(约合人民币76亿元)的赎金。
西班牙电信运营商MasMovil Ibercom遭REvil勒索病毒攻击,数据遭到窃取
2021年7月,西班牙电信运营商MasMovil Ibercom遭REvil勒索病毒攻击,且REvil勒索攻击团伙在其专门的数据泄露网站中表示,已窃取该企业大量敏感信息,并公开备份文件、经销商名单等部分数据截图作为已成功实施网络攻击的证据。
更多
安全技术支持
河南省教育信息安全监测中心提供完善的安全技术支持,用户可以通过电话和邮件的方式向我们寻求安全上的技术支持。
  • 联系电话
    0371-67765016
  • 电子邮箱
    szren@ha.edu.cn
(本期专题信息来源:中国信通院CAICT)