以点破面-探究勒索病毒常见攻击手法

零、前言

最近老是遇到勒索病毒类事件，基于这种情况，在网上查找大量资料，深入学习一下勒索病毒。

第一、三、六点内容部分参考：https://blog.csdn.net/huihui8703/article/details/122549326

第二点内容参考：https://mp.weixin.qq.com/s/mZzgyf34G893-WIbSr6PAg

wannacry相关内容参考：https://www.sohu.com/a/141037398_163524 https://www.sohu.com/a/141033548_114877

下面跟大家一起探究下勒索病毒的发展史及传播方式，如有不对，欢迎指正。

一、勒索病毒的发展史

从1989年第一个勒索病毒诞生至今，勒索病毒经过了飞快的发展，尤其是虚拟货币的诞生，让勒索病毒的发展更加迅速。

勒索病毒的发展史：由个人化演变为产业化黑产链

1、原始期

早在1989年第一个勒索病毒（AIDSTrojan，又名“艾滋病特洛伊木马”）就已经诞生了！

这个木马会以“艾滋病信息引导盘”的形式进入系统，把系统文件替换成含病毒的文件，并在开机时开始计数，一旦系统启动达到90次，木马就会隐藏磁盘的目录，C盘全部文件也会被加密，从而导致系统无法启动。而这时，电脑屏幕就会弹出一个窗口要求用户邮寄189美元来解锁系统。

2006年，我国首款勒索软件Redplus勒索木马出现。这个病毒并不会删除电脑里的文件，而是把它们转移到一个具有隐藏属性的文件夹里，然后弹出窗口要求用户将赎金汇到指定的银行账户，金额从70元至200元不等。

这个时期的勒索病毒还处于萌芽阶段，传播途径主要通过钓鱼邮件，挂马，社交网络的方式。

所谓的挂马就是用户在浏览有安全威胁的网站，系统会被植入木马感染勒索病毒。

而钓鱼邮件这种传播方式算是病毒界比较老套路的传播方式了。攻击者会以广撒网的方式大量发送含有勒索病毒的文件，一旦收件人打开该文件或链接，勒索软件会以用户看不见的形式在后台静默安装，然后实施勒索。

但由于过去技术有限，大多勒索病毒都存在着漏洞，很容易就会被识别破解，加上这阶段交付赎金的方式多数以邮寄现金和转账为主。

而这种交付形式，真的很不适合勒索病毒，不管是邮寄的地址还是转账的账号，都很容易暴露黑客的行踪，为了几百块的勒索金就这样铤而走险就像玩过家家一样， 特别不划算

2、成长期

2013年是勒索病毒发展的一个重要的“分水岭”。CryptoLocker病毒作为首个采用比特币作为勒索金支付手段的加密勒索软件出现了！

这个时期的勒索病毒一般使用AES和RSA对特定文件类型进行加密，而这种加密算法就现在的计算技术来说，几乎是没办法破解的。

那为什么黑客们会喜欢选择比特币呢？

像比特币这样的虚拟货币可以完美地隐藏黑客的身份，完全匿名且不受各种金融限制，几乎很难从一个比特币账户追查到另一个。让整个交易过程难以被追踪。

让被勒索者把钱放在公园第三个垃圾桶旁边，或者从过街天桥丢下这些熟悉的桥段，真的只会在电影里出现了，黑客们再也不用为因收钱而暴露的风险操心了······

3、成熟期

2017年，一款名叫“WannaCry”的勒索病毒席卷了全球150多个国家。相信各位即使自己电脑没感染过这个病毒，也曾有所耳闻。

那为什么“WannaCry”的传染力如此之强呢？主要是因为一个叫 “The Shadow Brokers” 的黑客组织把它的病毒攻击工具和用于加密的密码公布到了网上。换句话说，无论是谁都可以下载下来并进行远程攻击利用。而这一思路恰恰为黑产分子打开了“新世界”的大门！

在这个阶段，勒索病毒逐渐演变成了产业化模式，并形成了一条完整的黑产产业链。

从勒索病毒作者、勒索实施者、传播渠道商、代理等等，各环节分工明细。而攻击的对象不再仅限于个人，更多的是针对企业，尤其是中大型企业，让企业核心业务网络陷入瘫痪，而不得不缴纳巨额的赎金。

收到赎金的黑客们会将钱分批转给病毒制作者和各渠道的合作商。当然啦，这些钱的大部分都落入了勒索者和组织运营的平台，其他环节虽然分成不多，但“薄利多销”，总数还是很可观的。

勒索病毒演变到今天，已经不再是单纯的个人行为，而是已经形成具规模的成熟产业链。

二、勒索病毒的六个第一

1、1989年全世界第一个勒索病毒诞生

时间回溯至1989年，哈佛大学学生约瑟夫·L·波普将2万张感染“AIDS Trojan”病毒的磁盘分发给艾滋病会议的参加者，该病毒会隐藏计算机目录并加密文件，同时要求受害者将189美元邮寄到某邮局信箱。自此，世界上第一个勒索病毒正式诞生。这份在哈佛学生宿舍编写出的木马病毒所使用的主要技术手段是对称加密，解密工具没花多少时间就修复了加密的文件，但这一举动埋下了勒索病毒“恶之花”的种子，激发了后续近三十年的勒索软件攻击事件。

2、历史上第一款使用RSA加密的勒索软件

2006年，一种被称为“熊猫烧香”的新型蠕虫病毒在互联网上大规模爆发。同年，几乎“销声匿迹”了17年的勒索软件——首个使用非对称加密算法的勒索病毒——“Archiveus Trojan”出现了。Archievus木马会将系统中“我的文档”里面的所有文件都加密，需要用户从指定网站购买密钥才可以解密文件.

不同于加密和解密都使用同一个密钥的对称加密，非对称加密需要两把密钥。公钥用作加密，私钥则用作解密，私钥除了黑客本人谁也拿不到。因此，文件一旦感染了使用RSA加密的勒索软件，基本不可能暴力解密，大大增加了破解加密文件的难度。

非对称加密仍是现在勒索软件的主流加密方式。

3、第一个比特币支付勒索病毒开始出现

2013年，第一款通过被控网站下载或伪装客户投诉电邮附件进行传播的加密型恶意软件“CryptoLocker”出现了，勒索病毒迈入新的发展期，以比特币为代表的数字货币匿名支付方式进入黑客的视野。由于加密货币很难被执法人员追踪溯源，逐渐成为勒索病毒的最主要支付方式，至今最为活跃的勒索软件家族REvil仍大部分要求被勒索者采用加密货币的支付方式支付赎金。

4、第一个勒索软件即服务“TOX”工具包

为了寻求收益最大化，黑客创建了一种新的服务模式——勒索软件即服务（RaaS）。2015年，第一个RaaS——“TOX”勒索软件工具包出现。通过注册服务，任何人都能自定义创建勒索病毒，TOX的发布者会收取20%的勒索赎金。

RaaS的出现，让攻击者不需要专业知识就能轻而易举地发起勒索攻击，其简单易用性，大大降低了发动勒索攻击的门槛，勒索攻击事件的数量进一步激增。

5、第一个双重勒索病毒“Megacortex”传播

勒索攻击日渐增多的同时，人们的防范意识也逐渐增强。备份成为越来越多企业机构的基本防御措施，即使遭遇被攻击的境况，及时恢复备份数据即可摆脱勒索。然而狡猾的黑客再一次升级了勒索攻击的强度。

2019年，“Megacortex”勒索病毒开始传播开来，它不仅加密用户文件，同时窃取用户信息，如果不缴纳赎金，就会公开用户文件，泄露受害者的隐私。

近年来，双重勒索逐渐发展成为新常态，不少受害者迫于数据破坏和泄密的双重压力选择支付赎金，根据数据统计显示，2020年因勒索攻击而支付的赎金同比增长了311%。

6、第一个三重勒索攻击诞生

随着计算机技术的不断进步，黑客也不断寻求更具创新、更富成效的业务模式。2020年10月，第一起被观测到的三重勒索攻击事件发生，国外一家心理诊疗中心遭勒索攻击，黑客不仅要求治疗中心支付赎金，还窃取患者数据，并向患者单独发送邮件，要求支付赎金，否则将公布其诊疗记录。

三重勒索分别是针对文件加密、威胁发布被盗数据以及针对非付费受害者的DDoS攻击(分布式拒绝攻击：此类攻击可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用文件或网站服务，这样不仅仅会影响用户的正常使用，同时造成的经济损失也是非常巨大的)。

三重勒索的攻击策略是针对高价值实体，并且将赎金支付的谈判保密，避免引起执法部门的注意和来自媒体的报道。

三、勒索病毒的加密方式

1、对称加密

对称加密算法（如：AES），就是使用相同的密钥进行加密和解密。

2、非对称加密

非对称加密算法（如：RSA），加密和解密使用的是不同的密钥。

使用非对称加密算法，会同时产生一对密钥，一把是公钥，一把是私钥。非对称加密常见的用法有两种：一是公钥加密，私钥解密；另外一种就是私钥加密，公钥解密。两种方式，应用场景各有不同。

举个例子说明：

隔壁的女神如花准备用“情书招亲”的方式挑选夫婿，广邀村里的有志青年前来大展身手。她在家门口设置了一个信箱，该信箱由“情书投递”和“结果公布”两部分组成。

前来应聘的青年可直接将写好的情书放进“情书投递”处，但打开“情书投递”处取出里面的情书需要密码，该密码只有如花一人有，以确保所有的情书内容只有如花一人知道，避免相互抄袭，确保公平竞争。此处的信箱就相当于公钥，是公开的，谁都可以往里放信件，相当于谁都可以用公钥来加密。但打开信箱的密码只有如花自己有，相当于解密的私匙，由加密者自己持有。这是公钥加密，私钥解密的应用场景。

两天后，如花已挑中如意郎君张三，准备公布结果，他把张三的名字写在纸上放进“结果公布”信箱，往该信箱里投递需要密码。该密码同样只有如花一人有，避免街对面的东施嫉妒使坏，将奇丑无比的李四放进邮箱内，让如花错嫁李四。但从该信箱里取出邮件却不需要密码，直接倒出来即可，该方法如花已事先告诉了所有人，众人用该方法顺利取出了招亲结果。此处投信的密码相当于私钥，而取信的方法相当于公钥，用私钥加密的目的是为了确保该结果确实是如花发布的，实际上是进行签名，而不是为了加密。这是私钥加密，公钥解密的应用场景。

勒索病毒都是怎么来进行加密的？

首先病毒制作者A基于RSA或椭圆曲线的原理，在自己电脑上生成私钥A和公钥A；然后在目标电脑B（也就是被植入了勒索病毒的电脑）上随机生成私钥B和公钥B；接着用公钥B把目标电脑B的文件进行加密，同时用公钥A加密私钥B；最后删除目标电脑B上的私钥B、公钥A以及数据。

等被勒索的用户B支付完赎金后，病毒制作者可以通过自己手上的私钥A解出私钥B，再用私钥B来解密用户的数据。

中了勒索病毒就像有人用一个非常非常复杂的锁，把你的房子锁上了。能解开这个锁的钥匙掌握在上锁的黑客手里，你是没有的，而且以你现在的开锁技术，也没办法在零损失的前提下强行把这个锁破开。

四、勒索病毒常用的攻击手法

1、RDP爆破传播

此类攻击手法和传播方式是目前勒索病毒中最常见也是最主要的传播方式，一般是通过爆破对外网映射的RDP，获得系统密码后，直接通过RDP登录服务器，随后通过结束杀毒软件或者加白病毒的方式运行勒索母体，还会通过mimikatz等工具抓取主机密码，横向爆破内网其他主机，从而勒索内网其他机器。

由于RDP登录主机后，操作主机的文件等可以被记录，可以使用LastActivityView排查文件开始加密前主机运行了哪些软件。

可以继续查看运行程序前，是否有RDP登录成功的日志（上下2图没有关联）。

2、xp_cmdshell执行命令勒索

此类攻击手法主要针对mssql数据库，一般存在两种获取权限开启xp_cmdshell的手法：

1）通过爆破mssql的方式获取到数据库权限

这种一般是1433端口存在对外映射，并且存在被爆破的现象，查看SQLserver数据库的日志可以看到大量的爆破日志，但是SQLserver默认只记录登录失败的日志，如果想看是不是执行了命令，可以看日志是否存在将xp_cmdshell进行更改（事件查看器-应用程序日志筛选事件ID：15457）。

如下图，sqlserver默认不开启记录成功的登录。

如下图，可以看到存在外网IP爆破失败的日志，说明主机的1433端口存在对外映射的情况。

如果数据库被勒索后无法打开，也可以看操作系统事件查看器的应用程序日志。事件ID：18456记录的是登录失败的日志，事件ID：18454记录的是登录成功的日志，事件ID：15457记录的是配置更改日志，比如xpcmdshell的开启。

如下图，搜索15457日志ID，发现了将show advanced options设置为1的日志，正常情况业务是不太可能做该操作，所以这个时间点可能被爆破成功并登录了机器，可以查看xp_cmdshell的开启。

可以右键当前连接的数据库--方面---外围应用配置器，查看xp_cmdshell是否开启。

2）通过SQL注入漏洞获取mssql权限

这种一般黑客系统利用常见的cms或者知名业务系统存在事情SQL注入漏洞开启xpcmdshell调用powershell下载执行勒索程序，在应急过程中，下面是遇到的一起案例：

机器是于18:40被勒索加密

查看应用程序日志事件ID为15457的日志，可以发现有开启xp_cmdshell的操作，开启时间为17:49:27

查看网站访问日志，发现在这个时间点访问了接口，网上搜索该接口，发现是已知的某知名系统SQL注入漏洞。

3、永恒之蓝漏洞攻击传播

以臭名昭著的wannacry为代表，通过永恒之蓝漏洞进行横向传播，自我复制实现自动化传播

wannacry的前生今世

第一趴：据传最厉害的黑客组织

说起病毒源头，我们必须先了解一个组织---“方程式组织”，它被称为是世界上最神秘最强大的黑客组织，大家普遍认为该组织隶属于美国国家安全局（NSA）。

而NSA是美国政府机构中最大的情报部门，专门负责收集和分析外国及本国通讯资料。它是1952年根据杜鲁门总统的一项秘密指令，从当时的军事部门中独立出来，用以加强情报通讯工作的，是美国情报机构的中枢。

NSA是全世界单独雇佣数学博士、计算机博士和语言学家最多的机构，也是美国最神秘的情报机构。

第二趴：山外青山楼外楼

2016年8月13日，黑客组织ShadowBroker公布了一个重磅信息：该团队跟踪并渗入“方程式组织”的服务器，从中盗取了一个庞大的武器库。 ShadowBroker 拿到武器库后，将它分为两个部分，一部分不加密公开，另一部分加密后公开拍卖。价格是一百万比特币，现在比特币的行情是人民币1.03万元/个...

这次WannaCry勒索病毒就是利用了其中不加密部分的一个工具，利用445端口进行攻击的工具，运营商已经对个人用户封掉445端口，但是教育网没有封，所以导致此病毒在高校爆发。

其实在2017年 4 月份，微软就发布公告，声明大部分的漏洞均已修复发布对应补丁。如果你开启了Windows自动更新，就会安全躲过这次病毒袭击，所以你现在看到各大杀毒软件、安全助手教你的预防办法都是很早之前就有的。

第三趴：意外终止

在各国安全部门都在处于战斗状态的时候，一个英国22岁的民间网络安全研究员也开始了自己的工作，他发现病毒每次启动的时候，都会去请求一个叫“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”的网站，但是这个复杂到爆的域名并没有被注册，于是他就注册下了这个域名并搜集网络请求数据。没想到的是，他的举动意外终止了病毒的传播。

原来病毒程序的运行逻辑是：

病毒启动

访问 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 有数据返回的话就关闭病毒，不然继续感染互联网和局域网的机器，并加密你的数据文件

由于病毒程序访问到了网站数据，所以就停止了传播和感染。这应该是黑客为了能控制病毒的传播留下的应急开关。

wannacry病毒处置方法：

1.使用专杀工具查杀病毒：

2.关闭137、138、139、445、3389等高危端口（重启生效）；

3.安装ms17-010补丁（安装补丁可能会导致系统蓝屏，安装补丁前建议备份系统），重启生效。

相关文档与解决方案已同步至蓝奏云盘：https://my404.lanzoub.com/igQcn20x3tpi

如链接失效，关注公众号：“安服仔的救赎”留言。

4、web漏洞传播

此类攻击手法常用互联网公开的知名系统漏洞，例如：某有，某康等，常利用命令执行漏洞和文件上传漏洞获取主机权限，然后进行勒索，注：千万不要以为Linux系统就不会被勒索，这是大错特错的想法。

下面是某个webshell上传后，开始投放勒索病毒：

勒索加密时间为：18:17

发现勒索前异常落地的exe程序，落地时间：18:16

根据勒索程序落地时间，找到17:30落地的webshell文件。

由于主机的web应用未开启日志记录，根据webshell落地的名称，在态势感知上定位到本次利用的漏洞详情。

5、远程工具传播

此类传播方式指的是用来远程的工具，例如向日葵、todesk等被攻击者利用，投放勒索病毒，一般是需要先获取一台主机的权限后，被控主机安装了远程软件保存了历史连接过的主机，攻击者直接通过被控机器的远程软件，直接连接到目标机器，投放勒索病毒。

下列是利用向日葵投放勒索的案例：

主机被勒索后，可以查看向日葵的file日志文件，里面可以看到传输文件的记录。

在history日志文件里面也能看到（好像向日葵默认安装在C盘的才有history.log）。

todesk也可以在service日志文件里面找到连接记录（默认安装才有）

五、防护建议

想必看到这里肯定已经看完了上面的勒索病毒常用的攻击手法，那么根据攻击手法可以推出如何防护：

1、关闭RDP、MSSQL、MySQL等高危端口的对外映射，并且设置强密码。

2、安装EDR等终端防护软件，开启webshell实时防护和powershell拦截，还可以开启RDP登录二次验证。

3、内网部署防火墙、态势感知等设备，用于防护和监测。

4、定期进行漏洞扫描和渗透测试，修复业务系统存在的漏洞。

5、定期对系统和数据库进行备份。

六、勒索家族识别与解密

识别类工具

这类工具主要用于识别和检索各类已知的病毒。

1、腾讯勒索病毒搜索引擎：https://guanjia.qq.com/pr/ls/

2、VenusEye勒索病毒搜索引擎：https://lesuo.venuseye.com.cn/

3、奇安信勒索病毒搜索引擎：https://lesuobingdu.qianxin.com/

4、深信服勒索病毒搜索引擎：https://edr.sangfor.com.cn/#/information/ransom_search

解密类工具

这类工具主要是提供一些根据已知的病毒制作的杀毒、解密、备份等软件。

1、腾讯哈勃勒索软件专杀工具：https://habo.qq.com/tool/index

2、火绒勒索病毒解密工具集合：http://bbs.huorong.cn/thread-65355-1-1.html

3、瑞星解密工具下载：http://it.rising.com.cn/fanglesuo/index.html

4、nomoreransom勒索软件解密工具集：https://www.nomoreransom.org/zh/index.html

5、卡巴斯基免费勒索解密器：https://noransom.kaspersky.com/