文件后綴名被篡改或者辦公文檔��、照片���、視頻等文件的圖標變?yōu)椴豢纱蜷_形式。一般來說�,文件后綴名會被改成勒索病毒家族的名稱或其家族代表標志,如:GlobeImposter家族的后綴為.dream�、.TRUE�����、.CHAK等�;Satan家族的后綴.satan�、sicck;Crysis家族的后綴有.ARROW�、.arena等。
勒索病毒自身寄生性非常強�����,先寄生在宿主機�����,然后向目標機感染��,一旦進入終端機�,就會自動運行,同時刪除勒索病毒樣本����,以躲避查殺和分析。如果中招的電腦處于一個局域網(wǎng)當中��,那么只要一臺電腦感染病毒,其他電腦只要開機上網(wǎng)����,馬上也會被感染。勒索病毒會通過像445端口這樣的文件共享和網(wǎng)絡(luò)打印機共享端口或漏洞展開擴散感染���,并且還發(fā)現(xiàn)了很多起利用未公開漏洞傳播感染勒索病毒事件�。
勒索病毒變種非?���?欤瑢ΤR?guī)的殺毒軟件都具有天然的免疫性����。攻擊的樣本以exe、js�、wsf、vbe等類型為主�,對常規(guī)依靠特征檢測的殺毒軟件來講是一個極大的挑戰(zhàn)。勒索病毒出現(xiàn)變種后���,不僅加快了傳播速度和再識別的難度,而且可能會影響網(wǎng)絡(luò)的穩(wěn)定運行�。
勒索病毒如何防御�����?
目前勒索病毒防御����,一般是多種產(chǎn)品和服務(wù)組合而成�,同時在防御時要求用戶信息系統(tǒng)升級,另外一些方案還對用戶的系統(tǒng)提出特殊要求��,如要求用戶斷網(wǎng)���,操作系統(tǒng)打補丁�,關(guān)相應(yīng)端口等���。
為滿足政府���、軍隊、能源����、教育、金融���、衛(wèi)生�、企業(yè)等行業(yè)對服務(wù)器與終端未知威脅檢測和未知惡意代碼防御方面需求,基于在大數(shù)據(jù)安全分析領(lǐng)域的優(yōu)勢�����,國聯(lián)易安開發(fā)出下一代勒索病毒防御系統(tǒng)���,產(chǎn)品主要技術(shù)手段如下:
一是通過威脅情報��,實現(xiàn)“智能化輔助決策”��。在過去的安全防御中�,更多的是關(guān)注如何提升系統(tǒng)內(nèi)部的防御能力����,缺少對外部攻擊者的研究和了解,永遠處在被動防御的狀態(tài)���。
威脅情報的引入解決了這一問題�����,通過互聯(lián)網(wǎng)上海量數(shù)據(jù)的收集分析��,為用戶提供了攻擊發(fā)起者的背景信息���,既可以指導(dǎo)安全防御體系建設(shè),也可以直接用來發(fā)現(xiàn)安全威脅����。
二是通過行為關(guān)聯(lián)分析,定位“攻擊動作鏈條”���。一件攻擊事件在不同的階段具備不同的行為特征�����,這些行為特征分開來看并不一定直接構(gòu)成威脅����,而原有的解決方案中并不具備將這些行為進行關(guān)聯(lián)分析的能力����,導(dǎo)致這些安全威脅無法被檢測和阻止。
所以�,要實現(xiàn)對未知威脅以及未知勒索病毒的檢測必須依靠機器學(xué)習和大數(shù)據(jù)分析能力,通過大量的行為日志分析和快速檢索,找出關(guān)鍵目標和威脅��,對相關(guān)事件進行關(guān)聯(lián)分析�,還原安全事件全貌,并進行有效的防御和處置��。
三是通過機器學(xué)習技術(shù)��,對抗“病毒變種威脅”��。傳統(tǒng)殺毒技術(shù)嚴重依賴于樣本獲得能力和病毒分析師的能力�����,這種能力只能處理已知問題����,不能對可能發(fā)生的問題進行防范,具有嚴重的滯后性和局限性��。
國聯(lián)易安依托海量的威脅情報庫和惡意軟件捕獲能力�����,通過機器學(xué)習技術(shù)訓(xùn)練的未知惡意軟件檢測引擎����,可以幫助用戶有效抵抗未知惡意軟件威脅���。通過對海量樣本進行監(jiān)測分析,能夠找到惡意軟件的內(nèi)在規(guī)律�,能對未來相當長時期的惡意軟件變種技術(shù)做出前瞻性預(yù)測���,實現(xiàn)針對勒索病毒變種的有效識別��。
四是通過人工智能技術(shù)構(gòu)建誘捕模型�����,誘捕“惡意程序發(fā)作”����。國聯(lián)易安基于AI技術(shù)�����,構(gòu)建了仿真誘捕環(huán)境�,可以實現(xiàn)對可疑文件進行高級威脅檢測。仿真誘捕環(huán)境通過接收還原PE和非PE文件���,使用仿真環(huán)境��、動態(tài)檢測等一系列無簽名檢測方式��,發(fā)現(xiàn)傳統(tǒng)安全設(shè)備無法發(fā)現(xiàn)的復(fù)雜威脅�,并將仿真誘捕平臺上的相關(guān)告警發(fā)送至分析平臺,實現(xiàn)告警統(tǒng)一管理和后續(xù)進一步分析����。
五是通過威脅腦圖,顯示“直觀安全態(tài)勢”����。國聯(lián)易安通過可視化技術(shù)的利用,將原本碎片化的威脅告警��、異常行為告警數(shù)據(jù)結(jié)構(gòu)化�,以便于用戶理解,從而省去了閱讀繁復(fù)報告的過程���?����?梢暬夹g(shù)的利用使得用戶可以更直觀地感受到網(wǎng)絡(luò)內(nèi)的安全形勢���,使得安全由“不可見變?yōu)榭梢姟?���,不但帶來了更好的用戶體驗��,同時還有效地提高了安全監(jiān)控的效率�����。
下一代勒索病毒防御系統(tǒng)達到了對所有勒索病毒及其變種的自動識別��、主動檢測���、精準定位和全面防御效果,解決了勒索病毒“發(fā)現(xiàn)難�、防御更難”的尷尬困境和問題。
此前�����,總部設(shè)在荷蘭海牙的歐洲刑警組織與國際刑警組織2019年10月9日共同發(fā)布《2019互聯(lián)網(wǎng)有組織犯罪威脅評估》報告認為�,全球勒索軟件犯罪總量有所下降,但正轉(zhuǎn)向更加有利可圖的目標且已造成更為嚴重的經(jīng)濟損失���。由此可見����,勒索病毒犯罪仍為作案范圍最廣、造成經(jīng)濟損失最嚴重的網(wǎng)絡(luò)犯罪形式�。
