黑客研发软件勒索 *** _黑客研发软件勒索

文字日记:

• 1、LockBit2.0勒索软件攻击埃森哲 国内企业应加强防范
• 2、ONION勒索软件病毒是怎么回事？个人电脑会不会感染该病毒
• 3、2021勒索病毒大盘点
• 4、如何确定为黑客勒索
• 5、制造勒索病毒的黑客会有什么刑罚？
• 6、为什么近几年勒索软件攻击激增？如何防范它

LockBit2.0勒索软件攻击埃森哲 国内企业应加强防范

近日，全球IT咨询巨头埃森哲遭到LockBit勒索团伙的 *** 攻击，公司6TB的内部数据被窃取，2500台计算机遭遇宕机，所中病毒为LockBit的2.0版本。由于LockBit2.0勒索软件近段时间异常活跃，且危害性较大，因此瑞星公司发布安全提醒，建议广大用户加强警惕，谨防LockBit2.0勒索软件大规模爆发。

事件回顾：

8月11日，全球IT咨询巨头埃森哲遭受了来自LockBit勒索软件团伙的攻击，其2500台属于员工和合作伙伴的计算机已中招，此次埃森哲遭遇的 *** 攻击，是LockBit勒索软件的2.0版本。LockBit团伙表示，如果埃森哲不尽快支付5000万美元（约合3.2亿人民币）赎金，将会把所窃取的6TB数据公之于众。

图：LockBit勒索软件运营商网站显示数据泄露倒计时

据悉，埃森哲是全球更大的上市咨询公司和《财富》世界500强公司之一，提供战略、咨询、数字、技术和运营服务及解决方案。为超过120个国家200个城市的客户提供服务，其客户包括超过四分之三的世界500强企业、各国 *** 机构以及军队。埃森哲涉足 汽车 、银行、 *** 、技术、能源和电信等领域，市值2032亿美元，旗下拥有超过50万员工。

勒索软件及其组织背景：

Lockbit勒索软件早在2019年9月就被发现，当时称之为“ABCD病毒”，利用此勒索软件进行攻击的黑客团伙以针对企业及 *** 组织而出名，主要目标为中国，印度，印度尼西亚，乌克兰、英国，法国，德国等国家。今年6月，LockBit勒索团伙将原有勒索软件升级为LockBit 2.0版本，并对外宣称这是全世界加密最快的勒索软件，可以在不到 20 分钟的时间内从受感染的系统下载 100 GB 的数据。

图：勒索软件加密速度对比表

瑞星安全研究院介绍，由于该勒索软件通过RDP弱口令爆破攻击，不仅加密本地磁盘文件，还将枚举并加密同一网段下的所有共享磁盘，同时加密方式采用了RSA结合AES，因此至今在没有秘钥的情况下是无法被破解的。

LockBit勒索团伙采用了勒索软件即服务 (RaaS) 的形式，为其客户（实际发动攻击的人）提供基础设施和恶意程序，然后收取一部分赎金分红。LockBit自推出以来，一直非常活跃，帮派代表推广RaaS并在各种俄语黑客论坛上提供支持。当勒索软件主题在 *** 犯罪论坛上被禁止后，LockBit于2021年6月在其数据泄漏站点上宣布了LockBit 2.0 RaaS。

图：LockBit2.0 RaaS的宣传信息

预防措施：

瑞星公司发现，国内已有部分企业感染了LockBit2.0勒索软件，同时从瑞星“云安全”系统数据可以看出，仅7月份所截获勒索软件样本就有1.12万个，感染次数为5.7万次，因此考虑到LockBit 2.0感染性和危害性巨大，瑞星为广大用户提供以下防御措施：

针对RDP弱口令攻击的防范建议：

1. 限制可使用RDP的用户，仅将远程访问授权给那些必须用它来执行工作的人。

2. 建立双重验证，如Windows平台下的Duo Security MFA或Linux平台下google-authenticator等认证程序。

3. 设置访问锁定策略，通过配置账户锁定策略，调整账户锁定阀值与锁定持续时间等配置，可以有效抵御一定时间下高频的暴力破击。

4. 审视RDP的使用需求，如果业务不需要使用它，那么可以将所有RDP端口关闭，也可以仅在特定时间之间打开端口。

5. 重新分配RDP端口，可考虑将默认RDP端口更改为非标准的端口号, 可避免一部分恶意软件对特定RDP端口的直接攻击，仍需另外部署端口扫描攻击防范措施。

6. 定期检查、修补已知的RDP相关漏洞。

7. 创建防火墙规则限制远程桌面的访问, 以仅允许特定的IP地址。

8. RDP的登陆，应使用高强度的复杂密码以降低弱口令爆破的机会。

针对系统安全性的防范建议：

1. 及时更新软件及系统补丁。

2. 定期备份重要数据。

3. 开启并保持杀毒软件及勒索防护软件功能的正常。

4. 定期修改管理员密码并使用复杂度较高的密码。

5. 开启显示文件扩展名，防范病毒程序伪装应用程序图标。

针对局域网安全性的防范建议：

1. 非必要时可关闭局域网共享文件或磁盘，防止病毒横向传播。

2. 对局域网共享文件夹设置指定用户的访问权限，防止不必要的权限遭到病毒滥用。

3. 通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号，防止病毒通过扫描端口等方式查询区域资产信息。

ONION勒索软件病毒是怎么回事？个人电脑会不会感染该病毒

ONION勒索软件病毒是12号在全球范围扩散的一款病毒，源于微软公司的一个底层漏洞，被黑客掌握进行传播病毒。（简单说就是有人把你所有文件都加密了，不告诉你密码，要支付钱才给你）（中毒后会要求你够买比特币进行支付解码，团体价格应该是软妹币400w，不给钱所有文件都打不开）目前病毒需要445端口才能传播，国内运营商早在几年前就关闭了个人用户的445端口，所以不会在个人电脑中传播（除非你要上外网，例如公安局，大学 *** ，银行，加油站，考试系统等部分设备很有可能被感染，目前已有被感染案例）该病毒被称为WannaCry（永恒之蓝）

注意，不要太相信给钱帮破解的人，目前该病毒只能在win系统传播。

相关资料：在中国，由于运营商限制了445端口，所以大部分用户不受影响。只是教育网不在限制445端口的行列，因而国内教育网受到影响较大。就目前的消息看，国内每天有5000多台机器遭到攻击，浙江杭州下沙高教园区校园网大量被黑，浙传、计量、理工大学等高校的学生电脑里的资料文档被锁死。四川大学、桂林电子科技大学、桂林航天工业学院、山东大学、大连海事大学、广西师范大学、贺州学院，以及广西等地区的大学都受到了病毒攻击。

本次病毒攻击，就是利用了微软的MS17-010漏洞。MS17-010是Windows系统一个底层服务的漏洞，通过这个漏洞可以影响445端口。黑客就是通过在 *** 上扫描开放的445端口，然后把蠕虫病毒植入被攻击电脑，而被攻击的电脑会被黑客控制，去扫描其他电脑，由此引发链式反映，最终形成海量电脑被黑客控制的结果。

2021勒索病毒大盘点

2021年，新冠肺炎仍然在全球范围内肆虐，各行业除了应对疫情的持续冲击外，还面临着一种形态多样、高频化的“流行病”-- 勒索病毒 。它们加密并窃取数据，甚至威胁破坏或泄漏数据，以此胁迫受害者缴纳高昂赎金，获得“暴利”。勒索病毒为何有这么大的能量，让所有行业“谈虎色变”？面对勒索病毒，难道只能“躺平”？接下来，我们就来盘一盘。

从1989年出现世界上之一个已知的勒索病毒“AIDS Trojan”，到2006年中国大陆出现首个勒索软件“Redplus”，全球范围内一直都在遭受着勒索攻击。尤其是近年来勒索攻击形势更加严峻，国际知名企业被勒索病毒攻击的事件层出不穷，并且赎金持续刷新记录。勒索病毒俨然成为了全球 *** 安全面临的头号威胁，那么，勒索病毒主要有哪几类？

以RSA、AES等多种加密算法对用户文件进行加密，并以此索要赎金。该类勒索病毒已经成为当前勒索病毒的主要类型，以WannaCry为代表。今年WannaCry再度复苏，最常被攻击的主要是 *** 、军方单位，其次为制造业、银行、金融与医疗系统。

通常采用多种加密算法加密用户数据，但在勒索环节，攻击者通过甄别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎金。2021年3月，知名电脑制造商宏碁遭遇REvil勒索软件威胁攻击，攻击者索要5000万美元赎金（约3.3亿人民币），否则就公开被窃取和加密的数据。2021年5月，FBI称Conti勒索软件袭击了16个美国健康和紧急服务机构，影响了超过400个全球组织。

通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密，阻止用户访问磁盘，影响用户设备的正常启动和使用，并向用户勒索赎金，甚至对全部磁盘数据进行加密。以2016年首次发现的Petya勒索病毒为代表。

全屏锁定用户设备的屏幕，并显示包含勒索信息的图像、文字，或伪装成系统出现蓝屏错误，直接导致用户无法登陆和使用设备（系统组件同时会被禁用），进而勒索用户支付赎金。该类勒索攻击还存在于移动端。比如2017年发现的Leatherlocker。

免费领取学习资料

2021年 *** *** 安全资料包及最新面试题

(渗透工具，环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等）

通过对近年来勒索事件的分析，可以看到勒索软件不仅从“加密数据”演化到“三重勒索”、从“散装攻击”演化到“定向攻击”，还对特定的行业、地域具有明显的针对性。

勒索病毒攻击的目标从个人用户转向支付赎金能力更高，对数据依赖性更强的政企用户。比如高校由于大量设备疏于安全加固和漏洞修复，受WannaCry感染严重。能源、医疗等承载重要数据资源的行业由于对业务连续性要求高，也成为勒索病毒攻击的“高价值”目标。另外，重要 *** 部门/机构、军队单位以及关系民生的关基设施与工控系统面临的攻击风险也在加剧。

经济利益驱动运作模式升级，初步形成勒索病毒黑产链条。近些年较为活跃的提供勒索即服务RaaS （Ransomware-as-a-service）平台服务的家族DopplePaymer、Egregor、Netwalker、REvil/Sodinokibi、DarkSide、Ryuk，以及今年7月首次出现的BlackMatter，都具有较高的威胁能力。

2021年7月，黑客发起了一场全球勒索软件攻击，共袭击了超过1000多家公司，并迫使瑞典更大连锁超市之一的Coop关闭了数百家门店。在这场似乎是迄今为止规模更大的供应链黑客攻击事件中，黑客将目标锁定在了IT管理软件供应商Kaseya上，并且再次揭示出勒索软件即服务（RaaS）大流行的趋势正在蔓延。

2021年7月，LockFile利用Exchange服务器的ProxyShell漏洞入侵企业内部 *** ，已经攻击了至少10个组织或企业，其攻击目标主要为美国和亚洲。

由于勒索病毒加密信息难以恢复、攻击来源难以溯源，一旦遭遇勒索攻击，不仅会带来赎金损失、停产损失、赔偿和罚款以及数据重新上线费用等直接损失，还包括可能因为停产或服务中断带来的社会损失。比如赎金损失，据Censuswide的调研报告显示，在遭遇勒索攻击后，会有相当一部分企业会选择支付赎金。但是,

2021年3月，美国更大的保险公司之一CAN Financial遭到黑客组织Phoenix的勒索软件攻击，约15000台设备被加密，不计其数的客户资料受到泄漏的风险。CNA Financial在试图恢复文件无果之后，开始与攻击者谈判，黑客最初索要 6,000 万美元，谈判后向黑客支付了 4,000 万美元，创下了历史上更高的已支付赎金金额的记录。

2021年5月，美国更大的成品油的管道运输商Colonial Pipeline遭到“Darkside”黑客组织的勒索病毒攻击，美国东部沿海的燃油 *** 陷入瘫痪。同月，美国东部17个州和首都所在的华盛顿特区进入紧急状态。

图源 ***

2021年，LockBit升级为2.0版本，加密数据的速度能达到373MB/s，在不到20分钟内便可以从受感染设备上盗取并加密100GB的数据，是普通勒索病毒加密速度的3倍以上。8月，全球IT咨询巨头埃森哲遭受来自LockBit团伙的攻击，LockBit勒索团队声称窃取了超过6TB的数据，并勒索5000万美元（约3.2亿人民币）赎金。

如何确定为黑客勒索

勒索情况如下：

1、设备被勒索软件侵扰，加密你的文件，不允许你访问与修改，要求你付款以解锁文件。

2、收到被黑客入侵的通知；

3、收到虚假的防病毒消息，警告你计算机受到感染，然后像你出售解决病毒的程序。

黑客技术，简单地说，是对计算机系统和 *** 的缺陷和漏洞的发现，以及针对这些缺陷实施攻击的技术。这里说的缺陷，包括软件缺陷、硬件缺陷、 *** 协议缺陷、管理缺陷和人为的失误。

制造勒索病毒的黑客会有什么刑罚？

近日，“比特币勒索病毒”肆虐互联网，使全球多个国家、多家机构及个人电脑遭受此种病毒软件的攻击。据互联网相关安全专家分析，此种病毒可进行远程攻击，无需用户任何操作，只要开机联网，就能在电脑里执行任意代码、植入恶意程序进行控制勒索。其传播速度之快，范围之广，影响之严重，犹如“ *** 瘟疫”，给整个互联网生态和电脑用户带来极大的危害和极其严重的损失。

能定什么罪？

从“比特币勒索病毒”侵害的行为模式来看，病毒制造者也即黑客，将病毒勒索软件在在秘密情况下非法植入他人电脑，使电脑感染病毒后自动加密锁住电脑中的文件资料，并且以此锁住的文件为要挟要求他人支付赎金。这一行为已经涉嫌我国刑法规定的以下四个罪名：

一.非法侵入计算机信息系统罪、非法控制计算机信息系统罪

根据我国刑法第285条的规定，侵入计算机信息系统或者对该计算机信息系统实施非法控制，情节严重的，就可构成上述两罪。如果侵入的是国家事务、国防建设、尖端科学技术领域的计算机信息系统的，则不需要情节严重，可直接构成非法侵入计算机信息系统罪。

二.破坏计算机信息系统罪

根据刑法第286条的规定，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的构成此罪。如果黑客在他人不支付赎金的情况下不恢复数据，导致电脑无法正常运行，在造成大面积电脑用户受损的情况下，也可能构成破坏计算机信息系统罪。

三.敲诈勒索罪

根据刑法第274条的规定，敲诈勒索公私财物，数额较大或者多次敲诈勒索的，构成此罪。黑客通过使用病毒软件侵入控制他人计算机的方式勒索他人钱财，符合敲诈勒索罪的构成要件。

由上可知，如果黑客一旦被抓获归案，我国刑法中有四个罪名可以对其进行规制适用。但应该看到，黑客是利用病毒勒索软件非法侵入和控制他人计算机信息系统的方式勒索钱财，其行为和目的之间存在牵连关系，根据刑法的一般理论，“择一重”论处，最终应以法定刑较高的敲诈勒索罪定罪处罚。

黑客非中国人怎么办？

需要注意的是，本案中的黑客可能并不是我们国家的公民或者可能在国外实施了此次病毒勒索行为，我们国家的刑法能不能对其进行适用？根据我国刑法属地管辖的基本原则，犯罪行为或者结果有一项发生在中华人民共和国领域内的，就认为是在中华人民共和国领域内犯罪，我国就有刑事管辖权。

因此，即使黑客不是我国公民，或者人在我国领域外，只要对我们国家的计算机信息系统实施了侵害或者对我们国家的公民实施了敲诈勒索行为，我们国家仍然能对其进行刑事管辖。

警示：做好预防工作

不过，同时也应该看到，此次病毒勒索事件给我们更大的警示不是刑法如何适用，而是如何预防此类犯罪行为的发生。截至目前，我们仍然没有发现真正的病毒制造者，也没有有效的破解加密文件的 *** 去挽回可能造成的重大损失。

事实上，在规制 *** 犯罪中，事前的预防比事后的打击更为重要。因互联网无国界，跨区域的特点， *** 犯罪行为的实施和所产生的后果已经突破了传统国家地域之间的界限，因此加强国际合作，探讨综合治理模式，共同打击 *** 犯罪也显得愈发重要。

为什么近几年勒索软件攻击激增？如何防范它

目前我们正在与两种流行病毒作斗争——冠状病毒和勒索软件攻击。两者都会影响到部分经济，前者肉眼可见，后者则普通人不可遇见。然而，就 *** 安全而言，现在我们的安全防范意识，让黑客们有了一个轻松的 *** 来攫取数百万甚至更高的不法收入。

对于黑客来说，获取经济利益非常简单，即使用恶意软件访问和加密数据并将其扣为“人质”，直到受害者支付赎金为止。

现在 *** 攻击越来越频繁，因为黑客可以毫不费力地执行实施他们的计划。此外，支付方式现在对他们更友好。加上企业对数据越来越依赖，更多迁移到互联网办公服务，这样给了黑客更多的动机去尝试更多的漏洞，当黑客入侵获得了企业的某些数据，或者加密了某些东西的时候，企业在现有技术无法清除病毒或者修补落地，更多愿意支付赎金来临时解决现在问题，因为拖得越久企业损失越大，黑客可以拖，企业可拖不起。

更大胆的黑客们

几年前，黑客在获得银行密码，他们利用技术诀窍从人们的账户中窃取资金之前都会玩心理战术。现在他们更大胆了，因为他们很容易购买勒索软件即服务，并从在线视频分享网站学习黑客技术。一些有组织的 *** 黑客甚至为商业黑客提供服务，收取一定费用，通常是利润的一部分。

同样加密货币出现使得黑客更加大胆，因为他们可以去限制地敲诈受害者获取匿名支付。黑客可以通过匿名的方式从受害者那里获得更高金额的虚拟货币后转换成现金。

你也可以将 *** 攻击的增加归咎于一些愿意支付数百万美元加密货币的公司的行为。然而，如果公司和数据安全专家确保黑客攻击不再有利可图，攻击就会停止。

现在你会明白为什么很多国家不承认数字加密货币的真正含义了吧。

是 *** 攻击是越来越引人注目还是实际上在上升？

这两个问题的答案都是肯定的。 勒索软件变得越来越普遍，因为它很容易执行。黑客使用软件来绕过安全漏洞，或通过使用 *** 钓鱼诈骗策略欺骗 *** 用户，例如发送似乎来自可信来源的恶意软件。加上一些大公司的 *** 安全协议也比较宽松，这样让普通的黑客可以轻易得手。

以美国Colonial Pipeline的供应链攻击事件为例子，该公司首席执行官Joseph Blount承认该公司不使用多因素身份验证当用户登录。

根据美国2020年发布的互联网“犯罪”报告，“佛菠萝”在2020年收到了近2500起勒索软件报告，比2019年增加20%。2020年勒索软件袭击的总成本接近2910万美元。这相当于2019年增加了200%。

勒索软件攻击上升的另一个因素是在线用户越来越多。新冠肺炎的流行导致了全球互联网使用量的激增。许多学生和工人由线下转线上远程工作和学习，加上初次使用互联网服务，安全意识的欠缺往往成为黑客们下手的头号目标。

有 *** 专家预测勒索软件每年至少带来上千亿美元的损失，随着黑客改进其恶意软件攻击和勒索行为，攻击可能每两秒钟发生一次，到2031年，每年带来超过2500亿美元的损失。

勒索软件对企业的影响

我们已经知道勒索软件是如何对大小企业产生毁灭性影响的。但一次又一次的提醒是值得的，因为即使是企业也可能成为受害者。黑客继续利用 *** 安全系统中的漏洞。此外，许多黑客团伙正在利用勒索软件和拒绝服务攻击获取经济利益。

除了勒索软件攻击事件的增加，攻击的成本也在增加。勒索软件使公司的数字 *** 和相关设备瘫痪。因为敏感的商业数据被破坏或者泄露，商业运作，尤其是供应链都会会受到影响——因此，公司更愿意支付赎金。

但从理论上讲，即使公司支付赎金，也不能保证敏感数据没有被复制。同样，也不能保证攻击者将返回所有数据或解密密钥将起作用。在Colonial的案例中，黑客在收到支付赎金后给他们的解密密钥太慢了。他们不得不使用备份文件，其中损失无法评估。

防止勒索软件感染

安全专家建议被勒索公司不要向黑客们支付赎金，因为这会鼓励他们发动更多的攻击。

他们还给出一些防止此类攻击的 *** 包括：

与 *** 安全公司合作， *** 安全公司提供最适合企业当前和未来需求的安全系统需求。

保持警惕是防止感染的另一种 *** 。如果您的系统没有明显的原因而速度减慢，请断开与internet的连接并将其关闭。然后，您可以致电您的 *** 安全提供商并寻求他们的帮助。

除了确保 *** 安全的技术层面，有时回到基础是值得的。

利用安全培训，让员工更好地了解 *** 安全的重要性和意义。此外，员工应学会确保保护整个公司免受 *** 攻击。

训练你自己和你的员工不要点击未经证实来源的链接，因为 *** 钓鱼链接是传播恶意软件的一种 *** ，使你的公司成为一个容易攻击的目标。

练习创建数据的定期备份。至少有两个数据备份，并将它们存储在不同的位置。只允许最信任的员工访问备份。

使用数据加密来保护电子邮件、文件交换和个人信息。

确保定期升级所有应用程序，以便修复漏洞。

使用密码管理器确保所有员工都有更强大的密码。指导员工使用不同的密码登录到公司中使用的其他应用程序。

总结

勒索软件攻击之所以猖獗，是因为它们的易用性和盈利能力。了解黑客团伙的活动并为员工提供 *** 安全培训至关重要。结合技术专长和基本的安全措施将有助于减少勒索软件的感染。但是，重要的是不要惊慌，并且知道应该遵循的安全措施。