在最近几周,美国联邦调查局(FBI)、美国计算机紧急响应小组(US-CERT)和加拿大网络事故响应中心(CCIRC)联合发出勒索软件攻击行为有所攀升的警告。在二月份,我们强调了Locky勒索软件的兴起,这种软件是当前比较流行的变体勒索软件。然而,在前几个月里,一种名为Samsam的新变体(也称为Samas 或Samsa)凭借其感染系统的针对性方法成为了头条新闻。
针对性勒索软件 勒索软件传染系统的常见途径是恶意垃圾邮件,以及通过偷渡式下载分配的恶意下载器。电脑一旦受到恶意下载器的感染,就会自动下载附带恶意软件,而这种软件通常包含加密式变体勒索软件。恶意邮件包含各种各样的文件附件,打开这些附件后,电脑将下载并运行很多变体勒索软件的其中一个,从而启动加密过程。 文件加密后,受害者需向勒索者支付赎金才可以解密这些文件。
和较常见的勒索软件不同,Samsam的传染途径并不是偷渡式下载或电邮。Samsam背后的攻击者使用类似Jexboss 的工具以识别运行红帽JBoss 企业级产品的未安装补丁的服务器。 他们使用其它随手可得的工具和脚本,收集联网计算机上的证书和信息,之后利用勒索软件对这些系统上的文件进行加密,进而向受害者索要赎金。
Samsam勒索软件和其它勒索软件的不同之处还有,攻击者可借此自行生成RSA密钥对。绝大多数加密勒索软件会接触一条命令并控制服务器,随后将生成一个RSA密钥对,并送回公开密钥,从而加密感染计算机上的文件。有了Samsam后,攻击者可自行生成密钥对,并将公共密钥和勒索软件上传至目标计算机。
勒索软件的不断创新 Samsam这种变体勒索软件与大量变体勒索软件不同,但真正将其与其它勒索软件区分开来的原因是Samsam可以通过未安装补丁服务器侧的软件达到预定目标。然而,这里非常重要的一点是,在勒索软件攻击中,罪犯们直接瞄准各机构的趋势正日益增加。网络罪犯们将目光投向防范薄弱的企业以追求最大利益,而最近这些攻击的得手正是他们开始转移目标的预兆。
实践证明,勒索软件是一种有利可图的商业模式。因此,毋庸置疑,这种软件应用之技术已从恶意垃圾邮件和偷渡式下载转为更具针对性攻击特点的技术。
在网络环境中使用JBoss企业产品的机构应检查是否正运行未安装补丁的产品,如果是这样的话,应立即安装补丁。红帽公司称以下版本和其之后版本的JBoss没有受到影响:
保护 赛门铁克和诺顿产品通过以下检测方式,保护计算机免遭Samsam和其各种工具的攻击:
反病毒: