近日,安全研究人员发现了一款易于使用的勒索软件即服务(RaaS),只需要一次成功的感染就能够获得利润。被称为“Karmen”的勒索软件即服务(RaaS)变体,是基于被抛弃的“Hidden Tear”开源勒索软件构建工具包开发而成的,目前正被名为“DevBitox”的俄罗斯黑客以175美元的价格在地下黑客论坛中出售。
关于Hidden Tear
2015年8月,GitHub上出现了世界上第一个开源勒索软件Hidden Tear。其功能包括:使用AES算法加密文件 把加密密钥发送到某个服务器 被加密的文件可以通过密钥和解密软件解密 软件会在用户桌面创建一个文本文件,包含勒索信息(如:让受害者如何汇款等信息)。
像其他典型的勒索软件感染过程一样,Karmen使用强大的AES-256加密协议对受感染的PC上的文件进行加密,使得受害者无法访问,直到他/她支付索要的赎金才能从攻击者处获取解密密钥。
这种勒索软件即服务(RaaS)的新变体为买家提供了一个用户友好的图形化仪表板,让买家可以访问位于黑暗网络上的基于Web的控制面板,从而允许买家配置个性化版本的Karmen勒索软件。
威胁情报公司Recorded Future在今天发布的一篇博文中说,该图形化仪表板可以帮助买家直观地了解实时感染的数量及收益的运行状态,让任何拥有极少技术知识的人都能够轻松地部署Karmen勒索软件。
黑客:不要干扰我的恶意软件;否则,你的文件就消失了!
一旦完成感染,Karmen勒索软件就会加密受害者的文件,随后显示一个弹出式窗口,上面留有威胁信息,警告用户不要干扰恶意软件;否则,他们的所有文件都可能会丢失,无法复原。
更有意思的是什么呢?如果运行沙箱环境或分析软件对受害者计算机进行检测,Karmen就会自动删除其解密程序,使得安全研究人员无从调查该威胁。
2016年12月,德国和美国的受害者报告了最初的Karmen感染案例,而地下论坛出售该勒索软件则开始于2017年3月。根据研究数据显示,截至目前,已经有20名用户从DevBitox处购买了Karmen恶意软件的副本,而其中三位买家还对其进行了正面评价。
如何保护自己免受勒索软件威胁?
以下10个步骤可以保护您以及您的机构免受勒索软件伤害:
1. 制定备份与恢复计划。经常备份您的系统,并且将备份文件离线存储到独立设备;
2. 使用专业的电子邮件与网络安全工具,可以分析电子邮件附件、网页、或文件是否包含恶意软件,可以隔离没有业务相关性的潜在破坏性广告与社交媒体网站;
3. 及时对操作系统、设备、以及软件进行补丁和更新;
4. 确保您的设备与网络上的反病毒、入侵防护系统、以及反恶意软件工具已经升级到最新版本;
5. 在可能的情况下,使用应用程序白名单,以防止非法应用程序下载或运行;
6. 将您的网络隔离到安全区,确保某个区域的感染不会轻易扩散到其他区域;
7. 建立并实施权限与特权制度,使极少数用户才有可能感染关键应用程序、数据、或服务;
8. 建立并实施自带设备安全策略,检查并隔离不符合安全标准(没有安装客户端或反恶意软件、反病毒文件过期、操作系统需要关键性补丁等)的设备;
9. 部署鉴定分析工具,可以在攻击过后确认:a)感染来自何处;b)感染已经在您的环境中潜伏多长时间;c)您已经从所有设备移除了感染文件;d)您可以确保感染文件不会重返;
10. 关键的是:不要指望您的员工来保证您安全。同样重要的是加强用户意识培训,告诫员工不要下载文件、点击电子邮件附件、或点击电子邮件中来路不明的网页链接;人是安全链中最薄弱的一环,需要围绕他们制定计划。
网络犯罪是一桩以盈利为主导的生意,可以产生数十亿的收入。与大多数生意一样,网络罪犯有很高的积极性来寻找生财之道。因此,用户还需提升自身安全防护意识,落实每一个步骤,防止勒索软件有机可乘。