一周前,健身追踪器、智能手表和GPS产品制造商Garmin(佳明)公司遭受了WastedLocker勒索软件的全面攻击,主要产品和网站均瘫痪。WastedLocker背后的勒索软件犯罪组织Evil Corp向Garmin公司索要1000万美元的赎金。
昨日,据《天空新闻》(Sky News)报道,Garmin已与Evil Corp达成解密协议,以在WastedLocker勒索软件攻击后解锁其文件并恢复业务。
报道透露,Garmin通过名为Arete IR的勒索软件谈判中间人,将赎金支付给了勒索软件背后的帮派Evil Corp。
虽然支付赎金是恢复业务的无奈之举,但是,如果Garmin确实支付了赎金,那么从法律角度来看,该公司可能陷入困境。
美国财政部去年12月对Evil Corp实施了制裁,该制裁规定“通常禁止美国人与Evil Corp或其任何个人进行交易”。
Evil Corp先前的攻击行动还使用Dridex银行木马捕获银行凭证,然后通过在不知道受害者的银行帐户的情况下进行未经授权的电子资金转帐。然后,将这些被盗的资金接收到他们的银行帐户中,并将其转移到海外。Dridex已将多家公司作为目标,使他们损失了数百万美元。受害者包括两家银行,一个学区,一家石油企业,建筑材料供应公司等。
结果,美国当局悬赏500万美元,以逮捕32岁的Evil Corp领导人Maksim V. Yakubets,他们被冠以“aqua”的名字。
Garmin拒绝评论有关赎金或数据解密的任何调查结果。
网络安全意识培训厂商KnowBe4的James McQuiggan在接受采访时指出:“企业避免支付赎金的一种方法是评估其数据备份是否可用,以及是否被网络犯罪分子破坏或删除。在组织的网络安全计划中,制定数据备份策略至关重要。该策略需要包括定期计划和测试备份,以确定其完整性。如果备份还原过程失败,则可能由于停机而对组织的收入和声誉造成额外风险。备份只是勒索软件缓解计划的一部分。大多数勒索软件攻击的重点攻击矢量是网络钓鱼攻击,以及脆弱且未打补丁的系统。”
WastedLocker为何如此“残暴”?
卡巴斯基研究人员费多尔·辛尼辛(Fedor Sinitsyn)在最近的一篇文章中表示,今年上半年使用WastedLocker的人数有所增加。在技术分析中,研究人员强调了WastedLocker勒索软件中的几个值得注意的功能。
首先,它有一个命令行界面,攻击者可以使用它来控制其操作方式。他们可以指定要定位的特定目录,并确定优先加密的文件集的优先级。CLI还允许攻击者加密指定网络资源上的文件。
WastedLocker还具有绕过Windows计算机上用户帐户控制(UAC)的功能,UAC是一项安全检查,旨在防止恶意特权升级。如果某个程序试图提升特权以使其正常运行,则系统将弹窗询问:“是否要允许以下程序对此计算机进行更改?”设备所有者或管理员可以选择是或否,但系统会提示已分配了标准用户访问令牌的用户输入管理员凭据。
为了绕过UAC,Sinitsyn说,WastedLocker可以使用已知的旁路技术静默地提升其特权。
研究人员称,在加密方面,WastedLocker结合使用了AES和RSA算法的公开参考实现,该算法称为“rsaref”,在其他勒索软件中也见到过这种情况。而且,它会应用每个加密文件原始内容的MD5哈希,该哈希将在解密过程中使用以确保该过程的正确性。
他解释说:“对于每个处理的文件,WastedLocker都会生成一个唯一的256位密钥和一个128位IV,这些密钥将用于在CBC模式下使用AES-256算法对文件内容进行加密。”“原始内容的AES密钥,IV和MD5哈希以及一些辅助信息均使用嵌入在木马程序主体中的公共RSA密钥进行加密。正在考虑的样本包含一个4096位公共RSA密钥。”
他补充说,RSA加密的结果是Base64编码的,并保存在扩展名为.garminwasted_info的新文件中。通常,会为每个受害者的加密文件创建一个新的信息文件。
Sinitsyn说:“这是BitPaymer和DoppelPaymer特洛伊木马以前使用的罕见方法。”“我们分析的这个WastedLocker样本专门针对这种攻击而设计和开发。它使用了强大且正确实施的“经典”AES+RSA加密方案,因此,如果没有攻击者的私有RSA密钥,则无法解密此样本加密的文件。”
为了防止勒索软件攻击,用户应该:
- 及时更新最新的操作系统和应用程序版本;
- 阻止通过互联网访问远程桌面协议(RDP);
- 并尽快提高最终用户对此类威胁的安全意识。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】