网络罪犯总是在寻找新的诡计和技术来锁定潜在的受害者而不被抓住。勒索软件攻击者尤其如此，他们需要偷偷入侵某个组织的网络，对他们计划劫持的敏感文件进行加密。一项名为“大亨”(Tycoon)的勒索软件活动正在使用Java攻击Windows和Linux服务器。周四，黑莓研究和情报团队(BlackBerry Research and Intelligence Team)和毕马威(KPMG)的英国网络响应服务部门发布了一份报告，解释了这次攻击是如何展开的。

大亨是一款多平台的Java勒索软件，旨在加密Windows和Linux服务器上的文件。为了避免暴露，Tycoon使用一种名为JIMAGE的模糊Java映像格式，该格式存储Java虚拟机在运行时使用的Java运行时环境(JRE)映像。

具体来说，大亨勒索软件是一个包含木马化JRE构建的ZIP文件。虽然之前的勒索软件样本是用Java编写的，但这是黑莓和毕马威第一次看到滥用Java JIMAGE格式设计定制的恶意JRE构建。

参见:勒索软件:IT专业人士需要知道的(免费PDF)(TechRepublic)

这个勒索软件的目标是中小型公司、教育机构和软件公司。最初的感染是通过面向internet的RDP (Remote Desktop Protocol)跳转服务器发生的，该服务器是一个通过自己的安全区域管理其他设备的系统。在攻击域控制器和文件服务器之后，犯罪分子将系统管理员锁在他们的机器之外。

使用图表，报告描述了攻击的每个阶段:

被破坏的文件使用一个16字节长的GCM身份验证标签在Galois/Counter (GCM)模式下的AES-256算法加密，以确保数据完整性。通过不加密较大文件的某些部分，攻击者可以在加速加密过程的同时仍然使文件无法使用。文件使用非对称RSA算法加密。因此，解密它们需要攻击者的私有1024位RSA密钥，这一过程需要大量的计算能力。

在BleepingComputer论坛上，一名勒索软件的受害者发布了一个私人RSA密钥，它表面上来自于从攻击者那里购买的解密器。这个密钥能够解密受早期版本大亨勒索软件影响的文件，该软件在加密文件中添加了。redrum扩展名。然而，这个密钥在最近的“happyny3.1”版本的Tycoon中不起作用，该版本在加密文件中添加了。grinch和。thanos的扩展名。

虽然“大亨”已经在野外被发现了大约6个月，但受害者的数量似乎有限。因此，该行动可能只针对特定组织，或者可能是使用不同类型勒索软件的更大规模攻击的一部分。

为了保护自己不受勒索软件的攻击，组织必须在攻击发生之前保护自己和自己的数据。然而，这个过程需要的不仅仅是通常的安全方法。

“随着勒索软件的威胁不断增加，补丁效率、防病毒软件和简单的终端管理已经不够了，”黑莓的威胁情报副总裁埃里克·米拉姆说。“安全团队必须选择使用基于签名的模式、行为分析和机器学习的[解决方案]，以及强大的研发团队。作为一种主动/网络卫生的方法，确保所有备份都存储在离线，无论是物理或云解决方案，这可能增加额外的安全层，以识别和防止加密。”

但如果勒索软件攻击发生，有一些方法可以让组织更有效、更快地恢复元气。

“一旦检测到勒索软件感染，允许管理员冻结账户的解决方案正在兴起，”Milam说。“在每个用户和每个被感染的文件的基础上，帐户可以回滚到感染发生之前的一个点。这样，数据就不会丢失，也不用支付赎金。感染被简单地抹去，就像从来没有发生过一样。不管是不是勒索软件，像这样强大的数据保护措施将经受住时间的考验。”

即使你的数据被勒索软件加密了，你也有一些选择。

米拉姆说:“有许多免费的、公开的解密器可以用于一些勒索软件家族。”在某些情况下，也可以使用文件恢复软件部分恢复文件。如果您没有任何备份或恢复数据的方法(公开可用的解密器/数据恢复工具)，那么首先请那些习惯于处理这些情况的专家。你不会想要侮辱到伤害，支付了赎金，仍然得不到数据。”

最后，组织是否应该考虑支付赎金?

“作为一个原则问题，安全团体不建议付钱给网络罪犯，仅仅因为这样做是正当的，并推动了勒索软件业务，”Milam说。“然而，我们知道，在一些目标高度明确、破坏性最大的袭击(例如对关键基础设施或医疗服务提供者的袭击)中，除了满足赎金要求，可能没有其他办法恢复和保护生命。”由于个别情况和情况差异极大，因此没有黄金法则。不过，在任何情况下，受害者都应该与执法部门密切合作，尽一切可能帮助调查。”