澳门新葡亰信誉平台游戏腾讯反病毒实验室:揭秘WannaCry勒索病毒的前世今生

by admin on 2020年4月22日

名叫 Popcorn Time
的新开发的勒索软件向受害者提供了一种不同寻常的获得免费解密密钥的方法:帮助传播勒索软件。当电脑感染Popcorn
Time
之后,受害者有两种选择:支付1比特币——价值超过700美元,或者向其他人发送恶意链接,感染至少两名新受害者。此外,如果用户输错了4次解密密钥,勒索软件将会开始删除文件。

澳门新葡亰信誉平台游戏 1

澳门新葡亰信誉平台游戏 2

之前我们曾向大家介绍过CryptoLocker,Critroni,PowerLocker等勒索木马,这些木马会通过加密锁定被感染的计算机,要求受害者支付赎金后才能返还控制权,否则你硬盘里的文件将永远被木马加密了。

WannaCry勒索病毒余波未平,有关新变种的各种报道再次刺激了行业神经,而黑客组织影子经纪人宣称将从6月开始出售更重磅武器的传闻,更是让社会谈毒色变。作为抗击病毒第一线的亲历者,腾讯反病毒实验室负责人马劲松对事件演进及影响做了复盘。马劲松表示,从捕获第一个样本到腾讯电脑管家快速上线防御方案,腾讯反病毒实验室对该病毒进行了全面的分析,不但研究了病毒本身的原理,还研究了其前身,以及关注其持续的变种。

该勒索软件与流视频播放 Popcorn Time
无关,只是借用了名字。它的恶意链接主要是通过Tor网络传播,没有安装Tor的用户不会被感染。该勒索软件仍然在开发之中,目前还不无法判断它的病毒式传播策略是否有效。

澳门新葡亰信誉平台游戏 3

在病毒爆发的96小时内,腾讯安全团队吹响了抗击勒索病毒的先锋号,并且现在对病毒变种也提供了完善的处理方案。实际上,WannaCry勒索病毒的实际破坏性也不像部分厂商描述的那样可怕。而关于部分境外团队及媒体报道病毒已经发现新变种,马劲松表示,腾讯反病毒实验室确实也捕获到了变种样本,但还没有掌握其具备大规模破坏性的证据,其中大部分也是利用了微软公司Windows操作系统的SMB服务漏洞(MS17-010)进行传播感染,只要用户安装腾讯电脑管家,按照电脑管家的提示打补丁,病毒就会被牢牢的锁在门外。

稿源:solidot

免费恢复一个文件

马劲松表示,腾讯安全反病毒实验室也在跟进研究,同时呼吁行业在捕获确切证据之前,不要过度渲染新病毒变种的危害,以免给用户造成不必要的恐慌。

最近新出现了一款名为CoinVault勒索软件,这款软件同样使用256位AES加密受害者的硬盘,软件拥有类似的界面,也同样会禁止漏洞扫描。不同之处是,这款木马会向受害者给出“侮辱性的施舍”:提供免费恢复一个文件的机会,告诉受害者我确实能恢复你的文件。

(腾讯反病毒实验室想哭病毒实时监控数据)

澳门新葡亰信誉平台游戏 4

1.技术分析

虽然这种“施舍”颇具挑衅意味,但从某种意义上来说,这确实是第一款让用户免费恢复文件的恶意软件。

勒索病毒近两年的爆发,很大程度上与加密算法的日益完善有关。密码学及算法的不断更新保证了我们日常网络中数据传输和保存的安全性。遗憾的是,勒索病毒的作者也利用了这个特性,使得我们虽然知道了木马的算法,但由于不知道作者使用的密钥,也就没有办法恢复被恶意加密的文件。

安全人员Moffit在Webroot博客上写道

加密算法通常分为对称加密算法和非对称加密算法两大类。这两类算法在勒索病毒中都被使用过。

“这个软件的特殊之处在于,这是我见过的第一款能够让你免费解密的木马!这款木马允许你挑选一个文件进行解密。”

对称加密算法的加密和解密使用的是完全相同的密钥,特点是运算速度较快,但是单独使用此类算法时,密钥必须使用某种方法与服务器进行交换,在这个过程中存在被记录和泄漏的风险。勒索病毒常用的对称加密算法包括AES算法和RC4算法。

Moffitt认为,提供免费的文件恢复功能会增加用户支付赎金的几率。他还认为软件作者很有可能会发布很难被杀毒软件检测到的零日木马版本。因此,经常进行数据备份还是对付此类软件最有效的方法。

非对称加密算法也被称为公钥加密算法,它可以使用公开的密钥对信息进行加密,而只有私钥的所有者才可以解密,因此只要分发公钥并保存好私钥,就可以保证加密后的数据不被破解。与对称加密相比,非对称加密算法的运算速度通常较慢。勒索病毒常用的非对称加密算法包括RSA算法和ECC算法。

澳门新葡亰信誉平台游戏 5

通常,勒索病毒会将这两大类加密算法结合起来使用,既可以迅速完成对整个电脑大量文件的加密,又能保证作者手中的私钥不被泄漏。

CoinVault还有十分新颖的一点,它的用户界面上会运行一个24小时倒计时。很多勒索软件会在时间期限截止时抛弃加密密钥,而CoinVault会增加赎金数量并重启倒计时。这个过程会一直持续直到用户完整地支付费用。

2.爆发特点

防御方法

目前爆发的勒索病毒大部分具有如下共性特点。

用蛮力破解2048位的加密文件几乎是不可能的,如果你不支付赎金你会失去一切,但我们还是有几件事是可以做的:

通过邮件的方式,使用大量的非PE载体进行传播。

避免打开来源不明,尤其是以ZIP或RAR为文件格式的电子邮件附件。
积极更新你的防病毒软件。
更新你的操作系统。
备份。如果你有一个实时的备份软件,那么请先清理你的电脑然后恢复。
在云中创建网盘,将文件和照片备份到上面。
Windos7用户应该设置系统还原点。
重新格式化你的硬盘以确保彻底删除CryptoLocker,然后重新安装操作系统或从备份中恢复你的文件。

使用成熟的、高强度的加密算法。

参考来源:

破坏文件恢复的一些途径,例如禁用Windows系统的备份和还原机制,或者在删除文件之前向其中写入无意义数据,阻止一些数据恢复软件从已删除的扇区中恢复文件,进一步增加木马的破坏性,使得用户不得不支付赎金。

【编辑推荐】

展示的赎金支付说明指向Tor等暗网中的页面。

  1. 2014年移动勒索软件和安全感知型攻击将呈增长态势
  2. 勒索软件“BitCrypt”瞄准比特币!
  3. 第一个将攻击服务器隐藏在Tor网络中的勒索软件
  4. 勒索软件Cryptolocker最新变种已波及群晖NAS设备
  5. 恶意勒索软件ScarePackage肆虐
    Android用户需小心
  6. 恶意广告如何利用网络散播CryptoWall勒索软件

要求受害者使用比特币支付赎金。比特币的一个很重要的特点就是它的使用者具有匿名性,通过比特币收款地址很难追踪到对应的拥有者。

【责任编辑:蓝雨泪 TEL:(010)68476606】

家族和历史

想要了解更多关于勒索软件防御的知识,可扫描下方二维码关注Sophos微信公众号:

CryptoLocker与CryptoWall

澳门新葡亰信誉平台游戏 6

CryptoLocker就算不是最早的勒索病毒,也是较早引起人们关注的勒索病毒之一了。早在2013年,就有报道称其已经入侵了超过25万台电脑。很快,在2014年,由美国司法部、FBI等部门联合发起的国际执法安全行动Operation
Tovar(有媒体音译为托瓦尔行动)中,此木马及其传播工具被破获,并且有安全公司拿到了部分解密密钥,为此前已经被加密的受害者提供文件解密服务。然而这次行动并未成为勒索病毒覆灭的丧钟,相反却是今后此类木马愈演愈烈的起点。

CryptoLocker使用随机生成的AES密钥加密文件,然后使用RSA算法加密AES密钥,这样能够提高文件加密的速度。

CTB-Locker

CTB-Locker木马敲诈界面

CTB-Locker大概是最早在国内产生反响的勒索病毒。该木马最早的捕获时间可追溯到2014年7月,主要通过邮件附件传播,大概在2015年初的时候,有一部分邮件流入了国内,导致一批受害者被此木马敲诈,引起了媒体的跟进。

最初版本的CTB-Locker木马加密文件后,会给文件加上.ctbl的扩展名,不过新版本的木马已经无此限制。

TeslaCrypt

TeslaCrypt木马的相关分析和报道最早可追溯到2015年2月,木马最初的目的可能是要对游戏玩家进行敲诈,不过在后期的更新中,TeslaCrypt也会对其它常见的文档文件进行加密。

TeslaCrypt的主要传播方式是网页挂马传播,通过在网页中植入恶意构造的文件,通过Flash播放器、pdf阅读器等各种漏洞,在受害者不知情的情况下下载并执行恶意payload,加密其电脑上的文件。

2016年5月的某一天,TeslaCrypt的作者在暗网上宣布停止木马的开发,并同时给出了解密文件所需要用到的私钥。

TeslaCrypt木马被停止的网页,截图来自bleepingcomputer

腾讯哈勃分析系统也制作了TeslaCrypt的工具,帮助用户恢复被加密的文件。

腾讯哈勃分析系统制作的TeslaCrypt解密工具

Locky

Locky是2016年2月被捕获到的一类勒索病毒。Locky会采用不同的传播载体,一开始依然是使用Office宏执行下载代码,后期的版本会使用js、wsf等多种类型的脚本文件。同时,被加密的文件也会被添加.locky、.zepto、.odin、.thor等多种不同的扩展名。

Locky在使用AES加RSA对文件进行加密后,会根据操作系统语言的不同,向服务器请求不同语言的敲诈文本并进行展示。值得注意的是,在Locky的敲诈界面上,很快出现了繁体中文和简体中文的敲诈内容。

某版本Locky木马敲诈说明,在中文Windows下会显示繁体中文内容

Petya

Petya木马发作界面

Petya木马在2016年3月被安全厂商捕获。与其它勒索病毒不同的是,此木马首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,是第一个将敲诈和修改MBR合二为一的恶意木马。

值得一提的是,早期的Petya木马在算法的使用上有一些问题,可用的密钥的复杂度偏低,导致可以通过暴力破解的办法枚举并找到密钥,并还原被加密的磁盘。腾讯哈勃分析系统也据此制作了相关的解密工具。

腾讯哈勃分析系统制作的Petya解密工具

Cerber

Cerber也是最近比较常见的一类木马,以其给加密后的文件添加.cerber*系列后缀而得名。Cerber主要通过网络挂马传播,至今已升级到第五代,作者使用公开的黑客工具包能够覆盖大量的已知漏洞,通过渗透网站、投放恶意广告等方式进行挂马。

Cerber木马敲诈界面

四、总结

通过以上的分析可以发现,勒索病毒这两年的爆发,与密码学、暗网、比特币等多种技术的发展都是密不可分的。技术是把双刃剑,这句老生常谈在此处依然有价值。技术被恰当地利用,可以保护用户的安全;而到了不法分子手中,也有可能成为受害者面前无法逾越的高山。

对于这些勒索病毒,事前的预防远比事后的补救来得重要。用户需要养成良好的安全意识,不随意打开不明来源的附件或链接,也不要随意下载运行小网站和网盘上分享的电脑软件或手机应用。日常生活中,建议使用腾讯电脑管家、腾讯手机管家等安全类产品,实时保护电脑和手机的安全。遇到不确定的文件,也可以上传到哈勃分析系统检查是否安全。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图