WannaCry勒索病毒余波未平,有關(guān)新變種的各種報(bào)道再次刺激了行業(yè)神經(jīng),而黑客組織“影子經(jīng)紀(jì)人”宣稱將從6月開始出售更重磅武器的傳聞,更是讓社會談毒色變。作為抗擊病毒第一線的親歷者,騰訊反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松對事件演進(jìn)及影響做了復(fù)盤。馬勁松表示,從捕獲第一個樣本到騰訊電腦管家快速上線防御方案,騰訊反病毒實(shí)驗(yàn)室對該病毒進(jìn)行了全面的分析,不但研究了病毒本身的原理,還研究了其前身,以及關(guān)注其持續(xù)的變種。
在病毒爆發(fā)的96小時內(nèi),騰訊安全團(tuán)隊(duì)吹響了抗擊勒索病毒的先鋒號,并且現(xiàn)在對病毒變種也提供了完善的處理方案。實(shí)際上,WannaCry勒索病毒的實(shí)際破壞性也不像部分廠商描述的那樣可怕。而關(guān)于部分境外團(tuán)隊(duì)及媒體報(bào)道病毒已經(jīng)發(fā)現(xiàn)新變種,馬勁松表示,騰訊反病毒實(shí)驗(yàn)室確實(shí)也捕獲到了變種樣本,但還沒有掌握其具備大規(guī)模破壞性的證據(jù),其中大部分也是利用了微軟公司W(wǎng)indows操作系統(tǒng)的SMB服務(wù)漏洞(MS17-010)進(jìn)行傳播感染,只要用戶安裝騰訊電腦管家,按照電腦管家的提示打補(bǔ)丁,病毒就會被牢牢的鎖在“門外”。
馬勁松表示,騰訊安全反病毒實(shí)驗(yàn)室也在跟進(jìn)研究,同時呼吁行業(yè)在捕獲確切證據(jù)之前,不要過度渲染新病毒變種的危害,以免給用戶造成不必要的恐慌。
(騰訊反病毒實(shí)驗(yàn)室想哭病毒實(shí)時監(jiān)控?cái)?shù)據(jù))
1.技術(shù)分析
勒索病毒近兩年的爆發(fā),很大程度上與加密算法的日益完善有關(guān)。密碼學(xué)及算法的不斷更新保證了我們?nèi)粘>W(wǎng)絡(luò)中數(shù)據(jù)傳輸和保存的安全性。遺憾的是,勒索病毒的作者也利用了這個特性,使得我們雖然知道了木馬的算法,但由于不知道作者使用的密鑰,也就沒有辦法恢復(fù)被惡意加密的文件。
加密算法通常分為對稱加密算法和非對稱加密算法兩大類。這兩類算法在勒索病毒中都被使用過。
對稱加密算法的加密和解密使用的是完全相同的密鑰,特點(diǎn)是運(yùn)算速度較快,但是單獨(dú)使用此類算法時,密鑰必須使用某種方法與服務(wù)器進(jìn)行交換,在這個過程中存在被記錄和泄漏的風(fēng)險。勒索病毒常用的對稱加密算法包括AES算法和RC4算法。
非對稱加密算法也被稱為公鑰加密算法,它可以使用公開的密鑰對信息進(jìn)行加密,而只有私鑰的所有者才可以解密,因此只要分發(fā)公鑰并保存好私鑰,就可以保證加密后的數(shù)據(jù)不被破解。與對稱加密相比,非對稱加密算法的運(yùn)算速度通常較慢。勒索病毒常用的非對稱加密算法包括RSA算法和ECC算法。
通常,勒索病毒會將這兩大類加密算法結(jié)合起來使用,既可以迅速完成對整個電腦大量文件的加密,又能保證作者手中的私鑰不被泄漏。
2.爆發(fā)特點(diǎn)
目前爆發(fā)的勒索病毒大部分具有如下共性特點(diǎn)。
通過郵件的方式,使用大量的非PE載體進(jìn)行傳播。
使用成熟的、高強(qiáng)度的加密算法。
破壞文件恢復(fù)的一些途徑,例如禁用Windows系統(tǒng)的備份和還原機(jī)制,或者在刪除文件之前向其中寫入無意義數(shù)據(jù),阻止一些數(shù)據(jù)恢復(fù)軟件從已刪除的扇區(qū)中恢復(fù)文件,進(jìn)一步增加木馬的破壞性,使得用戶不得不支付贖金。
展示的贖金支付說明指向Tor等暗網(wǎng)中的頁面。
要求受害者使用比特幣支付贖金。比特幣的一個很重要的特點(diǎn)就是它的使用者具有匿名性,通過比特幣收款地址很難追蹤到對應(yīng)的擁有者。
家族和歷史
CryptoLocker與CryptoWall
CryptoLocker就算不是最早的勒索病毒,也是較早引起人們關(guān)注的勒索病毒之一了。早在2013年,就有報(bào)道稱其已經(jīng)入侵了超過25萬臺電腦。很快,在2014年,由美國司法部、FBI等部門聯(lián)合發(fā)起的國際執(zhí)法安全行動Operation Tovar(有媒體音譯為托瓦爾行動)中,此木馬及其傳播工具被破獲,并且有安全公司拿到了部分解密密鑰,為此前已經(jīng)被加密的受害者提供文件解密服務(wù)。然而這次行動并未成為勒索病毒覆滅的喪鐘,相反卻是今后此類木馬愈演愈烈的起點(diǎn)。
CryptoLocker使用隨機(jī)生成的AES密鑰加密文件,然后使用RSA算法加密AES密鑰,這樣能夠提高文件加密的速度。
CTB-Locker
CTB-Locker木馬敲詐界面
CTB-Locker大概是最早在國內(nèi)產(chǎn)生反響的勒索病毒。該木馬最早的捕獲時間可追溯到2014年7月,主要通過郵件附件傳播,大概在2015年初的時候,有一部分郵件流入了國內(nèi),導(dǎo)致一批受害者被此木馬敲詐,引起了媒體的跟進(jìn)。
最初版本的CTB-Locker木馬加密文件后,會給文件加上.ctbl的擴(kuò)展名,不過新版本的木馬已經(jīng)無此限制。
TeslaCrypt
TeslaCrypt木馬的相關(guān)分析和報(bào)道最早可追溯到2015年2月,木馬最初的目的可能是要對游戲玩家進(jìn)行敲詐,不過在后期的更新中,TeslaCrypt也會對其它常見的文檔文件進(jìn)行加密。
TeslaCrypt的主要傳播方式是網(wǎng)頁掛馬傳播,通過在網(wǎng)頁中植入惡意構(gòu)造的文件,通過Flash播放器、pdf閱讀器等各種漏洞,在受害者不知情的情況下下載并執(zhí)行惡意payload,加密其電腦上的文件。
2016年5月的某一天,TeslaCrypt的作者在暗網(wǎng)上宣布停止木馬的開發(fā),并同時給出了解密文件所需要用到的私鑰。
TeslaCrypt木馬被停止的網(wǎng)頁,截圖來自bleepingcomputer
騰訊哈勃分析系統(tǒng)也制作了TeslaCrypt的工具,幫助用戶恢復(fù)被加密的文件。
騰訊哈勃分析系統(tǒng)制作的TeslaCrypt解密工具
Locky
Locky是2016年2月被捕獲到的一類勒索病毒。Locky會采用不同的傳播載體,一開始依然是使用Office宏執(zhí)行下載代碼,后期的版本會使用js、wsf等多種類型的腳本文件。同時,被加密的文件也會被添加.locky、.zepto、.odin、.thor等多種不同的擴(kuò)展名。
Locky在使用AES加RSA對文件進(jìn)行加密后,會根據(jù)操作系統(tǒng)語言的不同,向服務(wù)器請求不同語言的敲詐文本并進(jìn)行展示。值得注意的是,在Locky的敲詐界面上,很快出現(xiàn)了繁體中文和簡體中文的敲詐內(nèi)容。
某版本Locky木馬敲詐說明,在中文Windows下會顯示繁體中文內(nèi)容
Petya
Petya木馬發(fā)作界面
Petya木馬在2016年3月被安全廠商捕獲。與其它勒索病毒不同的是,此木馬首先修改系統(tǒng)MBR引導(dǎo)扇區(qū),強(qiáng)制重啟后執(zhí)行引導(dǎo)扇區(qū)中的惡意代碼,加密硬盤數(shù)據(jù)后顯示敲詐信息,是第一個將敲詐和修改MBR合二為一的惡意木馬。
值得一提的是,早期的Petya木馬在算法的使用上有一些問題,可用的密鑰的復(fù)雜度偏低,導(dǎo)致可以通過暴力破解的辦法枚舉并找到密鑰,并還原被加密的磁盤。騰訊哈勃分析系統(tǒng)也據(jù)此制作了相關(guān)的解密工具。
騰訊哈勃分析系統(tǒng)制作的Petya解密工具
Cerber
Cerber也是最近比較常見的一類木馬,以其給加密后的文件添加.cerber*系列后綴而得名。Cerber主要通過網(wǎng)絡(luò)掛馬傳播,至今已升級到第五代,作者使用公開的黑客工具包能夠覆蓋大量的已知漏洞,通過滲透網(wǎng)站、投放惡意廣告等方式進(jìn)行掛馬。
Cerber木馬敲詐界面
四、總結(jié)
通過以上的分析可以發(fā)現(xiàn),勒索病毒這兩年的爆發(fā),與密碼學(xué)、暗網(wǎng)、比特幣等多種技術(shù)的發(fā)展都是密不可分的。“技術(shù)是把雙刃劍”,這句老生常談在此處依然有價值。技術(shù)被恰當(dāng)?shù)乩,可以保護(hù)用戶的安全;而到了不法分子手中,也有可能成為受害者面前無法逾越的高山。
對于這些勒索病毒,事前的預(yù)防遠(yuǎn)比事后的補(bǔ)救來得重要。用戶需要養(yǎng)成良好的安全意識,不隨意打開不明來源的附件或鏈接,也不要隨意下載運(yùn)行小網(wǎng)站和網(wǎng)盤上分享的電腦軟件或手機(jī)應(yīng)用。日常生活中,建議使用騰訊電腦管家、騰訊手機(jī)管家等安全類產(chǎn)品,實(shí)時保護(hù)電腦和手機(jī)的安全。遇到不確定的文件,也可以上傳到哈勃分析系統(tǒng)檢查是否安全。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。
近日,德國柏林國際電子消費(fèi)品展覽會(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計(jì)及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)成功斬獲兩項(xiàng)“IFA全球產(chǎn)品設(shè)計(jì)創(chuàng)新大獎”金獎,有力證明了其在全球市場的強(qiáng)大影響力。
近日,中國家電及消費(fèi)電子博覽會(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無人區(qū),斬獲四項(xiàng)AWE 2024艾普蘭大獎。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
由世界人工智能大會組委會、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會聯(lián)合上海人工智能實(shí)驗(yàn)室、上海臨港經(jīng)濟(jì)發(fā)展(集團(tuán))有限公司、開放原子開源基金會主辦的“2024全球開發(fā)者先鋒大會”,將于2024年3月23日至24日舉辦。