WannaCry勒索病毒余波未平��,有關(guān)新變種的各種報(bào)道再次刺激了行業(yè)神經(jīng)��,而黑客組織“影子經(jīng)紀(jì)人”宣稱將從6月開始出售更重磅武器的傳聞�����,更是讓社會談毒色變�����。作為抗擊病毒第一線的親歷者,騰訊反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松對事件演進(jìn)及影響做了復(fù)盤�。馬勁松表示,從捕獲第一個樣本到騰訊電腦管家快速上線防御方案�����,騰訊反病毒實(shí)驗(yàn)室對該病毒進(jìn)行了全面的分析�,不但研究了病毒本身的原理,還研究了其前身���,以及關(guān)注其持續(xù)的變種����。
在病毒爆發(fā)的96小時內(nèi)�,騰訊安全團(tuán)隊(duì)吹響了抗擊勒索病毒的先鋒號,并且現(xiàn)在對病毒變種也提供了完善的處理方案���。實(shí)際上���,WannaCry勒索病毒的實(shí)際破壞性也不像部分廠商描述的那樣可怕。而關(guān)于部分境外團(tuán)隊(duì)及媒體報(bào)道病毒已經(jīng)發(fā)現(xiàn)新變種���,馬勁松表示����,騰訊反病毒實(shí)驗(yàn)室確實(shí)也捕獲到了變種樣本��,但還沒有掌握其具備大規(guī)模破壞性的證據(jù)�,其中大部分也是利用了微軟公司W(wǎng)indows操作系統(tǒng)的SMB服務(wù)漏洞(MS17-010)進(jìn)行傳播感染,只要用戶安裝騰訊電腦管家��,按照電腦管家的提示打補(bǔ)丁��,病毒就會被牢牢的鎖在“門外”��。
馬勁松表示�,騰訊安全反病毒實(shí)驗(yàn)室也在跟進(jìn)研究,同時呼吁行業(yè)在捕獲確切證據(jù)之前����,不要過度渲染新病毒變種的危害,以免給用戶造成不必要的恐慌���。
(騰訊反病毒實(shí)驗(yàn)室想哭病毒實(shí)時監(jiān)控?cái)?shù)據(jù))
1.技術(shù)分析
勒索病毒近兩年的爆發(fā)���,很大程度上與加密算法的日益完善有關(guān)。密碼學(xué)及算法的不斷更新保證了我們?nèi)粘>W(wǎng)絡(luò)中數(shù)據(jù)傳輸和保存的安全性。遺憾的是��,勒索病毒的作者也利用了這個特性��,使得我們雖然知道了木馬的算法�,但由于不知道作者使用的密鑰,也就沒有辦法恢復(fù)被惡意加密的文件��。
加密算法通常分為對稱加密算法和非對稱加密算法兩大類����。這兩類算法在勒索病毒中都被使用過。
對稱加密算法的加密和解密使用的是完全相同的密鑰�����,特點(diǎn)是運(yùn)算速度較快�����,但是單獨(dú)使用此類算法時��,密鑰必須使用某種方法與服務(wù)器進(jìn)行交換�����,在這個過程中存在被記錄和泄漏的風(fēng)險。勒索病毒常用的對稱加密算法包括AES算法和RC4算法���。
非對稱加密算法也被稱為公鑰加密算法�,它可以使用公開的密鑰對信息進(jìn)行加密�����,而只有私鑰的所有者才可以解密����,因此只要分發(fā)公鑰并保存好私鑰��,就可以保證加密后的數(shù)據(jù)不被破解�。與對稱加密相比,非對稱加密算法的運(yùn)算速度通常較慢��。勒索病毒常用的非對稱加密算法包括RSA算法和ECC算法�����。
通常��,勒索病毒會將這兩大類加密算法結(jié)合起來使用��,既可以迅速完成對整個電腦大量文件的加密,又能保證作者手中的私鑰不被泄漏���。
2.爆發(fā)特點(diǎn)
目前爆發(fā)的勒索病毒大部分具有如下共性特點(diǎn)����。
通過郵件的方式�����,使用大量的非PE載體進(jìn)行傳播�。
使用成熟的、高強(qiáng)度的加密算法�。
破壞文件恢復(fù)的一些途徑,例如禁用Windows系統(tǒng)的備份和還原機(jī)制�����,或者在刪除文件之前向其中寫入無意義數(shù)據(jù)���,阻止一些數(shù)據(jù)恢復(fù)軟件從已刪除的扇區(qū)中恢復(fù)文件�,進(jìn)一步增加木馬的破壞性�����,使得用戶不得不支付贖金。
展示的贖金支付說明指向Tor等暗網(wǎng)中的頁面����。
要求受害者使用比特幣支付贖金。比特幣的一個很重要的特點(diǎn)就是它的使用者具有匿名性���,通過比特幣收款地址很難追蹤到對應(yīng)的擁有者��。
家族和歷史
CryptoLocker與CryptoWall
CryptoLocker就算不是最早的勒索病毒����,也是較早引起人們關(guān)注的勒索病毒之一了���。早在2013年,就有報(bào)道稱其已經(jīng)入侵了超過25萬臺電腦���。很快�,在2014年���,由美國司法部��、FBI等部門聯(lián)合發(fā)起的國際執(zhí)法安全行動Operation Tovar(有媒體音譯為托瓦爾行動)中��,此木馬及其傳播工具被破獲�,并且有安全公司拿到了部分解密密鑰,為此前已經(jīng)被加密的受害者提供文件解密服務(wù)�����。然而這次行動并未成為勒索病毒覆滅的喪鐘�����,相反卻是今后此類木馬愈演愈烈的起點(diǎn)���。
CryptoLocker使用隨機(jī)生成的AES密鑰加密文件��,然后使用RSA算法加密AES密鑰���,這樣能夠提高文件加密的速度。
CTB-Locker
CTB-Locker木馬敲詐界面
CTB-Locker大概是最早在國內(nèi)產(chǎn)生反響的勒索病毒���。該木馬最早的捕獲時間可追溯到2014年7月�,主要通過郵件附件傳播���,大概在2015年初的時候����,有一部分郵件流入了國內(nèi),導(dǎo)致一批受害者被此木馬敲詐�����,引起了媒體的跟進(jìn)��。
最初版本的CTB-Locker木馬加密文件后����,會給文件加上.ctbl的擴(kuò)展名,不過新版本的木馬已經(jīng)無此限制���。
TeslaCrypt
TeslaCrypt木馬的相關(guān)分析和報(bào)道最早可追溯到2015年2月,木馬最初的目的可能是要對游戲玩家進(jìn)行敲詐����,不過在后期的更新中,TeslaCrypt也會對其它常見的文檔文件進(jìn)行加密���。
TeslaCrypt的主要傳播方式是網(wǎng)頁掛馬傳播��,通過在網(wǎng)頁中植入惡意構(gòu)造的文件���,通過Flash播放器����、pdf閱讀器等各種漏洞����,在受害者不知情的情況下下載并執(zhí)行惡意payload,加密其電腦上的文件�����。
2016年5月的某一天���,TeslaCrypt的作者在暗網(wǎng)上宣布停止木馬的開發(fā)����,并同時給出了解密文件所需要用到的私鑰�����。
TeslaCrypt木馬被停止的網(wǎng)頁�����,截圖來自bleepingcomputer
騰訊哈勃分析系統(tǒng)也制作了TeslaCrypt的工具,幫助用戶恢復(fù)被加密的文件��。
騰訊哈勃分析系統(tǒng)制作的TeslaCrypt解密工具
Locky
Locky是2016年2月被捕獲到的一類勒索病毒����。Locky會采用不同的傳播載體,一開始依然是使用Office宏執(zhí)行下載代碼�����,后期的版本會使用js��、wsf等多種類型的腳本文件�。同時,被加密的文件也會被添加.locky��、.zepto����、.odin�、.thor等多種不同的擴(kuò)展名。
Locky在使用AES加RSA對文件進(jìn)行加密后�����,會根據(jù)操作系統(tǒng)語言的不同,向服務(wù)器請求不同語言的敲詐文本并進(jìn)行展示��。值得注意的是�,在Locky的敲詐界面上,很快出現(xiàn)了繁體中文和簡體中文的敲詐內(nèi)容�����。
某版本Locky木馬敲詐說明�,在中文Windows下會顯示繁體中文內(nèi)容
Petya
Petya木馬發(fā)作界面
Petya木馬在2016年3月被安全廠商捕獲。與其它勒索病毒不同的是�,此木馬首先修改系統(tǒng)MBR引導(dǎo)扇區(qū),強(qiáng)制重啟后執(zhí)行引導(dǎo)扇區(qū)中的惡意代碼�,加密硬盤數(shù)據(jù)后顯示敲詐信息,是第一個將敲詐和修改MBR合二為一的惡意木馬���。
值得一提的是����,早期的Petya木馬在算法的使用上有一些問題����,可用的密鑰的復(fù)雜度偏低,導(dǎo)致可以通過暴力破解的辦法枚舉并找到密鑰,并還原被加密的磁盤�。騰訊哈勃分析系統(tǒng)也據(jù)此制作了相關(guān)的解密工具。
騰訊哈勃分析系統(tǒng)制作的Petya解密工具
Cerber
Cerber也是最近比較常見的一類木馬���,以其給加密后的文件添加.cerber*系列后綴而得名�����。Cerber主要通過網(wǎng)絡(luò)掛馬傳播����,至今已升級到第五代���,作者使用公開的黑客工具包能夠覆蓋大量的已知漏洞��,通過滲透網(wǎng)站�����、投放惡意廣告等方式進(jìn)行掛馬��。
Cerber木馬敲詐界面
四��、總結(jié)
通過以上的分析可以發(fā)現(xiàn),勒索病毒這兩年的爆發(fā),與密碼學(xué)�����、暗網(wǎng)��、比特幣等多種技術(shù)的發(fā)展都是密不可分的��。“技術(shù)是把雙刃劍”��,這句老生常談在此處依然有價值�����。技術(shù)被恰當(dāng)?shù)乩�����,可以保護(hù)用戶的安全;而到了不法分子手中����,也有可能成為受害者面前無法逾越的高山。
對于這些勒索病毒�,事前的預(yù)防遠(yuǎn)比事后的補(bǔ)救來得重要。用戶需要養(yǎng)成良好的安全意識��,不隨意打開不明來源的附件或鏈接,也不要隨意下載運(yùn)行小網(wǎng)站和網(wǎng)盤上分享的電腦軟件或手機(jī)應(yīng)用��。日常生活中���,建議使用騰訊電腦管家��、騰訊手機(jī)管家等安全類產(chǎn)品��,實(shí)時保護(hù)電腦和手機(jī)的安全�����。遇到不確定的文件����,也可以上傳到哈勃分析系統(tǒng)檢查是否安全���。
文章內(nèi)容僅供閱讀�����,不構(gòu)成投資建議���,請謹(jǐn)慎對待����。投資者據(jù)此操作���,風(fēng)險自擔(dān)。
京公網(wǎng)安備 11010502041587號