2017年5月12日����,一個名為“WannaCry”的勒索病毒突然在全球范圍內(nèi)大面積肆虐��,大量電腦文件遭加密����,只有在規(guī)定的時間內(nèi)繳納贖金,方能破解�。備份、殺毒����、恢復(fù)成了各類科普文和技術(shù)貼的高頻詞匯。
在勒索病毒爆發(fā)之后��,騰訊安全反病毒實驗室吹響了抗擊勒索病毒的號角,一方面保持對勒索病毒及其變種的高度關(guān)注;另一方面�,基于自身安全實力持續(xù)輸出深度研究報告,起底WannaCry勒索病毒的傳播方式及最新變種��,并推出了一整套包含漏洞免疫工具�、文檔守護者工具、文件恢復(fù)工具�、勒索病毒專殺工具等在內(nèi)的處置措施,幫助用戶抵御病毒的侵襲��。
與此同時���,騰訊安全反病毒實驗室還在解密WannaCry勒索病毒上取得重大突破�。國外安全專家Adrien Guinet發(fā)現(xiàn)���,在XP系統(tǒng)的某些條件下��,CryptReleaseContext沒有清空保存素數(shù)的內(nèi)存����。配合病毒生成的00000000.pky公鑰文件�����,通過在內(nèi)存中搜索滿足條件的素數(shù),可以還原出病毒加密AES密鑰所用的RSA公私鑰的重要參數(shù)��,進而生成解密所需的00000000.dky私鑰文件���。根據(jù)此思路�,騰訊安全反病毒實驗室哈勃分析系統(tǒng)在國內(nèi)率先開發(fā)解密工具���,并對用戶發(fā)布��。被感染用戶在沒有重啟電腦前提下�,通過該工具成功解密的幾率極大����。
WannaCry勒索病毒的爆發(fā)讓很多用戶第一次感受到網(wǎng)絡(luò)病毒的可怕����,但事實上,這并不是勒索病毒的首次“作惡”�。近幾年來,勒索病毒的數(shù)量����、影響范圍�、公眾感知度等都有了顯著的增長�。臭名昭著的勒索病毒會借助成熟的算法,對文件進行高強度的加密處理��,給受害者帶來巨大的損失���,時常會有被敲詐不得不支付贖金的新聞見諸報道����,高達數(shù)萬美元的贖金也屢見不鮮���。
騰訊安全反病毒實驗室從很早就開始監(jiān)測此類勒索病毒的動向���,研究加密過程中的漏洞,并努力嘗試對加密的文件進行破解��,為受害者盡量挽回損失���,而這些不懈的努力也取得了一些成效�����。
除WannaCry勒索病毒之外����,在其它勒索病毒事件發(fā)生時,哈勃分析系統(tǒng)也曾經(jīng)發(fā)布過多個針對性的解密工具�����,包括:
Petya解密工具
2016年3月����,安全廠商發(fā)現(xiàn)一種新的敲詐類木馬Petya,此木馬的特點是首先修改系統(tǒng)MBR引導(dǎo)扇區(qū)�,強制重啟后執(zhí)行引導(dǎo)扇區(qū)中的惡意代碼,加密硬盤數(shù)據(jù)后顯示敲詐信息�����,這是第一個將敲詐和修改MBR合二為一的惡意木馬���。
隨后,安全專家Leo Stone指出了Petya加密代碼中存在的問題�����,并給出了解密思路和代碼����。在其引導(dǎo)下�,哈勃分析系統(tǒng)驗證了Petya的加密流程��,確認了木馬在使用變種Salsa20算法的過程中����,對算法進行了很多簡化,包括多處將DWORD改用WORD�,以及將密鑰空間限制在54^8的范圍之內(nèi),并且明文和密文又都是已知的��,這就為暴力破解密鑰提供了有利的條件�����。哈勃分析系統(tǒng)公布了研究成果��,同時發(fā)布了針對Petya的解密工具��,此工具需要配合Leo Stone編寫的磁盤讀取工具一起使用���。
TeslaCrypt解密工具
TeslaCrypt木馬的相關(guān)分析和報道最早可追溯到2015年2月�,主要傳播方式是網(wǎng)頁掛馬傳播���,通過在網(wǎng)頁中植入惡意構(gòu)造的文件���,通過Flash播放器��、pdf閱讀器等各種漏洞�����,在受害者不知情的情況下下載并執(zhí)行惡意payload�����,加密其電腦上的文件��。
2016年5月�,TeslaCrypt的作者在暗網(wǎng)上宣布停止木馬的開發(fā)�����,并同時給出了解密文件所需要用到的私鑰����。有了私鑰之后�����,根據(jù)木馬的加密解密流程,可以將木馬加密的文件完整還原��。ESET等安全公司迅速跟進并制作了TeslaCrypt木馬的解密工具�。
騰訊哈勃分析系統(tǒng)也制作了TeslaCrypt的工具,幫助用戶恢復(fù)被加密的文件�。
手機鎖屏木馬解密工具
哈勃分析系統(tǒng)還發(fā)現(xiàn),在安卓系統(tǒng)上常年存在一類鎖屏勒索木馬�,有愈演愈烈的趨勢。這些木馬大部分是偽裝成各類其它應(yīng)用�,例如工具類應(yīng)用、刷流量等非法應(yīng)用��、色情類應(yīng)用等���,在小型下載網(wǎng)站���、網(wǎng)盤、社交網(wǎng)絡(luò)中進行傳播����,誘使受害者下載安裝。據(jù)騰訊手機管家監(jiān)測數(shù)據(jù)顯示,此類病毒的日感染量超過8萬����,病毒傳播者會向用戶收取5到50元不等的解鎖費用,每日收取費用高達80萬元�����。
尤其是最近���,有很多木馬會使用多種攻擊手段進行組合攻擊���。它們會首先嘗試獲取手機root權(quán)限,然后請求設(shè)備管理器權(quán)限并設(shè)置系統(tǒng)鎖屏密碼�����,接下來再顯示自己的的敲詐窗口�,將該窗口反復(fù)強制置頂,使受害者無法正常使用手機的其它功能�,同時在置頂對話框中提出敲詐需求和聯(lián)系方式。這樣的組合攻擊很容易給受害者帶來多重的傷害����,即便其通過嘗試解決了其中的一個問題,但是剩下的攻擊仍然會使得受害者束手無策。
針對以上情況��,哈勃分析系統(tǒng)針對不同手機勒索木馬的特性����,利用Google官方的調(diào)試工具adb的相關(guān)功能�����,先后推出了多個專殺工具����,為用戶解決不同的勒索木馬問題。用戶可以前往下載所需的工具��。
除此之外���,2017年春節(jié)��,騰訊電腦管家也針對此類木馬推出了v12.2春節(jié)尊享版��,此版本中新增安卓手機鎖屏敲詐木馬專殺功能���,讓用戶實現(xiàn)輕松操作快速查殺,突破安卓系統(tǒng)的局限性,徹底解決手機鎖屏問題����,拒絕做惡意軟件傀儡。騰訊電腦管家下載地址
不斷狙殺各類勒索病毒的過程中���,騰訊安全反病毒實驗室不僅一次又一次突破技術(shù)瓶頸����,也錘煉出一支聯(lián)動哈勃分析系統(tǒng)����,騰訊電腦管家的一體化、產(chǎn)品化的安全特別行動隊——通過騰訊電腦管家自研TAV引擎能力�、安全事件運營、哈勃分析平臺的“三劍合璧”����,進一步對“安全查殺能力、漏洞監(jiān)測能力及病毒樣本分析”提供了全面�����、系統(tǒng)��、一體化的產(chǎn)品運營式的標(biāo)準(zhǔn)化防護,這不僅進一步強化了騰訊安全守護用戶的技術(shù)實力���,也提振了國內(nèi)用戶對抗勒索病毒下一次攻擊的信心����。
京公網(wǎng)安備 11010502041587號