深度 | 和木马撕X的三场战役

庆幸的是，这个勒索木马的作者被抓获，被起诉时他还曾为自己辩解，称其非法所得用于艾滋病研究。

如今，艾滋病依然是闻之令人变色的疾病，但勒索木马也丝毫不逊色。多年来，各种勒索木马肆虐赛博世界，因其复杂的加密形式，一旦中招，除了极少部分可以被破解加密方法，大部分被加密的文件要么只能在利益权衡下被忍痛舍弃，要么只能靠赎金解救。

现在，许多勒索木马作者依然躲在黑暗的世界里横行，虽然在与他们的战役中，败多胜少，但是依然还是有一群守护者坚守在这个领域。

也许，在这场常常被失败笼罩乌云的战役中，需要看到一些胜利继续被鼓舞前进。

2016年的三场胜利

对腾讯反病毒实验室而言，2016 年的这三场胜仗值得铭记。

腾讯反病毒实验室安全研究员刘桂泽告诉，很多勒索软件的加密需要超级计算机一刻不停地计算，才能在数百年后解密。人们对这些勒索软件的反破解能力如同一艘小船在苍茫大海上遇上一艘巨轮，无疑以卵击石。

只有在勒索木马加密强度不高时，才可被斩于马下。

• 一招棋错的 petya

勒索木马 Petya 在 2016 年 3 月被人出现，且以一种全新方式登场：修改系统 MBR引导扇区，强制重启后执行引导扇区中的恶意代码，加密硬盘数据后显示敲诈信息，通过 Tor 匿名网络索取比特币。

这是第一个将敲诈和修改 MBR 合二为一的恶意木马，这意味着，它的破坏力极强。

petya 的战术出其不意，本来看上去已毫无胜算。不料，研究人员在分析它的样本时，峰回路转。由于这个勒索木马作者的疏忽，petya这个家伙虽然算法很完美，但用得有问题——密钥支持 64 位，却只用了 16 位，加密强度呈指数级降低，于是，一艘巨轮幻化成了与小船同等量级的对手。

刘桂泽称，靠 修改 MBR，利用加密算法漏洞暴力破解，针对 petya 的破解工具不到一天就被制作了出来。

• 变化多端的 locky

与 petya 的战斗可以称得上速战速决，但下一个对手 locky 却没有这么简单。

locky 并非 2016 年出现的新勒索木马，却在 2016 年，产生了多个变种。刘桂泽称，locky 是 2016 年变种最多、变化速度最快的对手。相比正面狙击，locky 简直就是开挂的持续战选手。

locky 在2016年2月席卷全球，大肆攻击企业与个人用户。

按照刘桂泽的说法，一般一种勒索木马都是玩一波就走，但是 locky 却异常顽强。

“因为 locky 的作者比较执着，喜欢跟安全软件斗争。它的变化速度有多快？比如，同一天上午和下午收到的该勒索软件的邮件后，下载附件，可能中了locky 1的招，到了下午下载同一个邮件，就是 locky 2，甚至你和同事同时下载，都可能中了不同版本的招。locky在不同国家和地区版本也各异。总体来说， 它会根据时间、IP等变化。”刘桂泽说。

这样开挂的选手，常常让杀毒软件反应不过来，就像你刚拿出手榴弹，准备朝对面的敌人扔过去，却发现不知何时敌人又派了一架轰炸机。

它也很像一个狡诈的间谍，时刻变化着装、妆容。一般人很难从间谍乔装打扮及精湛的演技中辨认出是否同一人。

在这种棘手的情况下，刘桂泽说，他们只好派出了哈勃分析系统。

哈勃分析系统有很大的分析集群，对历史信息持续监测，对新样本进行分析，了解是否与之前的木马有相似的家族特征。哈勃不需要看这个勒索木马穿了什么“衣服”，却可以透过衣服看“基因”，把勒索木马文件下载后进行虚拟执行，把这个狡诈的对手所有可能的运行道路都走一遍，相当于派专人不断下载跟踪。

当然，对于已经中招的用户，已回天乏力。但是，在 locky 频繁变种及躲避查杀下，第一时间识别它，做到预先拦截，已经是可喜的胜利。

• 犯案者可能是十几岁小孩的手机锁屏敲诈

2016年，腾讯反病毒实验室还遇到一场锁屏敲诈的战斗。

刘桂泽称，对手主要是手机锁屏敲诈。每天有上万个安卓手机用户遭遇了手机锁屏敲诈，而且这个锁屏敲诈木马很狡猾，专门伪装成比较实用的应用诱使用户下载。

比如，它会伪装成系统整理软件，安卓用户老觉得手机慢，愿意装这种软件，还有一些会伪装成壁纸类 App，结果下载运行后，敲诈锁机页面覆盖了原来的开机页面。

“安卓手机用户有多少会刷机？很多品牌的手机刷机了后，都与售后条款有冲突，不再属于售后范围。再加上，锁机敲诈往往金额不高，就 10到几十个虚拟货币，而且，我们在提供 专杀工具，跨界打击后发现，多起锁机敲诈的操作者是十几岁的小孩。”刘桂泽说。

这一类型的勒索敲诈，纯粹就是“国产”。刘桂泽分析，因为歪果仁用 iPhone 较多，应用软件多从应用商店购买，虽然现在 Apple的应用商店也常爆出有木马应用，但相对而言，国内安卓用户更多，且应用下载渠道五花八门，给了手机锁屏敲诈可乘之机。

不过，刘桂泽认为，这一类手机锁屏敲诈木马在技术难度上没有那么高，这也是为何许多十几岁小孩参与了敲诈。

攻防之战：勒索软件变化升级

道高一尺，魔高一丈。

在这场与勒索木马的斗争中，安全人员的对手——勒索木马也在依据人们的防守策略不断调整自己的进攻姿势。

• 升级招式一：反侦察，你骗我也骗

刘桂泽称，2016年来，勒索木马与安全人员对抗增加，如代码混淆，检测分析环境，检测虚拟机等。勒索木马已经学会了对安全人员的反侦察。

安全人员在分析勒索木马时，是在实验室环境下进行，而非真实的用户环境。这是什么意思？

比如，如果是虚拟机运行，用户不会和虚拟机有什么交互，而真实的环境则会有人机交互。

勒索木马在侦查时，还会看看：为什么这台设备的运行速度这么快，都没有人按键盘，是不是机器在自己操作？为什么这台设备上没什么文件，或者为什么这台设备都没有某宝购物网站的浏览记录？

勒索木马变得越来越精明，它不在乎对方是不是有价值的“平民”，它想知道的是对方是不是手握武器的士兵！

在严密分析后，勒索木马就会作出决策：要不要进攻？还是蛰伏就好？

勒索木马已经学会了这样的策略：一封包含勒索木马附件的邮件，即使被下载和打开，它也不一定会让你中招——这台机子看着很像虚拟机呢！万一被安全人员发现，大家又不都是locky 那个二货，随时变来变去，这样的代价似乎付不起。

刘桂泽称，他们常常也有一种“长见识了”的感觉。但安全人员做对抗，也可以诱敌深入。

“上来赤裸裸的干危害不太大，勒索木马，难弄的就是这些狡猾的，狡猾了的必然有漏洞。所以，我们也会帮助用户伪装成不是受害者，让勒索木马找不到可用的受害者。”刘桂泽说。

• 升级招式二：武器玩出更多花样

这一年，勒索木马的代码语言更多样化了，使用到的编程语言包括 JavaScript，Python，C#等。

开发语言越来越多，刘桂泽指出：一是语言变幻越多，防御就会越困难，增加了防御工作量；二是以前大部分 C++ 和C语言的编程语言，现在编程语言种类越多，意味着勒索软件从业人员越来越多，新人加入了。

这些新增的高级编程语言很多有现成的模式，大大降低了勒索木马的开发难度。这意味着，勒索木马这个邪恶的对手将有更多的武器和弹药投入战场。

• 升级招式三：手段更多，有可能找人背黑锅

2016年，勒索木马传播方式除邮件中的恶意文档外，新增了网站漏洞挂马、服务器黑客入侵等多种手段。

刘桂泽提醒，有些视频网站或者客户端软件内嵌了广告位，在广告位招商时，有一些小公司买了，但是不幸的是，小公司的网站被黑客入侵，加上了勒索木马。也就是说，视频网站和客户端成了勒索木马的跳板，在根本不知情的情况下，用户点击广告位中了勒索木马，视频网站和客户端就背了黑锅。

• 升级招式四：让解密难上云端

勒索木马的加密算法，以前是对称加密的，比如AES， key 保存在本地，现在过渡到了非对称加密RSA，key 保存在云端。

勒索木马的加密最早没有和云端联系，当解密放在本地时，安全人员做比较详细的分析还是有可能的，但是到了2016年，勒索木马的 key保存在云端，这就让解密难上加难了。

刘桂泽还特别提醒，2016年他们发现了一些用简体中文勒索的木马，说明至少有中国的木马作者参与进去，专门针对中国地区进行攻击。

你还需要知道这些

1.：哪些人容易成为勒索木马的受害者？

刘桂泽：

企业用户对勒索木马而言更有价值，但成功率偏低，因为很多公司实行内外网隔离。

接下来对勒索木马的预测，比如，有人说勒索软件将对云实施攻击，互联汽车将成为勒索软件的攻击目标……

刘桂泽：勒索木马的趋势之一，是针对高端目标进行精准攻击，比如，开发针对企业环境或服务器环境的专用勒索软件，以图勒索收益的最大化。

3.：勒索软件的黑产链条是什么样的？

刘桂泽：看上去可以这么分——【制作者】-出售（成品或工具箱）->【利用者】-分发->【传播者】-传播->【受害者】-支付赎金->【利用者】-（可能分成）->【制作者，传播者】

事实上，就是一波人，根本就没有生态链，只有坏蛋和受害者。当然，团伙内部有分工，但一个团队内部分工还达不到生态，人家没有精力浪费在层级沟通上。

刘桂泽：你有没有发现， 所有的勒索软件都屏蔽了俄语和俄罗斯的机器，这说明：要么是俄罗斯干的，要么就是容易被俄罗斯砍杀，因为有卡巴斯基。

文/李勤 （微信ID：qinqin0511，关心安全圈发生的事儿）