深度 | 和木马撕X的三场战役
庆幸的是,这个勒索木马的作者被抓获,被起诉时他还曾为自己辩解,称其非法所得用于艾滋病研究。
如今,艾滋病依然是闻之令人变色的疾病,但勒索木马也丝毫不逊色。多年来,各种勒索木马肆虐赛博世界,因其复杂的加密形式,一旦中招,除了极少部分可以被破解加密方法,大部分被加密的文件要么只能在利益权衡下被忍痛舍弃,要么只能靠赎金解救。
现在,许多勒索木马作者依然躲在黑暗的世界里横行,虽然在与他们的战役中,败多胜少,但是依然还是有一群守护者坚守在这个领域。
也许,在这场常常被失败笼罩乌云的战役中,需要看到一些胜利继续被鼓舞前进。
2016年的三场胜利
对腾讯反病毒实验室而言,2016 年的这三场胜仗值得铭记。
腾讯反病毒实验室安全研究员刘桂泽告诉,很多勒索软件的加密需要超级计算机一刻不停地计算,才能在数百年后解密。人们对这些勒索软件的反破解能力如同一艘小船在苍茫大海上遇上一艘巨轮,无疑以卵击石。
只有在勒索木马加密强度不高时,才可被斩于马下。
- 一招棋错的 petya
勒索木马 Petya 在 2016 年 3 月被人出现,且以一种全新方式登场:修改系统 MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,通过 Tor 匿名网络索取比特币。
这是第一个将敲诈和修改 MBR 合二为一的恶意木马,这意味着,它的破坏力极强。
petya 的战术出其不意,本来看上去已毫无胜算。不料,研究人员在分析它的样本时,峰回路转。由于这个勒索木马作者的疏忽,petya这个家伙虽然算法很完美,但用得有问题——密钥支持 64 位,却只用了 16 位,加密强度呈指数级降低,于是,一艘巨轮幻化成了与小船同等量级的对手。
刘桂泽称,靠 修改 MBR,利用加密算法漏洞暴力破解,针对 petya 的破解工具不到一天就被制作了出来。
- 变化多端的 locky
与 petya 的战斗可以称得上速战速决,但下一个对手 locky 却没有这么简单。
locky 并非 2016 年出现的新勒索木马,却在 2016 年,产生了多个变种。刘桂泽称,locky 是 2016 年变种最多、变化速度最快的对手。相比正面狙击,locky 简直就是开挂的持续战选手。
locky 在2016年2月席卷全球,大肆攻击企业与个人用户。
按照刘桂泽的说法,一般一种勒索木马都是玩一波就走,但是 locky 却异常顽强。
“因为 locky 的作者比较执着,喜欢跟安全软件斗争。它的变化速度有多快?比如,同一天上午和下午收到的该勒索软件的邮件后,下载附件,可能中了locky 1的招,到了下午下载同一个邮件,就是 locky 2,甚至你和同事同时下载,都可能中了不同版本的招。locky在不同国家和地区版本也各异。总体来说, 它会根据时间、IP等变化。”刘桂泽说。
这样开挂的选手,常常让杀毒软件反应不过来,就像你刚拿出手榴弹,准备朝对面的敌人扔过去,却发现不知何时敌人又派了一架轰炸机。
它也很像一个狡诈的间谍,时刻变化着装、妆容。一般人很难从间谍乔装打扮及精湛的演技中辨认出是否同一人。
在这种棘手的情况下,刘桂泽说,他们只好派出了哈勃分析系统。
哈勃分析系统有很大的分析集群,对历史信息持续监测,对新样本进行分析,了解是否与之前的木马有相似的家族特征。哈勃不需要看这个勒索木马穿了什么“衣服”,却可以透过衣服看“基因”,把勒索木马文件下载后进行虚拟执行,把这个狡诈的对手所有可能的运行道路都走一遍,相当于派专人不断下载跟踪。
当然,对于已经中招的用户,已回天乏力。但是,在 locky 频繁变种及躲避查杀下,第一时间识别它,做到预先拦截,已经是可喜的胜利。
- 犯案者可能是十几岁小孩的手机锁屏敲诈
2016年,腾讯反病毒实验室还遇到一场锁屏敲诈的战斗。
刘桂泽称,对手主要是手机锁屏敲诈。每天有上万个安卓手机用户遭遇了手机锁屏敲诈,而且这个锁屏敲诈木马很狡猾,专门伪装成比较实用的应用诱使用户下载。
比如,它会伪装成系统整理软件,安卓用户老觉得手机慢,愿意装这种软件,还有一些会伪装成壁纸类 App,结果下载运行后,敲诈锁机页面覆盖了原来的开机页面。
“安卓手机用户有多少会刷机?很多品牌的手机刷机了后,都与售后条款有冲突,不再属于售后范围。再加上,锁机敲诈往往金额不高,就 10到几十个虚拟货币,而且,我们在提供 专杀工具,跨界打击后发现,多起锁机敲诈的操作者是十几岁的小孩。”刘桂泽说。
这一类型的勒索敲诈,纯粹就是“国产”。刘桂泽分析,因为歪果仁用 iPhone 较多,应用软件多从应用商店购买,虽然现在 Apple的应用商店也常爆出有木马应用,但相对而言,国内安卓用户更多,且应用下载渠道五花八门,给了手机锁屏敲诈可乘之机。
不过,刘桂泽认为,这一类手机锁屏敲诈木马在技术难度上没有那么高,这也是为何许多十几岁小孩参与了敲诈。
攻防之战:勒索软件变化升级
道高一尺,魔高一丈。
在这场与勒索木马的斗争中,安全人员的对手——勒索木马也在依据人们的防守策略不断调整自己的进攻姿势。
- 升级招式一:反侦察,你骗我也骗
刘桂泽称,2016年来,勒索木马与安全人员对抗增加,如代码混淆,检测分析环境,检测虚拟机等。勒索木马已经学会了对安全人员的反侦察。
安全人员在分析勒索木马时,是在实验室环境下进行,而非真实的用户环境。这是什么意思?
比如,如果是虚拟机运行,用户不会和虚拟机有什么交互,而真实的环境则会有人机交互。
勒索木马在侦查时,还会看看:为什么这台设备的运行速度这么快,都没有人按键盘,是不是机器在自己操作?为什么这台设备上没什么文件,或者为什么这台设备都没有某宝购物网站的浏览记录?
勒索木马变得越来越精明,它不在乎对方是不是有价值的“平民”,它想知道的是对方是不是手握武器的士兵!
在严密分析后,勒索木马就会作出决策:要不要进攻?还是蛰伏就好?
勒索木马已经学会了这样的策略:一封包含勒索木马附件的邮件,即使被下载和打开,它也不一定会让你中招——这台机子看着很像虚拟机呢!万一被安全人员发现,大家又不都是locky 那个二货,随时变来变去,这样的代价似乎付不起。
刘桂泽称,他们常常也有一种“长见识了”的感觉。但安全人员做对抗,也可以诱敌深入。
“上来赤裸裸的干危害不太大,勒索木马,难弄的就是这些狡猾的,狡猾了的必然有漏洞。所以,我们也会帮助用户伪装成不是受害者,让勒索木马找不到可用的受害者。”刘桂泽说。
- 升级招式二:武器玩出更多花样
这一年,勒索木马的代码语言更多样化了,使用到的编程语言包括 JavaScript,Python,C#等。
开发语言越来越多,刘桂泽指出:一是语言变幻越多,防御就会越困难,增加了防御工作量;二是以前大部分 C++ 和C语言的编程语言,现在编程语言种类越多,意味着勒索软件从业人员越来越多,新人加入了。
这些新增的高级编程语言很多有现成的模式,大大降低了勒索木马的开发难度。这意味着,勒索木马这个邪恶的对手将有更多的武器和弹药投入战场。
- 升级招式三:手段更多,有可能找人背黑锅
2016年,勒索木马传播方式除邮件中的恶意文档外,新增了网站漏洞挂马、服务器黑客入侵等多种手段。
刘桂泽提醒,有些视频网站或者客户端软件内嵌了广告位,在广告位招商时,有一些小公司买了,但是不幸的是,小公司的网站被黑客入侵,加上了勒索木马。也就是说,视频网站和客户端成了勒索木马的跳板,在根本不知情的情况下,用户点击广告位中了勒索木马,视频网站和客户端就背了黑锅。
- 升级招式四:让解密难上云端
勒索木马的加密算法,以前是对称加密的,比如AES, key 保存在本地,现在过渡到了非对称加密RSA,key 保存在云端。
勒索木马的加密最早没有和云端联系,当解密放在本地时,安全人员做比较详细的分析还是有可能的,但是到了2016年,勒索木马的 key保存在云端,这就让解密难上加难了。
刘桂泽还特别提醒,2016年他们发现了一些用简体中文勒索的木马,说明至少有中国的木马作者参与进去,专门针对中国地区进行攻击。
你还需要知道这些
1.:哪些人容易成为勒索木马的受害者?
刘桂泽:
企业用户对勒索木马而言更有价值,但成功率偏低,因为很多公司实行内外网隔离。
接下来对勒索木马的预测,比如,有人说勒索软件将对云实施攻击,互联汽车将成为勒索软件的攻击目标……
刘桂泽:勒索木马的趋势之一,是针对高端目标进行精准攻击,比如,开发针对企业环境或服务器环境的专用勒索软件,以图勒索收益的最大化。
3.:勒索软件的黑产链条是什么样的?
刘桂泽:看上去可以这么分——【制作者】-出售(成品或工具箱)->【利用者】-分发->【传播者】-传播->【受害者】-支付赎金->【利用者】-(可能分成)->【制作者,传播者】
事实上,就是一波人,根本就没有生态链,只有坏蛋和受害者。当然,团伙内部有分工,但一个团队内部分工还达不到生态,人家没有精力浪费在层级沟通上。
刘桂泽:你有没有发现, 所有的勒索软件都屏蔽了俄语和俄罗斯的机器,这说明:要么是俄罗斯干的,要么就是容易被俄罗斯砍杀,因为有卡巴斯基。
文/李勤 (微信ID:qinqin0511,关心安全圈发生的事儿)
推荐系统
电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载
语言:中文版系统大小:2.98GB系统类型:Win8电脑公司Ghost Win8.1x32位纯净版V2022年7月版本集成了自2022流行的各种硬件驱动,首次进入系统即全部硬件已安装完毕。电脑公司Ghost Win8.1x32位纯净版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,精心挑选的系统维护工具,加上绿茶独有
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
相关文章
- 到底杀熟没有?滴滴CTO回应造成“预估价”波动原因
- 专栏
- 音频服务未运行怎么办? Windows7音频服务未运行的解决办法
- win10共享文件夹打不开提示找不到网络路径怎么解决?
- 计算机系统组成都是什么?
- 安全研究人员在LastPass发现7个跟踪器
- win7总是一直掉线怎么办 win7系统一直掉线连不上网络上网的解决方法图文教程
- 春节回家心似箭,网络安全别松懈 !| 宅客周刊
- 腾讯反病毒实验室马劲松:和“AV”有关的日子
- 28AWG和24AWG网络跳线哪个好?
- 日本视频游戏公司Capcom遭受了一次网络攻击
- 电脑显示器模糊的一些原因有哪些?
- 美执法部门再下一城:取缔交易失窃登录凭证的SlilPP黑市
- 智能眼镜上可否能有“MIUI”?
- Web安全:明文密码漏洞
- 局域网中最常用的三种网络协议简述
- 三步搞定win7无线网络共享(随时随地wifi)
- 美国 NSA 被黑!顶级黑客撕X是一种怎样的体验?
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1萝卜家园Win10 21H1 32位专业版免费下载V2021.06
- 2华硕 GHOST WIN7 SP1 X86 稳定安全版 V2023.02 (32位) 下载
- 3雨林木风Ghost Win8.1 X64 安全纯净版2018年6月(免激活) ISO镜像免费下载
- 4番茄花园win10 64位 完整驱动版 v2023.06免费下载
- 5雨林木风 GHOST WIN7 SP1 X86 装机旗舰版 V2016.01(32位) 下载
- 6雨林木风 Windows10 x64 企业装机版2020年10月(64位) ISO镜像高速下载
- 7安装官方win11旗舰版下载-安装官方win11旗舰版64位 v2023
- 8GHOST WIN8.1 32位优化专业版 V2023.09 下载
- 9win7旗舰版永久激活下载-win7旗舰版永久激活64位下载
- 10新萝卜家园Ghost Win10 64位 完美纯净版v2023.06最新下载