我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:荣兴彩票 > 反病毒 >

腾讯反病毒实验室:2016年和勒索木马肉搏是一种怎样的体验?

归档日期:05-15       文本归类:反病毒      文章编辑:爱尚语录

  1989年,勒索木马的鼻祖“ PC Cyborg 木马”出现,以“艾滋病信息引导盘”的形式进入系统,在系统启动次数达到 90 次时,该木马将 C 盘的全部文件加密。此时,屏幕显示信息,声称用户的软件许可已经过期,要求用户向“ PC Cyborg ”公司位于巴拿马的邮箱寄去 189 美元,以解锁系统。

  庆幸的是,这个勒索木马的作者被抓获,被起诉时他还曾为自己辩解,称其非法所得用于艾滋病研究。

  如今,艾滋病依然是闻之令人变色的疾病,但勒索木马也丝毫不逊色。多年来,各种勒索木马肆虐赛博世界,因其复杂的加密形式,一旦中招,除了极少部分可以被破解加密方法,大部分被加密的文件要么只能在利益权衡下被忍痛舍弃,要么只能靠赎金解救。

  现在,许多勒索木马作者依然躲在黑暗的世界里横行,虽然在与他们的战役中,败多胜少,但是依然还是有一群守护者坚守在这个领域。

  也许,在这场常常被失败笼罩乌云的战役中,需要看到一些胜利继续被鼓舞前进。

  腾讯反病毒实验室安全研究员刘桂泽告诉雷锋网,很多勒索软件的加密需要超级计算机一刻不停地计算,才能在数百年后解密。人们对这些勒索软件的反破解能力如同一艘小船在苍茫大海上遇上一艘巨轮,无疑以卵击石。

  勒索木马Petya 在 2016 年 3 月被人出现,且以一种全新方式登场:修改系统 MBR 引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,通过 Tor 匿名网络索取比特币。

  这是第一个将敲诈和修改 MBR 合二为一的恶意木马,这意味着,它的破坏力极强。

  petya 的战术出其不意,本来看上去已毫无胜算。不料,研究人员在分析它的样本时,峰回路转。由于这个勒索木马作者的疏忽,petya 这个家伙虽然算法很完美,但用得有问题——密钥支持 64 位,却只用了 16 位,加密强度呈指数级降低,于是,一艘巨轮幻化成了与小船同等量级的对手。

  刘桂泽称,靠修改 MBR,利用加密算法漏洞暴力破解,针对petya的破解工具不到一天就被制作了出来。

  与 petya 的战斗可以称得上速战速决,但下一个对手locky 却没有这么简单。

  locky 并非 2016 年出现的新勒索木马,却在 2016 年,产生了多个变种。刘桂泽称,locky 是 2016 年变种最多、变化速度最快的对手。相比正面狙击,locky 简直就是开挂的持续战选手。

  按照刘桂泽的说法,一般一种勒索木马都是玩一波就走,但是locky 却异常顽强。

  “因为locky 的作者比较执着,喜欢跟安全软件斗争。它的变化速度有多快?比如,同一天上午和下午收到的该勒索软件的邮件后,下载附件,可能中了locky 1的招,到了下午下载同一个邮件,就是locky 2,甚至你和同事同时下载,都可能中了不同版本的招。locky 在不同国家和地区版本也各异。总体来说,它会根据时间、IP等变化。”刘桂泽说。

  这样开挂的选手,常常让杀毒软件反应不过来,就像你刚拿出手榴弹,准备朝对面的敌人扔过去,却发现不知何时敌人又派了一架轰炸机。

  它也很像一个狡诈的间谍,时刻变化着装、妆容。一般人很难从间谍乔装打扮及精湛的演技中辨认出是否同一人。

  哈勃分析系统有很大的分析集群,对历史信息持续监测,对新样本进行分析,了解是否与之前的木马有相似的家族特征。哈勃不需要看这个勒索木马穿了什么“衣服”,却可以透过衣服看“基因”,把勒索木马文件下载后进行虚拟执行,把这个狡诈的对手所有可能的运行道路都走一遍,相当于派专人不断下载跟踪。

  当然,对于已经中招的用户,已回天乏力。但是,在locky频繁变种及躲避查杀下,第一时间识别它,做到预先拦截,已经是可喜的胜利。

  这些锁屏敲诈木马主要有 Windows 密码锁屏、非英文密码锁屏、FBI 敲诈木马、安卓系统锁屏敲诈木马等,木马制作者通常将这些木马伪装成免费刷钻、批量刷赞等名号,吸引受害者安装,一旦受害者重启电脑或者手机锁屏,新密码便会启动。

  刘桂泽称,对手主要是手机锁屏敲诈。每天有上万个安卓手机用户遭遇了手机锁屏敲诈,而且这个锁屏敲诈木马很狡猾,专门伪装成比较实用的应用诱使用户下载。

  比如,它会伪装成系统整理软件,安卓用户老觉得手机慢,愿意装这种软件,还有一些会伪装成壁纸类 App,结果下载运行后,敲诈锁机页面覆盖了原来的开机页面。

  “安卓手机用户有多少会刷机?很多品牌的手机刷机了后,都与售后条款有冲突,不再属于售后范围。再加上,锁机敲诈往往金额不高,就 10 到几十个虚拟货币,而且,我们在提供专杀工具,跨界打击后发现,多起锁机敲诈的操作者是十几岁的小孩。”刘桂泽说。

  这一类型的勒索敲诈,纯粹就是“国产”。刘桂泽分析,因为歪果仁用 iPhone 较多,应用软件多从应用商店购买,虽然现在 Apple 的应用商店也常爆出有木马应用,但相对而言,国内安卓用户更多,且应用下载渠道五花八门,给了手机锁屏敲诈可乘之机。

本文链接:http://flordelotus.net/fanbingdu/300.html