腾讯反病毒实验室:2016年和勒索木马肉搏是一种怎样的体验?
|
副标题[/!--empirenews.page--]
1989年,勒索木马的鼻祖“ PC Cyborg 木马”出现,以“艾滋病信息引导盘”的形式进入系统,在系统启动次数达到 90 次时,该木马将 C 盘的全部文件加密。此时,屏幕显示信息,声称用户的软件许可已经过期,要求用户向“ PC Cyborg ”公司位于巴拿马的邮箱寄去 189 美元,以解锁系统。 庆幸的是,这个勒索木马的作者被抓获,被起诉时他还曾为自己辩解,称其非法所得用于艾滋病研究。 如今,艾滋病依然是闻之令人变色的疾病,但勒索木马也丝毫不逊色。多年来,各种勒索木马肆虐赛博世界,因其复杂的加密形式,一旦中招,除了极少部分可以被破解加密方法,大部分被加密的文件要么只能在利益权衡下被忍痛舍弃,要么只能靠赎金解救。 现在,许多勒索木马作者依然躲在黑暗的世界里横行,虽然在与他们的战役中,败多胜少,但是依然还是有一群守护者坚守在这个领域。 也许,在这场常常被失败笼罩乌云的战役中,需要看到一些胜利继续被鼓舞前进。 2016年的三场胜利对腾讯反病毒实验室而言,2016 年的这三场胜仗值得铭记。 腾讯反病毒实验室安全研究员刘桂泽告诉雷锋网,很多勒索软件的加密需要超级计算机一刻不停地计算,才能在数百年后解密。人们对这些勒索软件的反破解能力如同一艘小船在苍茫大海上遇上一艘巨轮,无疑以卵击石。 只有在勒索木马加密强度不高时,才可被斩于马下。
勒索木马 Petya 在 2016 年 3 月被人出现,且以一种全新方式登场:修改系统 MBR 引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,通过 Tor 匿名网络索取比特币。 这是第一个将敲诈和修改 MBR 合二为一的恶意木马,这意味着,它的破坏力极强。
petya 的战术出其不意,本来看上去已毫无胜算。不料,研究人员在分析它的样本时,峰回路转。由于这个勒索木马作者的疏忽,petya 这个家伙虽然算法很完美,但用得有问题——密钥支持 64 位,却只用了 16 位,加密强度呈指数级降低,于是,一艘巨轮幻化成了与小船同等量级的对手。 刘桂泽称,靠修改 MBR,利用加密算法漏洞暴力破解,针对 petya 的破解工具不到一天就被制作了出来。
与 petya 的战斗可以称得上速战速决,但下一个对手 locky 却没有这么简单。 locky 并非 2016 年出现的新勒索木马,却在 2016 年,产生了多个变种。刘桂泽称,locky 是 2016 年变种最多、变化速度最快的对手。相比正面狙击,locky 简直就是开挂的持续战选手。 locky 在2016年2月席卷全球,大肆攻击企业与个人用户。
按照刘桂泽的说法,一般一种勒索木马都是玩一波就走,但是 locky 却异常顽强。
这样开挂的选手,常常让杀毒软件反应不过来,就像你刚拿出手榴弹,准备朝对面的敌人扔过去,却发现不知何时敌人又派了一架轰炸机。 它也很像一个狡诈的间谍,时刻变化着装、妆容。一般人很难从间谍乔装打扮及精湛的演技中辨认出是否同一人。 在这种棘手的情况下,刘桂泽说,他们只好派出了哈勃分析系统。 哈勃分析系统有很大的分析集群,对历史信息持续监测,对新样本进行分析,了解是否与之前的木马有相似的家族特征。哈勃不需要看这个勒索木马穿了什么“衣服”,却可以透过衣服看“基因”,把勒索木马文件下载后进行虚拟执行,把这个狡诈的对手所有可能的运行道路都走一遍,相当于派专人不断下载跟踪。 当然,对于已经中招的用户,已回天乏力。但是,在 locky 频繁变种及躲避查杀下,第一时间识别它,做到预先拦截,已经是可喜的胜利。
2016年,腾讯反病毒实验室还遇到一场锁屏敲诈的战斗。 这些锁屏敲诈木马主要有 Windows 密码锁屏、非英文密码锁屏、FBI 敲诈木马、安卓系统锁屏敲诈木马等,木马制作者通常将这些木马伪装成免费刷钻、批量刷赞等名号,吸引受害者安装,一旦受害者重启电脑或者手机锁屏,新密码便会启动。 刘桂泽称,对手主要是手机锁屏敲诈。每天有上万个安卓手机用户遭遇了手机锁屏敲诈,而且这个锁屏敲诈木马很狡猾,专门伪装成比较实用的应用诱使用户下载。
比如,它会伪装成系统整理软件,安卓用户老觉得手机慢,愿意装这种软件,还有一些会伪装成壁纸类 App,结果下载运行后,敲诈锁机页面覆盖了原来的开机页面。
这一类型的勒索敲诈,纯粹就是“国产”。刘桂泽分析,因为歪果仁用 iPhone 较多,应用软件多从应用商店购买,虽然现在 Apple 的应用商店也常爆出有木马应用,但相对而言,国内安卓用户更多,且应用下载渠道五花八门,给了手机锁屏敲诈可乘之机。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号