勒索病毒 (新型電腦病毒)
次瀏覽 | 2022.08.07 17:13:19 更新
來源 :互聯網
精選百科
本文由作者推薦
勒索病毒新型電腦病毒
勒索病毒是一種黑客通過技術手段將受害者機器內的重要數據文件進行加密,最終迫使受害者向黑客繳納文件解密贖金,黑客收到贖金后����,進一步協助受害者恢復被加密數據,從而達到病毒非法牟利勒索錢財的目的�����,勒索病毒是近年來極為流行的病毒類型之一��。
2017年12月13日��,“勒索病毒”入選國家語言資源監測與研究中心發布的“2017年度中國媒體十大新詞語”。據“火絨威脅情報系統”監測和和評估,從2018年初到9月中旬���,勒索病毒總計對超過200萬臺終端發起過攻擊,攻擊次數高達1700萬余次,且整體呈上升趨勢����。
中文名
勒索病毒
外文名
Ransomware
性質
不可逆
解密
病毒開發者本人
原理
利用各種加密算法對文件進行加密
傳播途徑
勒索病毒文件一旦進入本地����,就會自動運行���,同時刪除勒索軟件樣本���,以躲避查殺和分析��。接下來���,勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器��,進而上傳本機信息并下載加密私鑰與公鑰,利用私鑰和公鑰對文件進行加密�。除了病毒開發者本人���,其他人是幾乎不可能解密����。加密完成后�,還會修改壁紙�����,在桌面等明顯位置生成勒索提示文件�����,指導用戶去繳納贖金�����。且變種類型非常快�,對常規的殺毒軟件都具有免疫性����。攻擊的樣本以exe�、js、wsf�����、vbe等類型為主�����,對常規依靠特征檢測的安全產品是一個極大的挑戰�����。
據火絨監測�,勒索病毒主要通過三種途徑傳播:漏洞、郵件和廣告推廣��。
通過漏洞發起的攻擊占攻擊總數的87.7%��。由于win7�����、xp等老舊系統存在大量無法及時修復的漏洞,而政府��、企業���、學校��、醫院等局域網機構用戶使用較多的恰恰是win7�����、xp等老舊系統,因此也成為病毒攻擊的重災區��,病毒可以通過漏洞在局域網中無限傳播����。相反,win10系統因為強制更新,幾乎不受漏洞攻擊的影響�����。
通過郵件與廣告推廣的攻擊分別為7.4%����、3.9%。雖然這兩類傳播方式占比較少���,但對于有收發郵件�、網頁瀏覽需求的企業而言,依舊會受到威脅。
此外,對于某些特別依賴U盤、記錄儀辦公的局域網機構用戶來說���,外設則成為勒索病毒攻擊的特殊途徑。
攻擊對象
勒索病毒一般分兩種攻擊對象,一部分針對企業用戶(如xtbl�,wallet)�,一部分針對所有用戶��。
病毒規律
該類型病毒的目標性強�,主要以郵件為傳播方式�����。
勒索病毒文件一旦被用戶點擊打開�,會利用連接至黑客的C&C服務器�,進而上傳本機信息并下載加密公鑰和私鑰。然后�,將加密公鑰私鑰寫入到注冊表中���,遍歷本地所有磁盤中的Office文檔�、圖片等文件,對這些文件進行格式篡改和加密;加密完成后��,還會在桌面等明顯位置生成勒索提示文件���,指導用戶去繳納贖金����。
該類型病毒可以導致重要文件無法讀取,關鍵數據被損壞,給用戶的正常工作帶來了極為嚴重的影響。
樣本運行流程
該樣本主要特點是通過自身的解密函數解密回連服務器地址�,通過HTTP?GET請求訪問加密數據����,保存加密數據到TEMP目錄���,然后通過解密函數解密出數據保存為DLL�,然后再運行DLL(即勒索者主體)����。該DLL樣本才是導致對數據加密的關鍵主體,且該主體通過調用系統文件生成密鑰�,進而實現對指定類型的文件進行加密���,即無需聯網下載密鑰即可實現對文件加密���。
同時����,在沙箱分析過程中發現了該樣本大量的反調試行為��,用于對抗調試器的分析�,增加了調試和分析的難度��。
病毒分析
一般勒索病毒�����,運行流程復雜,且針對關鍵數據以加密函數的方式進行隱藏�。以下為APT沙箱分析到樣本載體的關鍵行為:
1����、調用加密算法庫���;
2���、通過腳本文件進行Http請求�����;
3、通過腳本文件下載文件�;
4���、讀取遠程服務器文件�����;
5、通過wscript執行文件�;
6��、收集計算機信息;
7�、遍歷文件����。
應對方案
根據勒索病毒的特點可以判斷���,其變種通?���?梢噪[藏特征�,但卻無法隱藏其關鍵行為��,經過總結勒索病毒在運行的過程中的行為主要包含以下幾個方面:
1���、通過腳本文件進行Http請求����;
2�、通過腳本文件下載文件;
3���、讀取遠程服務器文件��;
4�、收集計算機信息�����;
5�、遍歷文件���;
6�����、調用加密算法庫��。
為防止用戶感染該類病毒,我們可以從安全技術和安全管理兩方面入手:
1、不要打開陌生人或來歷不明的郵件���,防止通過郵件附件的攻擊;
2����、盡量不要點擊office宏運行提示�����,避免來自office組件的病毒感染;
3���、需要的軟件從正規(官網)途徑下載,不要雙擊打開.js�����、.vbs等后綴名文件���;
4����、升級到最新的防病毒等安全特征庫��;
5���、升級防病毒軟件到最新的防病毒庫�,阻止已存在的病毒樣本攻擊��;
6�、定期異地備份計算機中重要的數據和文件���,萬一中病毒可以進行恢復�����。
相關事件
2017年5月12日��,一種名為“想哭”的勒索病毒襲擊全球150多個國家和地區,影響領域包括政府部門、醫療服務��、公共交通��、郵政��、通信和汽車制造業���。
2017年6月27日�����,歐洲��、北美地區多個國家遭到“NotPetya”病毒攻擊��。烏克蘭受害嚴重,其政府部門��、國有企業相繼“中招”���。
2017年10月24日��,俄羅斯���、烏克蘭等國遭到勒索病毒“壞兔子”攻擊�。烏克蘭敖德薩國際機場�����、首都基輔的地鐵支付系統及俄羅斯三家媒體中招����,德國����、土耳其等國隨后也發現此病毒。
2018年2月��,多家互聯網安全企業截獲了Mind?Lost勒索病毒��。
2018年2月��,中國內便再次發生多起勒索病毒攻擊事件。經騰訊企業安全分析發現��,此次出現的勒索病毒正是GlobeImposter家族的變種�,該勒索病毒將加密后的文件重命名為.GOTHAM、.Techno�����、.DOC����、.CHAK�、.FREEMAN、.TRUE、.TECHNO等擴展名,并通過郵件來告知受害者付款方式���,使其獲利更加容易方便。
2018年3月1日����,有殺毒軟件廠商表示�����,他們監測到了“麒麟2.1”的勒索病毒。
2018年3月����,國家互聯網應急中心通過自主監測和樣本交換形式共發現23個鎖屏勒索類惡意程序變種��。該類病毒通過對用戶手機鎖屏,勒索用戶付費解鎖�����,對用戶財產和手機安全均造成嚴重威脅���。
從2018年初到9月中旬����,勒索病毒總計對超過200萬臺終端發起過攻擊,攻擊次數高達1700萬余次,且整體呈上升趨勢����。
參考資料
