占承辉 男 千里目安全实验室团队成员 L1技术专家 专注僵木蠕分析与蜜罐研究,擅长流行僵木蠕的分析,目前是某公司勒索病毒检测与防御技术第一研究员
勒索病毒介绍
一、勒索病毒危害
勒索勒索病毒是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。用户一旦感染该病毒, 会自动加密电脑文件(如源代码、Word、Excel、PPT、PDF等),还会更改终端背景图片提出勒索要求,除支付赎金外,目前尚无解密办法。
二、勒索病毒发展史简介
从2015年开始,勒索病毒在全球疯狂传播,各种种类的勒索病毒及其变种层出不穷。比较典型的勒索病毒有,利用Flash player漏洞针对游戏平台玩家的TeslaCrypt勒索病毒,善于伪装成PDF文件的CryptoWall勒索病毒,不交赎金就公布个人信息的Chimera勒索病毒,托管收取费用的TOX勒索病毒,攻击移动平台的Android.Trojan.Koler 勒索病毒,今年2月最新出现的可伪装成word文档的新型勒索病毒,3月份首款针对苹果MAC系统的勒索病毒KeRanger诞生。
三、勒索病毒感染方式
2.1、Locky勒索病毒主要以邮件和恶链木马的形式进行传播,附件一般是压缩包,通过各种形式诱使用户打开; 2.2、一旦打开后,病毒进入到本地会自动运行,访问权限连接至黑客的C&C服务器,下载勒索病毒和公钥; 2.3、将公钥写入注册表,遍历本地所有磁盘office,源代码等重要文件类型,对这些文件格式篡改和加密; 2.4、更改桌面等方式生成勒索提示文件,指导用户缴纳赎金(一般是比特币)。
四、常见勒索病毒传播方式介绍
4.1、邮件附件: 邮件附件是勒索病毒较为常见的传播方式之一。该类邮件附件发送者可能是陌生的邮件地址,也可能是被入侵的公司同事的电子邮件地址,还可能是攻击者攻破了单位的邮件服务器并通过管理员身份发送。 附件的形式也较为多样,可能js、vbs等用来下载勒索病毒的脚本文件(需要双击运行),也可能是office文档(需要点击运行宏提示才会下载运行勒索病毒),也可能直接就是伪装的勒索病毒的可执行文件。
4.2、浏览器或flash漏洞: 勒索病毒也可以通过浏览器或者flash的漏洞来进行传播,当访问者使用存在漏洞的浏览器或者flash软件访问被勒索病毒挂马的网站时,会被植入勒索病毒。
五、勒索病毒加密方式
勒索病毒可以使用RSA、DES、AES等多种加密手段对文件进行加密,高级的勒索病毒在文件被加密后是无法进行破解解密的,解密的方法只有向黑客支付赎金。
六:勒索病毒常见支付方式
早期的勒索病毒通过银行汇款等方式进行钱财勒索,较易被查处,但随着比特币等虚拟货币的流行,勒索病毒开始使用这一更为隐蔽的方式进行支付(比特币较难追踪),可以说,虚拟货币的出现,加速了勒索病毒的泛滥。
七、TeslaCrypt勒索病毒案例介绍
7.1、TeslaCrypt勒索病毒一般通过邮件附件和网站挂马进行传播,其感染流程如下图所示:
(1) 用户点击恶意链接或打开恶意附件时,将下载恶意程序到目标主机; (2) 恶意程序加载执行,释放核心代码; (3) 为防止用户恢复数据,对用户存储设备上的备份数据进行删除; (4) 为防止用户更改系统配置以及结束恶意进程,将杀死procexp等进程; (5) 生成加密key,对特定拓展名的文件进行加密,加密完成后修改文件拓展名; (6) 收集受害主机信息,与远程C&C服务器通信; (7) 所有操作完成后,弹出勒索程序对话框,要求用户按照指示支付一定金额的比特币,否则将无法恢复文件。
7.2、TeslaCrypt勒索病毒感染流程图如下所示: file://localhost/Users/ZJ/Library/Caches/TemporaryItems/msoclip/0/clip_image002.gif
八、移动端勒索病毒案例介绍
8.1、移动端勒索病毒介绍
针对移动端进行攻击的勒索病毒经常隐藏在色情网站中,或者伪装成成人应用软件、游戏外挂、付费破解应用等。 移动端勒索病毒的勒索方式有锁屏、加密文件、加密通讯录等方式 国内外的移动端勒索病毒的支付方式有人民币、Q币、美元、卢布等
8.2、移动端勒索病毒案例简介
源于加拿大的勒索病毒Koler,受害者以为他们安装的是播放成人视频的视频播放软件,实际勒索病毒已经悄悄潜入系统。并在屏幕首页弹出“警告:你的手机已因涉及非法色情活动被锁定!”要求支付比特币进行解锁,如下图:
如果受害者不支付赎金,那么勒索病毒不仅会将受害者手机锁屏以阻止他们进一步操作,而且还威胁受害者说要将他们浏览成人网站的消息通知给手机中的所有联系人。
这种勒索手段不仅仅是在安全方面,同时还抓住了受害者的羞耻心理。但受害者碰到这种事情时会感到很尴尬,因为他们访问的是一个色情网站,所以不想告诉任何人。有一些特定类别的用户更容易受到这些网络罪犯的勒索,例如企业高管,他们担心上黄网被他人知晓会影响个人形象,所以最后都会决定支付赎金。
针对移动端的勒索病毒,大部分软件不会真的发送隐私信息给所有联系人,如果手机中没有重要资料可进行刷机处理。
九、勒索病毒总结
9.1、传播的四种途径 1、通过邮件附件进行传播; 2、通过钓鱼邮件进行群发下载URL传播; 3、企业用户在恶意站点下载病毒文件进行传播; 4、通过浏览器漏洞(网页挂马)进行传播;
9.2、防御方法 1、邮件杀毒和邮件过滤功能进行防御; 2、恶意链接库对恶意URL进行封堵; 2、同时通过僵尸网络库防止勒索病毒在内网进行扩算; 3、通过信誉库对恶意站点进行封堵; 4、通过下一代墙的IPS防御模块对漏洞攻击进行防御; 5、通过对Tor网络进行封堵,防御企业内网主机沦为僵尸肉鸡; 6、部署Locky勒索病毒的专防工具; 7、部署网络版的杀毒引擎,在终端上进行防御;
9.3、养成良好的安全意识 1、定期异地备份重要文件 ; 2、在官方网站上下载需要的软件; 3、不要启用office软件的宏功能; | 
发表于 2016-5-18 09:09
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-5-18 11:36
工程师2级 
