×

【安全课堂】深信服研发哥为您详解勒索病毒
  

深信服安全产品研发 15277

{{ttag.title}}
占承辉 男 千里目安全实验室团队成员 L1技术专家   专注僵木蠕分析与蜜罐研究,擅长流行僵木蠕的分析,目前是某公司勒索病毒检测与防御技术第一研究员

勒索病毒介绍


一、勒索病毒危害

勒索勒索病毒是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。用户一旦感染该病毒,
会自动加密电脑文件(如源代码、Word、Excel、PPT、PDF等),还会更改终端背景图片提出勒索要求,除支付赎金外,目前尚无解密办法。

二、勒索病毒发展史简介

从2015年开始,勒索病毒在全球疯狂传播,各种种类的勒索病毒及其变种层出不穷。比较典型的勒索病毒有,利用Flash player漏洞针对游戏平台玩家的TeslaCrypt勒索病毒,善于伪装成PDF文件的CryptoWall勒索病毒,不交赎金就公布个人信息的Chimera勒索病毒,托管收取费用的TOX勒索病毒,攻击移动平台的Android.Trojan.Koler 勒索病毒,今年2月最新出现的可伪装成word文档的新型勒索病毒,3月份首款针对苹果MAC系统的勒索病毒KeRanger诞生。

三、勒索病毒感染方式

2.1、Locky勒索病毒主要以邮件和恶链木马的形式进行传播,附件一般是压缩包,通过各种形式诱使用户打开;
2.2、一旦打开后,病毒进入到本地会自动运行,访问权限连接至黑客的C&C服务器,下载勒索病毒和公钥;
2.3、将公钥写入注册表,遍历本地所有磁盘office,源代码等重要文件类型,对这些文件格式篡改和加密;
2.4、更改桌面等方式生成勒索提示文件,指导用户缴纳赎金(一般是比特币)。

四、常见勒索病毒传播方式介绍

4.1、邮件附件:
邮件附件是勒索病毒较为常见的传播方式之一。该类邮件附件发送者可能是陌生的邮件地址,也可能是被入侵的公司同事的电子邮件地址,还可能是攻击者攻破了单位的邮件服务器并通过管理员身份发送。
附件的形式也较为多样,可能js、vbs等用来下载勒索病毒的脚本文件(需要双击运行),也可能是office文档(需要点击运行宏提示才会下载运行勒索病毒),也可能直接就是伪装的勒索病毒的可执行文件。

4.2、浏览器或flash漏洞:
勒索病毒也可以通过浏览器或者flash的漏洞来进行传播,当访问者使用存在漏洞的浏览器或者flash软件访问被勒索病毒挂马的网站时,会被植入勒索病毒。

五、勒索病毒加密方式

勒索病毒可以使用RSA、DES、AES等多种加密手段对文件进行加密,高级的勒索病毒在文件被加密后是无法进行破解解密的,解密的方法只有向黑客支付赎金。

六:勒索病毒常见支付方式

早期的勒索病毒通过银行汇款等方式进行钱财勒索,较易被查处,但随着比特币等虚拟货币的流行,勒索病毒开始使用这一更为隐蔽的方式进行支付(比特币较难追踪),可以说,虚拟货币的出现,加速了勒索病毒的泛滥。

七、TeslaCrypt勒索病毒案例介绍

7.1、TeslaCrypt勒索病毒一般通过邮件附件和网站挂马进行传播,其感染流程如下图所示:

(1)   用户点击恶意链接或打开恶意附件时,将下载恶意程序到目标主机;
(2)   恶意程序加载执行,释放核心代码;
(3)   为防止用户恢复数据,对用户存储设备上的备份数据进行删除;
(4)   为防止用户更改系统配置以及结束恶意进程,将杀死procexp等进程;
(5)   生成加密key,对特定拓展名的文件进行加密,加密完成后修改文件拓展名;
(6)   收集受害主机信息,与远程C&C服务器通信;
(7)   所有操作完成后,弹出勒索程序对话框,要求用户按照指示支付一定金额的比特币,否则将无法恢复文件。

7.2、TeslaCrypt勒索病毒感染流程图如下所示:
file://localhost/Users/ZJ/Library/Caches/TemporaryItems/msoclip/0/clip_image002.gif

八、移动端勒索病毒案例介绍

8.1、移动端勒索病毒介绍

针对移动端进行攻击的勒索病毒经常隐藏在色情网站中,或者伪装成成人应用软件、游戏外挂、付费破解应用等。
移动端勒索病毒的勒索方式有锁屏、加密文件、加密通讯录等方式
国内外的移动端勒索病毒的支付方式有人民币、Q币、美元、卢布等

8.2、移动端勒索病毒案例简介

源于加拿大的勒索病毒Koler,受害者以为他们安装的是播放成人视频的视频播放软件,实际勒索病毒已经悄悄潜入系统。并在屏幕首页弹出“警告:你的手机已因涉及非法色情活动被锁定!”要求支付比特币进行解锁,如下图:


如果受害者不支付赎金,那么勒索病毒不仅会将受害者手机锁屏以阻止他们进一步操作,而且还威胁受害者说要将他们浏览成人网站的消息通知给手机中的所有联系人。

这种勒索手段不仅仅是在安全方面,同时还抓住了受害者的羞耻心理。但受害者碰到这种事情时会感到很尴尬,因为他们访问的是一个色情网站,所以不想告诉任何人。有一些特定类别的用户更容易受到这些网络罪犯的勒索,例如企业高管,他们担心上黄网被他人知晓会影响个人形象,所以最后都会决定支付赎金。

针对移动端的勒索病毒,大部分软件不会真的发送隐私信息给所有联系人,如果手机中没有重要资料可进行刷机处理。

九、勒索病毒总结

9.1、传播的四种途径
1、通过邮件附件进行传播;
2、通过钓鱼邮件进行群发下载URL传播;
3、企业用户在恶意站点下载病毒文件进行传播;
4、通过浏览器漏洞(网页挂马)进行传播;

9.2、防御方法
1、邮件杀毒和邮件过滤功能进行防御;
2、恶意链接库对恶意URL进行封堵;
2、同时通过僵尸网络库防止勒索病毒在内网进行扩算;
3、通过信誉库对恶意站点进行封堵;
4、通过下一代墙的IPS防御模块对漏洞攻击进行防御;
5、通过对Tor网络进行封堵,防御企业内网主机沦为僵尸肉鸡;
6、部署Locky勒索病毒的专防工具;
7、部署网络版的杀毒引擎,在终端上进行防御;

9.3、养成良好的安全意识
1、定期异地备份重要文件 ;
2、在官方网站上下载需要的软件;
3、不要启用office软件的宏功能;

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

陈经途 发表于 2016-5-19 13:13
  
发一个真实的给你们看下,最后没有办法付了4200块钱,解密文档!
北回归线 发表于 2016-5-19 20:11
  
输送安全能力,哈哈。。。
boy 发表于 2016-5-26 10:13
  
好牛掰的勒索病毒~
woshishui 发表于 2016-5-26 15:40
  
这勒索病毒,最好的办法就是不要被感染,就是不要被感染,就是不要被感染  重要的事情说三遍,所以,
还不快上NGAF
18916637220 发表于 2016-7-21 22:54
  
这个上了防火墙也没有太大的意义,一般勒索者软件改动下你查杀不到的,最好是在对于未知的文件在沙盒里跑一下,立马就ok了
Belief 发表于 2016-7-27 18:45
  
我看到过  要600 比特币
友谊之门 发表于 2017-1-5 21:11
  
吓人。。
jimes 发表于 2017-1-9 17:02
  
感谢分享!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人