成都市蜀興職業(yè)中學(xué)做好電腦安全防范工作

勒索病毒，是一種新型電腦病毒，主要以郵件和惡鏈木馬的形式進(jìn)行傳播。主要通過郵件附件、釣魚郵件群發(fā)下載網(wǎng)址鏈接、用戶在惡意站點(diǎn)下載病毒文件以及網(wǎng)頁掛馬進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用系統(tǒng)內(nèi)部的加密處理，而且是一種不可逆的加密，必須拿到解密的秘鑰才有可能破解。

基本信息

中文名稱勒索病毒外文名稱Blackmail virus原理利用系統(tǒng)內(nèi)部的加密處理 性質(zhì)不可逆解密病毒開發(fā)者本人警惕程度★★★★☆

目錄	1傳播途徑 2攻擊對(duì)象 3病毒規(guī)律	4病毒分析 5樣本運(yùn)行流程 6應(yīng)對(duì)方案	7主要事件

傳播途徑勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰。然后，利用系統(tǒng)內(nèi)部的加密處理，是一種不可逆的加密，除了病毒開發(fā)者本人，其他人是不可能解密的。加密完成后，還會(huì)在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。且變種類型非?？?，對(duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以js、wsf、vbe等類型為主，隱蔽性極強(qiáng)，對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。

攻擊對(duì)象這種病毒最早針對(duì)的是科研人員和公司管理人員，有消息稱這個(gè)病毒可能是來自俄羅斯，一般贖金要求以比特幣形式支付。這種病毒暫時(shí)未發(fā)現(xiàn)可攻擊win10系統(tǒng)。Ransomeware是目前增長(zhǎng)最快的一種網(wǎng)絡(luò)安全威脅因素，被感染的計(jì)算機(jī)數(shù)據(jù)將會(huì)被加密。之后，受害者需要支付一定的贖金以獲取密碼來解鎖數(shù)據(jù)。[2]該種新的勒索病毒會(huì)經(jīng)由網(wǎng)絡(luò)連線入侵聯(lián)網(wǎng)電視中。一旦智能聯(lián)網(wǎng)電視遭到入侵，將會(huì)出現(xiàn)屏幕遭鎖定的情況，并且會(huì)出現(xiàn)指定匯款的消息。如果受害者支付勒贖款項(xiàng)，才能重新使用該智能聯(lián)網(wǎng)電視，已經(jīng)在日本出現(xiàn)超過 300 個(gè)案例，而且最常被感染而鎖定屏幕的時(shí)間達(dá)到 28 天，要使用智能聯(lián)網(wǎng)電視的消費(fèi)者必須當(dāng)心。

病毒規(guī)律該類型病毒的目標(biāo)性強(qiáng)，主要以郵件為傳播方式。勒索病毒文件一旦被用戶點(diǎn)擊打開，會(huì)利用連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰。然后，將加密公鑰寫入到注冊(cè)表中，遍歷本地所 有磁盤中的Office 文檔、圖片等文件，對(duì)這些文件進(jìn)行格式篡改和加密;加密完成后，還會(huì)在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。該類型病毒可以導(dǎo)致重要文件無法讀取，關(guān)鍵數(shù)據(jù)被損壞，給用戶的正常工作帶來了極為嚴(yán)重的影響。

病毒分析新型勒索病毒，運(yùn)行流程復(fù)雜，且針對(duì)關(guān)鍵數(shù)據(jù)以加密函數(shù)的方式進(jìn)行隱藏。以下為APT沙箱分析到樣本載體的關(guān)鍵行為:1、調(diào)用加密算法庫;2、通過腳本文件進(jìn)行Http請(qǐng)求;

3、通過腳本文件下載文件;4、讀取遠(yuǎn)程服務(wù)器文件;5、通過wscript執(zhí)行文件;6、收集計(jì)算機(jī)信息;7、歷文件。

樣本運(yùn)行流程該樣本主要特點(diǎn)是通過自身的解密函數(shù)解密回連服務(wù)器地址，通過HTTP GET 請(qǐng)求訪問加密數(shù)據(jù)，保存加密數(shù)據(jù)到TEMP目錄，然后通過解密函數(shù)解密出數(shù)據(jù)保存為DLL，然后再運(yùn)行DLL (即勒索者主體)。該DLL樣本才是導(dǎo)致對(duì)數(shù)據(jù)加密的關(guān)鍵主體，且該主體通過調(diào)用系統(tǒng)文件生成秘鑰，進(jìn)而實(shí)現(xiàn)對(duì)指定類型的文件進(jìn)行加密，即無需聯(lián)網(wǎng)下載秘鑰即可實(shí)現(xiàn)對(duì)文件加密。同時(shí)，在沙箱分析過程中發(fā)現(xiàn)了該樣本大量的反調(diào)試行為，用于對(duì)抗調(diào)試器的分析，增加了調(diào)試和分析的難度。

應(yīng)對(duì)方案根據(jù)勒索病毒的特點(diǎn)可以判斷，其變種通常可以隱藏特征，但卻無法隱藏其關(guān)鍵行為，經(jīng)過總結(jié)勒索病毒在運(yùn)行的過程中的行為主要包含以下幾個(gè)方面:1、通過腳本文件進(jìn)行Http請(qǐng)求;2、通過腳本文件下載文件;3、讀取遠(yuǎn)程服務(wù)器文件;4、收集計(jì)算機(jī)信息;5、遍歷文件;6、調(diào)用加密算法庫。量防止用戶感染該類病毒，我們可以從安全技術(shù)和安全管理兩方面入手:1、不要打開陌生人或來歷不明的郵件，防止通過郵件附件的攻擊;2、盡量不要點(diǎn)擊office宏運(yùn)行提示，避免來自office組件的病毒感染;3、需要的軟件從正規(guī)(官網(wǎng))途徑下載，不要雙擊打開.js、.vbs等后綴名文件;4、升級(jí)深信服NGAF到最新的防病毒等安全特征庫;5、升級(jí)企業(yè)防病毒軟件到最新的防病毒庫，阻止已存在的病毒樣本攻擊;6、定期異地備份計(jì)算機(jī)中重要的數(shù)據(jù)和文件，萬一中病毒可以進(jìn)行恢復(fù)

主要事件2017年5月12日，一次迄今為止最大規(guī)模的勒索病毒網(wǎng)絡(luò)攻擊席卷全球。據(jù)卡巴斯基統(tǒng)計(jì)，在過去的十幾個(gè)小時(shí)里，全球共有74個(gè)國家的至少4.5萬Windows系統(tǒng)電腦中招。而殺毒軟件Avast統(tǒng)計(jì)的數(shù)據(jù)更為驚人：病毒已感染全球至少5.7萬臺(tái)電腦，并仍在迅速蔓延中。美國、中國、日本、俄羅斯、英國等重要國家均有攻擊現(xiàn)象發(fā)生，其中俄羅斯被攻擊得最為嚴(yán)重。而對(duì)英國的攻擊主要集中在英國國家醫(yī)療服務(wù)體系(NHS)，旗下至少有25家醫(yī)院電腦系統(tǒng)癱瘓、救護(hù)車無法派遣，極有可能延誤病人治療，造成性命之憂。