但勒索病毒真正肆虐則是在2017年,一個名為“The Shadow Brokers”的黑客組織入侵了美國NSA下屬的方程式黑客組織后,公開了方程式組織的大量攻擊工具的開源文件,其中就包含了一個超級大殺器——號稱可以遠程攻破全球約70%Windows機器的漏洞利用工具永恒之藍(Eternal Blue)。永恒之藍是疑似美國NSA針對CVE-2017-(0143~0148)數(shù)個漏洞開發(fā)的漏洞利用工具,可以通過利用Windows SMB協(xié)議的漏洞來遠程執(zhí)行代碼,并提升自身至系統(tǒng)權(quán)限。

 

image.png
  勒索病毒加密原理

在永恒之藍的輔助下,只要一個人不小心打開了包含勒索病毒的文件或是網(wǎng)站,勒索病毒就會迅速感染他的電腦,進而通過永恒之藍入侵并感染與之有關(guān)的所有電腦,WannaCry病毒就此大規(guī)模爆發(fā)了。據(jù)統(tǒng)計數(shù)據(jù)顯示,在短短數(shù)天內(nèi),100多個國家和地區(qū)超過10萬臺電腦遭到了勒索病毒攻擊、感染,W至少150個國家、30萬名用戶中招,造成損失達80億美元,造成的社會影響巨大。

  除了做好防范措施外,勒索病毒幾乎無解

在勒索病毒大規(guī)模爆發(fā)之后,除了建議用戶備份數(shù)據(jù)及時打補丁、關(guān)閉能夠感染病毒的端口,以及幫助用戶修復永恒之藍系統(tǒng)漏洞外,全球眾多的安全廠商至今還未能拿出能夠行之有效的破解該勒索軟件的方案。用戶主機一旦被勒索軟件滲透,只能通過重裝操作系統(tǒng)的方式來解除勒索行為,但用戶重要數(shù)據(jù)文件幾乎毫無恢復的可能。

此后,包括Genasom、Foreign、NotPetya、Doublelocker在內(nèi)的種類繁多的勒索軟件競相花式登臺,將用戶的電腦按在地面上反復摩擦。但同樣的一點是,安全業(yè)內(nèi)對這些勒索軟件除了幫助用戶修復可能存在的安全漏洞以外,對勒索病毒本身仍然無計可施。

 

image.png
  Petya勒索病毒勒索界面

難道勒索病毒就真的所向披靡通殺四方?知道創(chuàng)宇404實驗室:我看未必!

咋勒索病毒四處攻城略地時,國內(nèi)外眾多安全廠商和安全團隊也都著手對勒索病毒展開了研究。可以說誰能夠率先破解勒索病毒,誰就能夠贏得用戶的熱情擁躉,獲得極高的聲望。而曾經(jīng)多次為微軟、蘋果、Adobe、BAT等知名廠商提交漏洞的知道創(chuàng)宇404實驗室也在對勒索病毒保持著密切的關(guān)注。

2018年下半年,一個名為撒旦“Satan”的勒索病毒異?;钴S,曾多次更新并衍生出變種勒索病毒,對國內(nèi)部分服務器進行攻擊。12月1日,一種名為lucky的勒索病毒大肆傳播,該病毒會將指定文件加密并修改后綴名為 .lucky。

 

image.png
  Lucky勒索病毒勒索界面

知道創(chuàng)宇 404 實驗室的煉妖壺蜜罐系統(tǒng)最早于2018年11月10日就捕捉到該勒索病毒的相關(guān)流量,截止到 2018年12月04日,該病毒的 CNC 服務器依然存活。根據(jù)分析的結(jié)果得知,lucky 勒索病毒幾乎就是 Satan 勒索病毒,整體結(jié)構(gòu)并沒有太大改變,包括 CNC 服務器也沒有更改。Satan 病毒一度變遷:最開始的勒索獲利的方式變?yōu)橥诘V獲利的方式,而新版本的 lucky 勒索病毒結(jié)合了勒索和挖礦。

 

image.png
  lucky 勒索病毒的整體結(jié)構(gòu)圖

在了解該勒索病毒的相關(guān)細節(jié)后,知道創(chuàng)宇 404 實驗室迅速跟進并分析了該勒索病毒。在分析該病毒的加密模塊時,知道創(chuàng)宇404實驗室意外發(fā)現(xiàn)可以利用偽隨機數(shù)的特性還原加密密鑰,順藤摸瓜找到了該病毒的漏洞,經(jīng)過多次驗證,確認了該漏洞能夠幫助用戶直接獲取密鑰。而后,知道創(chuàng)宇 404 實驗室對 lucky 勒索病毒進行了概要分析,并著重解析了加密流程以及還原密鑰的過程。

目前知道創(chuàng)宇404實驗室已經(jīng)將解密方法轉(zhuǎn)換為了解密工具,并已發(fā)送給其他廠商幫助用戶直接破解lucky的勒索病毒。不幸感染lucky勒索病毒的用戶可以通過各廠商發(fā)布的解密工具自行破解,如有需要也可聯(lián)系知道創(chuàng)宇404實驗室尋求協(xié)助。知道創(chuàng)宇404實驗室提醒,勒索病毒依然在肆掠,用戶應該對此保持警惕,雖然 lucky 勒索病毒在加密環(huán)節(jié)出現(xiàn)了漏洞,但仍然應該避免這種情況;針對 lucky 勒索病毒利用多個應用程序的漏洞進行傳播的特性,各運維人員應該及時對應用程序打上補丁并及時備份。

? ? ? 知道創(chuàng)宇404實驗室副總監(jiān)隋剛表示,雖然勒索病毒都會采用加密文件的方式達到勒索的目的,但是由于各個勒索病毒的加密算法并不一樣,其他的勒索病毒加密方式還有待破解。不過,此次能夠破解lucky勒索病毒是一個具有開創(chuàng)性的開端,接下來可以更好的總結(jié)思路,舉一反三研究其他勒索軟件的加密方式,解決“勒索病毒無解”這個難題。對普通用戶如何應對勒索病毒的問題,隋剛表示,勒索病毒是一個完整的程序,會隨機產(chǎn)生加密密鑰,密鑰可能還保存在內(nèi)存當中。這時盡量不要慌張而嘗試重啟電腦,重啟電腦會清空可能存在于內(nèi)存中的加密密鑰,對進一步的分析獲取勒索病毒密鑰造成困難。

分享到

xiesc

相關(guān)推薦