但勒索病毒真正肆虐則是在2017年,一個(gè)名為“The Shadow Brokers”的黑客組織入侵了美國(guó)NSA下屬的方程式黑客組織后,公開(kāi)了方程式組織的大量攻擊工具的開(kāi)源文件,其中就包含了一個(gè)超級(jí)大殺器——號(hào)稱可以遠(yuǎn)程攻破全球約70%Windows機(jī)器的漏洞利用工具永恒之藍(lán)(Eternal Blue)��。永恒之藍(lán)是疑似美國(guó)NSA針對(duì)CVE-2017-(0143~0148)數(shù)個(gè)漏洞開(kāi)發(fā)的漏洞利用工具,可以通過(guò)利用Windows SMB協(xié)議的漏洞來(lái)遠(yuǎn)程執(zhí)行代碼,并提升自身至系統(tǒng)權(quán)限��。
勒索病毒加密原理
在永恒之藍(lán)的輔助下,只要一個(gè)人不小心打開(kāi)了包含勒索病毒的文件或是網(wǎng)站,勒索病毒就會(huì)迅速感染他的電腦,進(jìn)而通過(guò)永恒之藍(lán)入侵并感染與之有關(guān)的所有電腦,WannaCry病毒就此大規(guī)模爆發(fā)了���。據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,在短短數(shù)天內(nèi),100多個(gè)國(guó)家和地區(qū)超過(guò)10萬(wàn)臺(tái)電腦遭到了勒索病毒攻擊、感染,W至少150個(gè)國(guó)家����、30萬(wàn)名用戶中招,造成損失達(dá)80億美元,造成的社會(huì)影響巨大。
除了做好防范措施外,勒索病毒幾乎無(wú)解
在勒索病毒大規(guī)模爆發(fā)之后,除了建議用戶備份數(shù)據(jù)及時(shí)打補(bǔ)丁�����、關(guān)閉能夠感染病毒的端口,以及幫助用戶修復(fù)永恒之藍(lán)系統(tǒng)漏洞外,全球眾多的安全廠商至今還未能拿出能夠行之有效的破解該勒索軟件的方案���。用戶主機(jī)一旦被勒索軟件滲透,只能通過(guò)重裝操作系統(tǒng)的方式來(lái)解除勒索行為,但用戶重要數(shù)據(jù)文件幾乎毫無(wú)恢復(fù)的可能�����。
此后,包括Genasom����、Foreign�����、NotPetya�、Doublelocker在內(nèi)的種類繁多的勒索軟件競(jìng)相花式登臺(tái),將用戶的電腦按在地面上反復(fù)摩擦。但同樣的一點(diǎn)是,安全業(yè)內(nèi)對(duì)這些勒索軟件除了幫助用戶修復(fù)可能存在的安全漏洞以外,對(duì)勒索病毒本身仍然無(wú)計(jì)可施��。
Petya勒索病毒勒索界面
難道勒索病毒就真的所向披靡通殺四方?知道創(chuàng)宇404實(shí)驗(yàn)室:我看未必!
咋勒索病毒四處攻城略地時(shí),國(guó)內(nèi)外眾多安全廠商和安全團(tuán)隊(duì)也都著手對(duì)勒索病毒展開(kāi)了研究�����?���?梢哉f(shuō)誰(shuí)能夠率先破解勒索病毒,誰(shuí)就能夠贏得用戶的熱情擁躉,獲得極高的聲望。而曾經(jīng)多次為微軟�、蘋(píng)果、Adobe�����、BAT等知名廠商提交漏洞的知道創(chuàng)宇404實(shí)驗(yàn)室也在對(duì)勒索病毒保持著密切的關(guān)注。
2018年下半年,一個(gè)名為撒旦“Satan”的勒索病毒異?�;钴S,曾多次更新并衍生出變種勒索病毒,對(duì)國(guó)內(nèi)部分服務(wù)器進(jìn)行攻擊�。12月1日,一種名為lucky的勒索病毒大肆傳播,該病毒會(huì)將指定文件加密并修改后綴名為 .lucky。
Lucky勒索病毒勒索界面
知道創(chuàng)宇 404 實(shí)驗(yàn)室的煉妖壺蜜罐系統(tǒng)最早于2018年11月10日就捕捉到該勒索病毒的相關(guān)流量,截止到 2018年12月04日,該病毒的 CNC 服務(wù)器依然存活��。根據(jù)分析的結(jié)果得知,lucky 勒索病毒幾乎就是 Satan 勒索病毒,整體結(jié)構(gòu)并沒(méi)有太大改變,包括 CNC 服務(wù)器也沒(méi)有更改�。Satan 病毒一度變遷:最開(kāi)始的勒索獲利的方式變?yōu)橥诘V獲利的方式,而新版本的 lucky 勒索病毒結(jié)合了勒索和挖礦。
lucky 勒索病毒的整體結(jié)構(gòu)圖
在了解該勒索病毒的相關(guān)細(xì)節(jié)后,知道創(chuàng)宇 404 實(shí)驗(yàn)室迅速跟進(jìn)并分析了該勒索病毒��。在分析該病毒的加密模塊時(shí),知道創(chuàng)宇404實(shí)驗(yàn)室意外發(fā)現(xiàn)可以利用偽隨機(jī)數(shù)的特性還原加密密鑰,順藤摸瓜找到了該病毒的漏洞,經(jīng)過(guò)多次驗(yàn)證,確認(rèn)了該漏洞能夠幫助用戶直接獲取密鑰�����。而后,知道創(chuàng)宇 404 實(shí)驗(yàn)室對(duì) lucky 勒索病毒進(jìn)行了概要分析,并著重解析了加密流程以及還原密鑰的過(guò)程����。
目前知道創(chuàng)宇404實(shí)驗(yàn)室已經(jīng)將解密方法轉(zhuǎn)換為了解密工具,并已發(fā)送給其他廠商幫助用戶直接破解lucky的勒索病毒。不幸感染lucky勒索病毒的用戶可以通過(guò)各廠商發(fā)布的解密工具自行破解,如有需要也可聯(lián)系知道創(chuàng)宇404實(shí)驗(yàn)室尋求協(xié)助����。知道創(chuàng)宇404實(shí)驗(yàn)室提醒,勒索病毒依然在肆掠,用戶應(yīng)該對(duì)此保持警惕,雖然 lucky 勒索病毒在加密環(huán)節(jié)出現(xiàn)了漏洞,但仍然應(yīng)該避免這種情況;針對(duì) lucky 勒索病毒利用多個(gè)應(yīng)用程序的漏洞進(jìn)行傳播的特性,各運(yùn)維人員應(yīng)該及時(shí)對(duì)應(yīng)用程序打上補(bǔ)丁并及時(shí)備份。
? ? ? 知道創(chuàng)宇404實(shí)驗(yàn)室副總監(jiān)隋剛表示,雖然勒索病毒都會(huì)采用加密文件的方式達(dá)到勒索的目的,但是由于各個(gè)勒索病毒的加密算法并不一樣,其他的勒索病毒加密方式還有待破解��。不過(guò),此次能夠破解lucky勒索病毒是一個(gè)具有開(kāi)創(chuàng)性的開(kāi)端,接下來(lái)可以更好的總結(jié)思路,舉一反三研究其他勒索軟件的加密方式,解決“勒索病毒無(wú)解”這個(gè)難題。對(duì)普通用戶如何應(yīng)對(duì)勒索病毒的問(wèn)題,隋剛表示,勒索病毒是一個(gè)完整的程序,會(huì)隨機(jī)產(chǎn)生加密密鑰,密鑰可能還保存在內(nèi)存當(dāng)中�。這時(shí)盡量不要慌張而嘗試重啟電腦,重啟電腦會(huì)清空可能存在于內(nèi)存中的加密密鑰,對(duì)進(jìn)一步的分析獲取勒索病毒密鑰造成困難。
