在永恒之藍的輔助下,只要一個人不小心打開了包含勒索病毒的文件或是網(wǎng)站,勒索病毒就會迅速感染他的電腦,進而通過永恒之藍入侵并感染與之有關(guān)的所有電腦,WannaCry病毒就此大規(guī)模爆發(fā)了。據(jù)統(tǒng)計數(shù)據(jù)顯示,在短短數(shù)天內(nèi),100多個國家和地區(qū)超過10萬臺電腦遭到了勒索病毒攻擊、感染,W至少150個國家、30萬名用戶中招,造成損失達80億美元,造成的社會影響巨大。

　　除了做好防范措施外,勒索病毒幾乎無解

在勒索病毒大規(guī)模爆發(fā)之后,除了建議用戶備份數(shù)據(jù)及時打補丁、關(guān)閉能夠感染病毒的端口,以及幫助用戶修復永恒之藍系統(tǒng)漏洞外,全球眾多的安全廠商至今還未能拿出能夠行之有效的破解該勒索軟件的方案。用戶主機一旦被勒索軟件滲透,只能通過重裝操作系統(tǒng)的方式來解除勒索行為,但用戶重要數(shù)據(jù)文件幾乎毫無恢復的可能。

此后,包括Genasom、Foreign、NotPetya、Doublelocker在內(nèi)的種類繁多的勒索軟件競相花式登臺,將用戶的電腦按在地面上反復摩擦。但同樣的一點是,安全業(yè)內(nèi)對這些勒索軟件除了幫助用戶修復可能存在的安全漏洞以外,對勒索病毒本身仍然無計可施。

難道勒索病毒就真的所向披靡通殺四方?知道創(chuàng)宇404實驗室:我看未必!

咋勒索病毒四處攻城略地時,國內(nèi)外眾多安全廠商和安全團隊也都著手對勒索病毒展開了研究。可以說誰能夠率先破解勒索病毒,誰就能夠贏得用戶的熱情擁躉,獲得極高的聲望。而曾經(jīng)多次為微軟、蘋果、Adobe、BAT等知名廠商提交漏洞的知道創(chuàng)宇404實驗室也在對勒索病毒保持著密切的關(guān)注。

2018年下半年,一個名為撒旦“Satan”的勒索病毒異?；钴S,曾多次更新并衍生出變種勒索病毒,對國內(nèi)部分服務器進行攻擊。12月1日,一種名為lucky的勒索病毒大肆傳播,該病毒會將指定文件加密并修改后綴名為 .lucky。

知道創(chuàng)宇 404 實驗室的煉妖壺蜜罐系統(tǒng)最早于2018年11月10日就捕捉到該勒索病毒的相關(guān)流量,截止到 2018年12月04日,該病毒的 CNC 服務器依然存活。根據(jù)分析的結(jié)果得知,lucky 勒索病毒幾乎就是 Satan 勒索病毒,整體結(jié)構(gòu)并沒有太大改變,包括 CNC 服務器也沒有更改。Satan 病毒一度變遷:最開始的勒索獲利的方式變?yōu)橥诘V獲利的方式,而新版本的 lucky 勒索病毒結(jié)合了勒索和挖礦。

在了解該勒索病毒的相關(guān)細節(jié)后,知道創(chuàng)宇 404 實驗室迅速跟進并分析了該勒索病毒。在分析該病毒的加密模塊時,知道創(chuàng)宇404實驗室意外發(fā)現(xiàn)可以利用偽隨機數(shù)的特性還原加密密鑰,順藤摸瓜找到了該病毒的漏洞,經(jīng)過多次驗證,確認了該漏洞能夠幫助用戶直接獲取密鑰。而后,知道創(chuàng)宇 404 實驗室對 lucky 勒索病毒進行了概要分析,并著重解析了加密流程以及還原密鑰的過程。

目前知道創(chuàng)宇404實驗室已經(jīng)將解密方法轉(zhuǎn)換為了解密工具,并已發(fā)送給其他廠商幫助用戶直接破解lucky的勒索病毒。不幸感染lucky勒索病毒的用戶可以通過各廠商發(fā)布的解密工具自行破解,如有需要也可聯(lián)系知道創(chuàng)宇404實驗室尋求協(xié)助。知道創(chuàng)宇404實驗室提醒,勒索病毒依然在肆掠,用戶應該對此保持警惕,雖然 lucky 勒索病毒在加密環(huán)節(jié)出現(xiàn)了漏洞,但仍然應該避免這種情況;針對 lucky 勒索病毒利用多個應用程序的漏洞進行傳播的特性,各運維人員應該及時對應用程序打上補丁并及時備份。

xiesc