勒索病毒来袭,做好电脑安全防范工作

来源:万博manbetx官网   作者:杨正怀   发布时间:2017-05-15    点击率:502

勒索病毒 

所属类别 :
词条暂无分类
 

勒索病毒,是一种新型电脑病毒,主要以邮件和恶链木马的形式进行传播。主要通过邮件附件钓鱼邮件群发下载网址链接、用户在恶意站点下载病毒文件以及网页挂马进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用系统内部的加密处理,而且是一种不可逆的加密,必须拿到解密的秘钥才有可能破解。

 
 

基本信息

  • 中文名称

    勒索病毒

  • 外文名称

    Blackmail virus

  • 原理

    利用系统内部的加密处理

 
  • 性质

    不可逆

  • 解密

    病毒开发者本人

  • 警惕程度

    ★★★★☆

 
 

折叠传播途径

勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,利用系统内部的加密处理,是一种不可逆的加密,除了病毒开发者本人,其他人是不可能解密的。加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以js、wsf、vbe等类型为主,隐蔽性极强,对常规依靠特征检测的安全产品是一个极大的挑战。[1]

折叠攻击对象

这种病毒最早针对的是科研人员和公司管理人员,有消息称这个病毒可能是来自俄罗斯,一般赎金要求以比特币形式支付。这种病毒暂时未发现可攻击win10系统。

Ransomeware是目前增长最快的一种网络安全威胁因素,被感染的计算机数据将会被加密。之后,受害者需要支付一定的赎金以获取密码来解锁数据。[2]

该种新的勒索病毒会经由网络连线入侵联网电视中。一旦智能联网电视遭到入侵,将会出现屏幕遭锁定的情况,并且会出现指定汇款的消息。如果受害者支付勒赎款项,才能重新使用该智能联网电视,已经在日本出现超过 300 个案例,而且最常被感染而锁定屏幕的时间达到 28 天,要使用智能联网电视的消费者必须当心。[3]

折叠病毒规律

该类型病毒的目标性强,主要以邮件为传播方式。

勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,将加密公钥写入到注册表中,遍历本地所 有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。

该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。

折叠病毒分析

新型勒索病毒,运行流程复杂,且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为:

1、调用加密算法库;

2、通过脚本文件进行Http请求;

3、通过脚本文件下载文件;

4、读取远程服务器文件;

5、通过wscript执行文件;

6、收集计算机信息;

7、历文件。

折叠样本运行流程

该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成秘钥,进而实现对指定类型的文件进行加密,即无需联网下载秘钥即可实现对文件加密。

同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。[4]

折叠应对方案

根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:

1、通过脚本文件进行Http请求;

2、通过脚本文件下载文件;

3、读取远程服务器文件;

4、收集计算机信息;

5、遍历文件;

6、调用加密算法库。

量防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:

1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;

2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;

3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;

4、升级深信服NGAF到最新的防病毒等安全特征库;

5、升级企业防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;

6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。[5]

折叠主要事件

2017年5月12日,一次迄今为止最大规模的勒索病毒网络攻击席卷全球。据卡巴斯基统计,在过去的十几个小时里,全球共有74个国家的至少4.5万Windows系统电脑中招。而杀毒软件Avast统计的数据更为惊人:病毒已感染全球至少5.7万台电脑,并仍在迅速蔓延中。

美国、中国、日本、俄罗斯、英国等重要国家均有攻击现象发生,其中俄罗斯被攻击得最为严重。而对英国的攻击主要集中在英国国家医疗服务体系(NHS),旗下至少有25家医院电脑系统瘫痪、救护车无法派遣,极有可能延误病人治疗,造成性命之忧。[6]

 

 

 

 

上一篇:关于蜀兴网络教学课程平台学生账号重新生成及投入使用的通知
下一篇:成华区教育局关于开展《网络安全法》宣传教育活动的通知