勒索病毒,今年無疑將再次登上年度網(wǎng)絡(luò)安全熱詞Top10榜單,細(xì)數(shù)近兩年來勒索病毒的罪狀,堪稱罄竹難書。就連國內(nèi)頂級(jí)互聯(lián)網(wǎng)公司,提起花樣繁多的勒索病毒來也十分頭疼。12月初,“微信勒索病毒”、“支付寶勒索病毒”甫一開始傳播,就嚇得微信和支付寶立馬跑出來發(fā)聲明撇清關(guān)系。在年末各國發(fā)布的網(wǎng)絡(luò)安全白皮書中也都提到,2019年勒索病毒仍然是重災(zāi)區(qū)。面對如蝗蟲一般不斷來襲的勒索病毒,難道真的只能退避三舍?

　　從“WannaCry勒索病毒”到“微信勒索病毒”,勒索病毒為何一發(fā)不可收拾?

細(xì)究勒索病毒歷史,最早的勒索病毒出現(xiàn)在1989年,名為“AIDS Trojan”意為艾滋病特洛伊木馬,象征一旦感染了這個(gè)木馬病毒,就如同艾滋病一般幾乎無法治愈。艾滋病特洛伊木馬采用加密文件或是進(jìn)一步威脅公開用戶隱私等方式,惡意利用代碼干擾計(jì)算機(jī)正常使用,而繳納贖金是唯一擺脫它的方式。綁架勒索,賺取贖金向來是社會(huì)惡勢力分子常用手段,而在互聯(lián)網(wǎng)世界中,勒索病毒更是無往不利。但是歸根結(jié)底,勒索病毒只能點(diǎn)對點(diǎn)的攻擊單個(gè)目標(biāo)計(jì)算機(jī),并未造成大范圍影響。

但勒索病毒真正肆虐則是在2017年,一個(gè)名為“The Shadow Brokers”的黑客組織入侵了美國NSA下屬的方程式黑客組織后,公開了方程式組織的大量攻擊工具的開源文件,其中就包含了一個(gè)超級(jí)大殺器——號(hào)稱可以遠(yuǎn)程攻破全球約70%Windows機(jī)器的漏洞利用工具永恒之藍(lán)(Eternal Blue)。永恒之藍(lán)是疑似美國NSA針對CVE-2017-(0143~0148)數(shù)個(gè)漏洞開發(fā)的漏洞利用工具,可以通過利用Windows SMB協(xié)議的漏洞來遠(yuǎn)程執(zhí)行代碼,并提升自身至系統(tǒng)權(quán)限。

勒索病毒加密原理

在永恒之藍(lán)的輔助下,只要一個(gè)人不小心打開了包含勒索病毒的文件或是網(wǎng)站,勒索病毒就會(huì)迅速感染他的電腦,進(jìn)而通過永恒之藍(lán)入侵并感染與之有關(guān)的所有電腦,WannaCry病毒就此大規(guī)模爆發(fā)了。據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,在短短數(shù)天內(nèi),100多個(gè)國家和地區(qū)超過10萬臺(tái)電腦遭到了勒索病毒攻擊、感染,W至少150個(gè)國家、30萬名用戶中招,造成損失達(dá)80億美元,造成的社會(huì)影響巨大。

　除了做好防范措施外,勒索病毒幾乎無解

在勒索病毒大規(guī)模爆發(fā)之后,除了建議用戶備份數(shù)據(jù)及時(shí)打補(bǔ)丁、關(guān)閉能夠感染病毒的端口,以及幫助用戶修復(fù)永恒之藍(lán)系統(tǒng)漏洞外,全球眾多的安全廠商至今還未能拿出能夠行之有效的破解該勒索軟件的方案。用戶主機(jī)一旦被勒索軟件滲透,只能通過重裝操作系統(tǒng)的方式來解除勒索行為,但用戶重要數(shù)據(jù)文件幾乎毫無恢復(fù)的可能。

此后,包括Genasom、Foreign、NotPetya、Doublelocker在內(nèi)的種類繁多的勒索軟件競相花式登臺(tái),將用戶的電腦按在地面上反復(fù)摩擦。但同樣的一點(diǎn)是,安全業(yè)內(nèi)對這些勒索軟件除了幫助用戶修復(fù)可能存在的安全漏洞以外,對勒索病毒本身仍然無計(jì)可施。

Petya勒索病毒勒索界面          

難道勒索病毒就真的所向披靡通殺四方?知道創(chuàng)宇404實(shí)驗(yàn)室:我看未必!

咋勒索病毒四處攻城略地時(shí),國內(nèi)外眾多安全廠商和安全團(tuán)隊(duì)也都著手對勒索病毒展開了研究?？梢哉f誰能夠率先破解勒索病毒,誰就能夠贏得用戶的熱情擁躉,獲得極高的聲望。而曾經(jīng)多次為微軟、蘋果、Adobe、BAT等知名廠商提交漏洞的知道創(chuàng)宇404實(shí)驗(yàn)室也在對勒索病毒保持著密切的關(guān)注。

2018年下半年,一個(gè)名為撒旦“Satan”的勒索病毒異常活躍,曾多次更新并衍生出變種勒索病毒,對國內(nèi)部分服務(wù)器進(jìn)行攻擊。12月1日,一種名為lucky的勒索病毒大肆傳播,該病毒會(huì)將指定文件加密并修改后綴名為 .lucky。

Lucky勒索病毒勒索界面

知道創(chuàng)宇 404 實(shí)驗(yàn)室的煉妖壺蜜罐系統(tǒng)最早于2018年11月10日就捕捉到該勒索病毒的相關(guān)流量,截止到 2018年12月04日,該病毒的 CNC 服務(wù)器依然存活。根據(jù)分析的結(jié)果得知,lucky 勒索病毒幾乎就是 Satan 勒索病毒,整體結(jié)構(gòu)并沒有太大改變,包括 CNC 服務(wù)器也沒有更改。Satan 病毒一度變遷:最開始的勒索獲利的方式變?yōu)?a href='http://www.qzkangyuan.com/news/47513.html' target='_blank'>挖礦獲利的方式,而新版本的 lucky 勒索病毒結(jié)合了勒索和挖礦。

lucky 勒索病毒的整體結(jié)構(gòu)圖