教你如何应对勒索软件
—通付盾攻防实验室
©通付盾实验室版权所有,欢迎转载 目录 1. 前言 2. 勒索软件基本知识 2.1 勒索软件分类 2.2 主要表现形式 2.3 勒索软件传播方式 3. 勒索软件进化史 4. 近几年典型勒索软件家族分析 4.1 Redplus(Trojan/Win32.Pluder) 4.2 CryptoLocker及其变种 4.3 CTB-Locker 4.4 Petya 5. 国内感染情况 5.1 勒索软件国内国外感染情况统计 5.2 勒索软件活跃度统计 6. 勒索软件发展趋势及变化 7. 防御 7.1 普通用户 7.2 企业用户 7.3 已经遭受勒索软件的用户
1. 前言2015年一名叫约瑟夫.爱德华的17岁中学生因电脑感染了勒索软件而自杀,今年2月份,美国旧金山好莱坞某医疗中心遭黑客攻击,并使用勒索软件锁定了其中的文件,导致不能查看电子病历,甚至连邮件都无法接收,黑客索要340万美元才会提供代码解锁,3月18日Methodist医院同样遭受勒索软件攻击,一次又一次的勒索软件案例不禁让人唏嘘,更让人们意识到勒索软件的威力。古人云谈虎色变,现在谈到勒索软件也会让人变脸,因为很多人中了勒索软件后都束手无策,只能乖乖支付赎金解锁重新获取系统控制权。 那么什么是勒索软件?勒索软件(Ransom Ware)本质上是一种恶意木马,它感染用户计算机或者移动设备后,通常会锁定用户系统或者加密用户数据,使用户数据资产或者系统资源无法正常使用,并以此为条件要挟用户支付赎金。加密的用户数据类型多种多样,包括文档、邮箱、数据库、源代码、图片、压缩文件等等;锁定的系统资源如用户屏幕、硬盘;最后勒索软件都会通过弹窗或文本文件等方式告知用户支付赎金。赎金形式有真实货币、比特币等虚拟货币。通常勒索软件都会设定支付时限,比较恶劣的勒索软件赎金金额会随着时间的推移上涨,有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。本文将从勒索软件的基本知识、勒索软件进化史、典型勒索软件家族分析、国内感染情况、发展趋势、攻击流程及防御方法为您揭晓勒索软件。 2. 勒索软件基本知识2.1 勒索软件分类根据勒索软件所使用的勒索方式,主要分为以下两类: 锁屏类勒索软件(Winlocker)会锁定受害者系统屏幕,影响用户对系统的正常使用,并要求用户支付赎金才能解锁取回系统的控制权。这种勒索软件危害相对较小,因为其对于系统没有任何伤害也不会丢失任何信息。 加密类勒索软件会对包括“.doc”、“.xls”、“.exe”等在内的大多数类型的个人文件进行加密,并采用恐吓、夸张的语言来表达勒索诉求。比如有的恐吓受害者,如果没有在规定时间内支付赎金将删除资料或者赎金翻倍,还有的指责受害者涉嫌非法行为如访问色情网站或非法敏感文档等。加密文件类的勒索软件较前一类勒索软件要险恶得多,因其采用了高强度、复杂的加密算法锁定用户文件,解锁过程非常困难,并且部分受害者在按照要求支付赎金之后还是会面临丢失信息以及二次敲诈的风险。 2.2 主要表现形式勒索软件通常会有如下表现形式: 锁定计算机或移动终端屏幕,使设备无法启动 加密驱动器或一组文件或文件名(doc/xls/ppt),加密通讯录 伪装色情应用或者色情无限弹框 部分恶意勒索软件使用定时器定期删除文件直至支付赎金 无论是锁定屏幕类还是加密数据类,勒索软件的最终目的都是要求用户支付赎金,因此所有勒索软件都会有提示用户支付赎金的信息,信息中会告知支付赎金的金额和方法 勒索软件的传播方式主要有以下这些: 电子邮件附带已感染文件
勒索软件通常会伪装成正常邮件或者起具有诱惑力的标题,吸引用户下载恶意邮件附件。 常见的是用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行;或者用户访问正常页面时无意关闭、点击恶意广告链接导致感染;再比如通过社交软件微信、微博、QQ群、贴吧、网盘发布恶意链接吸引用户下载。 攻击者将正版软件破解后捆绑勒索木马,在各种渠道发布;如某些用户下载抢红包神器装上后导致死机;还有部分情况是用户在安装软件过程中软件捆绑了一些不必要的隐藏链接,在安装软件时部分用户无意将链接激活从而导致感染。 U盘或者移动硬盘感染了勒索软件,在共用的过程中传播 用户在使用电脑过程中,经常会有消息推送说XX软件需要升级,请及时更新的提示,如提示升级Adobo Flash软件引起Cerber病毒感染;还有通过邮件提示升级win10导致CTB-Locker病毒感染。 3. 勒索软件进化史据悉第一款勒索软件出现于1989年,哈佛大学毕业的Joseph L.Popp创建,名为“艾滋病信息木马”(AIDS Trojan)。由于当时很少有人使用电子邮件,所以这款木马程序是通过软盘散布的:在AIDS研讨会后他给与会者发放含有木马程序的软盘。执行后它会修改系统的AUTOEXEC.BAT文件来监控电脑开机了几次,然后在系统第 90 次开机时,它会将系统中所有文件重新命名。接着透过充满威胁的“使用者授权合约 (EULA)”,告知遭到感染的使用者,必须支付赎金 378 美元给 PC Cyborg Corporation。这款勒索软件使用对称加密,解密工具没花多少时间就修复了文件名,但这一举动激发了随后近乎30年的勒索软件工具。 17年后,另一款勒索软件Archievus被发布了。这款勒索软件会把系统中“我的文档”里所有文件都加密,而且加密方式采用了RSA算法,是历史上第一款使用该算法的加密勒索软件,中招后的用户只能从指定网站购买密钥才能解密。 与此同时国内第一款勒索软件Redplus(Trojan/Win32.Pluder)也被发现。该木马会隐藏用户文档,然后弹出勒索窗口,要求支付金额从70元至200元不等。据国家计算机病毒应急处理中心统计,全国各地的该病毒及其变种的感染报告有580多例。这时的勒索软件向不知情的受害者诈取钱财,然而密码其实就在恶意程序中,并未加密。 2011年勒索软件开始接受移动支付机制的赎金付款方式。此时的TROJ_RANSOM.QOWA可将用户的桌面计算机锁住,并在屏幕上显示支付赎金的画面。虽然这个勒索软件的赎金并不庞大,但由于这项攻击行动迅速、受害者数量多,影响并不小,而且此时不法分子学会利用有效的散布管道诱骗用户下载勒索软件。 2012年勒索软件开始利用一些恐吓伎俩,例如REVETON会假冒当地警察,让用户以为自己做了什么违法的事,然后发出带有当地执法机关标志的勒索通知,进行威胁。其受害者遍及欧洲和美国。REVETON家族还会通过遭到入侵的网站来散布,这一点也是勒索软件新增的特点。 而从2013年的CryptoLocker开始,勒索软件进入了新的发展期。CryptoLocker采用两道加密方法,第一道是使用进阶加密标准将受害系统上的文件加密;第二道加密方法是将前述的进阶加密的密钥再次加密,解密密钥掌握在不法分子手中。此款软件不仅能将整台系统锁住而且会将文件加密,除此之外软件的散布方式也有新发展,会利用垃圾邮件和U盘进行散布。 2014年至2015年的勒索软件与以往勒索软件不同的是它使用数字货币比特币来支付。2015年2月,国内出现了一款名为比特币敲诈者(CTB-Locker)的勒索软件,该软件早在2014年中期就在国外流行,针对中国网民的攻击则是从2015年初才密集出现。该款软件主要利用英文邮件传播,受害者大多是企业高管等商务人士,它的一大特点是使用洋葱路由(Tor),通过完全匿名的比特币收取赎金;这些手段都使得勒索者难以被追踪。 2016各种变本加厉的勒索软件遍地开花,传播途径也更加多样化。2月份出现的敲诈者(Locky)以每小时感染德国5300台计算机进入人们的视野,随后传入国内,各大论坛上哭求解决方案的帖子不在少数。除了电子邮件以外,下载器挂马(JS挂马)、执行器挂马(DLL挂马)等各种方式更是防不胜防,包括Flash漏洞也成为敲诈者病毒趁虚而入的通道。而今年4月份被发现的CryptXXX变种勒索病毒通过多种漏洞利用工具包传播(主要是Angler),该病毒一旦侵入进算计,会在电脑中添加启动项,浏览所有文档(后缀为.txt、.doc、.zip等文件)和图片(后缀为.jpg、.png等文件),并将这些文件进行加密,让用户无法打开。加密完成后,程序会弹出对话框对用户进行敲诈,要求用户必须在规定时间之内向病毒作者完成比特币的转账操作,才能找回原始文件。 4. 近几年典型勒索软件家族分析以下是1989年至今发现的勒索病毒列表:
下面我们以几个典型的勒索家族为例,详细介绍其勒索过程,揭开勒索软件的神秘面纱。 4.1 Redplus(Trojan/Win32.Pluder)2006年6月14日国内首例勒索软件Redplus 敲诈者出现,该勒索软件运行后会在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,名为“控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。为了达到勒索的目的,该软件在“开始菜单\所有程序\启动”菜单下建立指向一个文本文件的快捷方式,每次开机时该文本会自动弹出来提醒用户及时汇款,文件内容如下:
当用户按文本提示的方法操作,即点击“修复硬盘资料”,该软件会弹出对话框,要求用户向指定账户汇款。如图:
Redplus 木马的作者欧阳某某于 2007 年在广州落网, 共借助 Redplus 木马勒索款项 95 笔,合计人民币7061.05 元。法院考虑到其自首情节,最终判其有期徒刑 4 年。 4.2 CryptoLocker及其变种2013年9月,国内某安全公司发现了一种名为“CryptoLocker”的勒索软件,这款勒索软软件可以感染大部分的Windows操作系统。 CryptoLocker通常以邮件附件形式分发,执行之后会感染计算机并加密近百种格式文件(包括电子表格、数据库、图片等),并弹出勒索窗口如下图所示:
CryptoLocker木马勒索300美元或300欧元,在 72 小时或 4 天内付款方可对加密的文件进行解密。加密的文件类型如下: *.odt,*.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx,*.xlsm,
*.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf,*.dxg, *.wpd, *.rtf,
*.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe,
img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr,*.kdc, *.erf, *.mef,
*.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef,*.srw, *.x3f, *.der,
*.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c 据统计,从2013年10月27日开始的一周内,有超过12000台电脑被感染,仅在最初的100天时间内,该勒索软件就感染了20万至25万个系统,并让其编写者获得超过2700万的赎金。 2014年5月又发现了另一个勒索程序CryptoWall,它是CryptoLocker的修改版,CryptoWall以类似的手法加密计算机中的重要文件,再借机勒索,台湾、香港等地也开始陆续有灾情传出。CryptoWall通过电子邮件进行传播,电子邮件中夹带一个压缩文件,解压后可以看见一个图示为PDF,但实际上是利用反转字符伪装为PDF文件的.scr文件。如不慎执行了该恶意软件,计算机中的文件将被加密,加密类型凡是.doc、.txt、.eml、.pdf,甚至连2013年CryptoLocker不加密的影音文件如.mp3、.wav...等都是其加密的对象,加密的过程中会产生.7wf的暂存盘,随后原始文件即被删除,留下加密后的文件,并弹出勒索页面,要求受害者至特定网页付款才能解密。 Cryptowall4.0是Crypt后缀病毒的前身(这个作者及其可能是同一个人),国外媒体把这种Crypt后缀的病毒叫做CryptXXX。 CryptXXX 在2016年4月份首次被Proofpoint的安全研究人员发现,从5月11日开始Crypt病毒开始肆虐,该勒索软件通过垃圾邮件或者通过存在安全漏洞的网站散布恶意软件广告。勒索软件CryptXXX的作者与国内某安全公司研究员打起了攻防战,刚出现CryptXXX V1的时候安全研究员将其破解,向受害者提供免费工具去解锁被锁住的重要文件,让受害者不需要去支付高达500美元的赎金(大约1BTC);随后出现CryptXXX的多次变种(CryptXXX V2、CryptXXX V3、CryptXXX V4、 CryptXXX V5)是黑客对破解软件的反击升级。截止2016年5月13日网上已经有解密工具可以恢复任何一个版本的Crypt病毒。 2015年8月针对热门的用户的CryptoLocker变种,TeslaCrypt出现,并在当月由开始的1000以下感染数到28号超过了3500台感染的电脑。能够对用户设备中的游戏文件进行感染,只有向黑客缴纳费用之后才能进行解锁。目前该恶意程序已经感染了包括《我的世界》(MineCraft)、《魔兽世界》(World ofWarcraft)、《星际争霸》(StarCraft)、《坦克世界》(World of Tanks)、《龙腾世纪》(Dragon Age)、《RPG制作大师》(RPG Maker) 及Steam等超过20款游戏,并通过来自网站的偷渡式下载攻击在用户不知情的状况下导向至使用钓鱼攻击工具制成的Flash视频上。一旦它成功进入计算机,它会寻找预定的文件类型,并立即进行加密。可加密的文件包括:.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset,,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png,.jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb。此外,它会在桌面上创建一个被称为help_to_decrypt_your_files.txt (帮你的文件解密)的文件, 并将它与TOR支付系统连接,让人们可以检查他们的支付状态,以及输入解密的密钥。 2016年2月19号德国媒体报道了一款新的变种勒索软件,名为”Locky”。该恶意软件每小时感染德国5300台计算机,在3月7日国家计算机病毒应急处理中心也发现并发布了关于这种病毒的紧急预防通知。 4.3 CTB-Locker2015年1月20日,一种名为“CTB-Locker”的比特币敲诈病毒在国内爆发式传播,相信中过这款勒索软件的朋友一辈子也无法忘记,该病毒通过邮件附件传播,如果用户不小心运行,用户系统中的文档、照片等114中文件会被加密,并在用户桌面显示勒索信息,要求用户在96小时内支付8比特币(约合人民币1万元)赎金,否则将会销毁用户文件。 CTB-Locker攻击流程如下:
下载附件将附件Border_xxxx.cab解压出来后,你会得到一个同名的.scr文件,运行后你的所有文件[文档]就变成了7位随机结尾的加密文件[文档],最后弹出窗体要求支付赎金:
比特币敲诈病毒是当前全球影响较大的勒索软件家族,该家族赎金方式使用洋葱路由Tor, Tor网络是随机匿名并且加密传输的,比特币交易也是完全匿名的,这使得病毒作者难以被追踪到,受害者支付赎金的难度也不小。一旦中招,对大多数人来说只能尝试找回被加密文件“以前的版本”,但前提是系统开启了卷影复制或Windows备份服务,否则很难找回文件。 4.4 Petya2016年3月,网络上出现了一种名为“Petya”的变体勒索软件,它的破坏性比传统的勒索软件更大,以前的勒索软件只会将用户电脑中的某些重要文件加密,然后向用户索要赎金;而Petya可以接管电脑启动进程,将电脑硬盘整个加密。 Petya通过邮件进行传播,攻击者会向目标发送一封看似求职申请的电子邮件,然后引导用户下载该勒索软件。下载后该软件首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,等到加密硬盘数据后出现恶意画面如下:
Petya恶意画面 按任意键后出现勒索信息,要求受害者按照信息提示支付比特币才能解决问题,如果在7天内没有支付431美元赎金,支付费用将会翻一倍
petya勒索界面 5. 国内感染情况5.1 勒索软件国内国外感染情况统计从前面的勒索软件病毒列表可以明显看到2015年勒索软件开始增多,2016年大面积爆发,包括大型企业、政府、银行等所有类型的企业和个人均被波及。相关部门对2015年9月-2016年6月的勒索软件增长情况进行统计研究,发现在监测的时间范围内全球勒索软件传播总数从不足100万增长到1500万,增长了15倍;中国区勒索软件数量从283个增长到18990个,增长超过了67倍,跃升为勒索软件感染最严重的10大国家之一。由此可见勒索软件增长态势日益严峻。以下是中国勒索软件(URL检测)统计结果图表:
中国区勒索软件的增长情况(URL检测)
5.2 勒索软件活跃度统计另外相关部门对2015年到2016年勒索软件的活跃度进行了统计,发现最活跃的四款勒索软件分别是TeslaCrypt、CTB-Locker、Scatter以及Cryakl,它们占据了整个“市场”近80%的份额。
6. 勒索软件发展趋势及变化从前面勒索软件进化史可以看到,早期的勒索软件技术并不是一出现就能锁定用户屏幕或者直接加密用户数据,勒索软件的发展与勒索软件的对抗攻防是一个持续、不断优化的过程,随着攻防手段的完善,新一代的勒索软件也采用了高级分发与开放技术,通过采用预置基础设施的方式可以大范围轻易传播新变种,通过加壳技术使勒索软件更难被逆向,未来的勒索软件可能还是会聚焦于加密及传播方面取得新突破。 2013年后勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式。比特币(一种虚拟货币,可兑换成大多数国家的货币)的出现改变了传统电汇、预付卡、短信服务、或者移动支付接收赎金的方法,由于比特币是以匿名付款的,因此勒索者不必担心被追捕。因此可以说,虚拟货币的出现加速了勒索软件的泛滥。 值得注意的是,最初勒索软件的攻击目标多为家庭据数据统计,目前个人消费者仍然是勒索软件的主要攻击目标(%57),但针对企业用户的勒索软件攻击从2014至2015的6.8%,增至2015至2016的13.13%,由此可看出以企业为攻击目标的勒索软件正在快速且稳步地增长。 以前的勒索软件攻击目标是锁定电脑终端或者加密电脑中的文件,随着消费市场的发展趋势,勒索软件也逐渐渗透到移动设备,现在伴随着物联网的发展已经侵入智能家居、智能汽车等领域,越来越多的智能设备接入互联网,可以预见物联网将成为勒索软件的新战场。 7. 防御前面已经介绍了勒索软件的传播方式及感染特征,为避免遭受勒索软件的威胁,通付盾安全工程师总结出了一套有效的勒索软件防护措施: 7.1 普通用户对非信任源的邮件保持警惕,避免打开附件或者点击邮件中的链接 不要轻易点击未知来源的网页、广告,除非能够确认该链接导向的是无害的网站 无论是PC端还是移动端,下载软件、程序应尽量到官方网站下载 及时备份重要文件,这样即使遭受勒索软件也不至于重要文件丢失 及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机 给电脑或者手机安装杀毒软件并定时更新,及时扫描系统 给信任网站添加书签并通过书签访问
对于企业用户来说,应采用多层防护措施,从监控预警、防御保护、应急响应、安全审计几个步骤入手方能有效治理。 没有监控就没办法保证安全。攻击者往往选择合适的时间合适的方式作案,如果大家的营业时间固定为朝九晚五,且夜间无人看守整套业务体系,那么攻击者很可能利用这段空白时间借助恶意bug侵入IT基础设施,因此持续的监控是有必要的。应对系统进行24X7全天候监控,对用户的行为、网页点击及恶意程序特征进行有效检测、鉴定,及时发现恶意程序及不安全行为并给出警告。 企业应结合自身实际制定相应的勒索软件防护措施,例如勒索软件通常是通过邮件传播,可以通过设置邮件网关阻止勒索软件通过邮件途径进入到网络;企业还应隔离网段避免交叉感染;此外终端是勒索软件的多发地,可以在终端上安装杀毒软件、采用沙盒等方法降低勒索软件发生的概率;还有对于重要的数据应定期备份并定期检查备份数据的可复原性,应尽量将数据备份在脱离网络的存储中;另外人是安全链中最薄弱的环节,保持警惕之心是降低损失的最佳方法,企业应通过勒索软件案例对员工进行培训,不断提高员工安全防范意识。 建立专门的应急响应小组,可以在勒索软件攻击发生时协助企业应对勒索软件并恢复企业网络、数据,同时将病毒样本、处理方法及防范措施整理归档,便于日后不断完善监控、检测方案。 安全审计能够对已经发生的勒索软件攻击事件进行追查,确定勒索软件攻击类型、感染源、感染范围、感染时长、是否对所有设备都移除了勒索软件,以评估此次勒索软件攻击事件对企业造成的损失。 7.3 已经遭受勒索软件的用户对于已经或者正在遭受勒索软件感染的用户,可以根据勒索页面特征简单判断是何种勒索软件,现在很多勒索软件市面上都有免费的破解工具,我们通付盾工程师也整理出了部分勒索软件及其对应的解密工具,具体详见文章末尾的表格;自己确实搞不定的情况下怎么办那?别慌,可以联系我们通付盾安全工程师,通过我们工程师的力量为您分忧解难,帮您拿回系统控制权或者解密重要文件。
附1:已知勒索软件及其解密工具 勒索病毒名称 | | | | | | | | | .vvv
.ccc
.zzz
.aaa
.abc
.xyz | | | | | | | | | | | | | | | | | | | | | | | | | | | | .encrypted
.FuckYourData
.Encryptedfile
.SecureCrypted | | | | | | | | | | | | | | | | | | | | | | | | | | | | | Rakhni | .locked
.kraken
.darkness | | | Aura | | Autoit | | Pletor | | Rotor | | Lamer | | Lortok | | | | Democry | | Rannoh | | | | Fury | | Crybola | | Cryakl | | CTB-locker | | | .vscrypt
.infected
.bloc
.korrektor | | | Crypt888 | | | | | | | | | | 8lock8 | |
附2:参考资料 http://www.antiy.com/response/ransomware.html http://netsecurity.51cto.com/art/201502/465600.htm http://wenku.baidu.com/link?url=0ItS0DfcN9ly6sBtjla7BSfzYeen-FHf6AW1dp9qGJO8lZ93anDZwiPeLUsHkAiyzv7-qHtog1si6lFKmTgQDycU6sj983ixe1s3tWsSwie http://blogs.360.cn/blog/ctb-locker/ http://www.codesec.net/view/168568.html http://www.doc88.com/p-4754136207397.html http://www.duorenwei.com/news/2711.html http://ransomwarehunter.lofter.com/ http://tech.qq.com/a/20160329/002910.htm http://sec.chinabyte.com/267/13835767.shtml http://toutiao.com/i6311108018159223297/ http://news.watchstor.com/industry-156348.htm http://sec.chinabyte.com/110/13863110.shtml http://security.pconline.com.cn/829/8290980.html
|