速览丨勒索软件“简史”

2017-05-14 15:23 来源:光明网 
2017-05-14 15:23:52来源:光明网作者:责任编辑:杨煜

  “蠕虫病毒惊魂记”系列报道

  自1989年勒索软件出现至今,已有近三十年的历史,漫长的岁月不但没有使其逐渐消亡,反而愈演愈烈。从最初的伪装反病毒软件到勒索比特币,再到开始感染不同平台,不断进行开发与更新,如今勒索软件已然呈爆发性增长,成为不可小觑的威胁。本文我们将回顾以往关于勒索软件的内容,并结合2016年至今勒索软件发生的新变化,更加系统和深入地带领读者认识勒索软件。

速览丨勒索软件“简史”

  (一)何谓勒索软件

  勒索软件(Ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。

  赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨;有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。

  随着互联网的迅速发展,一些非法分子利用网络匿名的特性,通过比特币的交易形式开始了一些不为人知的非法交易。匿名支付的网络特性在一定程度上为不法分子通过比特币进行的交易给予了很大的支撑。

  (二)主要传播手段

  勒索软件的传播手段主要以成本较低的邮件传播为主。同时,也有针对医院类特定组织的攻击,通过入侵组织内部的服务器,使用批量脚本及其勒索软件负载的简单组合,通过半自动化的方式向网络中散播勒索软件。随着人们对勒索软件的警惕性提高,勒索者也增加了其他的传播渠道,具体的传播方式如下:

  ●邮件传播:攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件,一旦收件人打开邮件附件或者点击邮件中的链接地址,勒索软件会以用户看不见的形式在后台静默安装,实施勒索;

  ●漏洞传播:当用户正常访问网站时,攻击者利用页面上的恶意广告验证用户的浏览器是否有可利用的漏洞。如果存在,则利用漏洞将勒索软件下载到用户的主机;

  ●捆绑传播:与其他恶意软件捆绑传播;

  ●僵尸网络传播:一方面僵尸网络可以发送大量的垃圾邮件,另一方面僵尸网络为勒索软件即服务(RaaS)的发展起到了支撑作用;

  ●可移动存储介质、本地和远程的驱动器(如C盘和挂载的磁盘)传播:恶意软件会自我复制到所有本地驱动器的根目录中,并成为具有隐藏属性和系统属性的可执行文件;

  ●文件共享网站传播:勒索软件存储在一些小众的文件共享网站,等待用户点击链接下载文件;

  ●网页挂马传播:当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行;

  ●社交网络传播:勒索软件以社交网络中的.JPG图片或者其他恶意文件载体传播。

速览丨勒索软件“简史”

  (三)勒索软件的演进

  1.最早的勒索软件

  已知最早的勒索软件出现于1989年,是由哈佛大学毕业的Joseph Popp创建。该勒索软件发作后,C盘的全部文件名也会被加密(从而导致系统无法启动)。此时,屏幕将显示信息,声称用户的软件许可已经过期,要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去189美元,以解锁系统。作者在被起诉时曾为自己辩解,称其非法所得费用用于艾滋病研究。该木马采取的方式为对称加密,解密工具很快可恢复文件名称,但该恶意代码开启了近30年的勒索软件攻击。

  2.加密用户文件的勒索软件

  2005年出现了一种加密用户文件的木马(Trojan/Win32.GPcode)。该木马在被加密文件的目录下生成,具有警告性质的txt文件,要求用户购买解密程序。所加密的文件类型包括:.doc、.html、.jpg、.xls、.zip及.rar。

  3.首次使用RSA加密的勒索软件

  Archievus是在2006年出现的勒索软件,勒索软件发作后,会对系统中“我的文档”目录中所有内容进行加密,并要求用户从特定网站购买来获取密码解密文件。它在勒索软件的历史舞台上首次使用RSA加密算法。RSA是一种非对称加密算法,让加密的文档更加难以恢复。

  4.国内首个勒索软件

  2006年出现的Redplus勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。。

  5.最早出现的Android平台勒索软件家族

  2014年4月下旬,勒索软件陆续出现在以Android系统为代表的移动终端,而较早出现的为Koler家族(Trojan[rog,sys,fra]/Android.Koler)。该家族主要行为是:在用户解锁屏及运行其它应用时,会以手机用户非法浏览色情信息为由,反复弹出警告信息,提示用户需缴罚款,从而向用户勒索高额赎金。

  6.首例Linux平台勒索软件

  俄罗斯杀毒软件公司Doctor Web的研究人员发现了一种新的勒索软件,命名为Linux.Encoder.1,该勒索软件是针对Linux系统的恶意软件。这个Linux恶意软件使用C语言编写,它启动后作为一个守护进程来加密数据,以及从系统中删除原始文件,使用AES-CBC-128对文件加密之后,会在文件尾部加上“.encrypted”扩展名。

速览丨勒索软件“简史”

  (四)防御:我该做什么

  1.解密方法

  目前,勒索软件多采用非对称加密方式,除使用攻击者提供的密钥外,破解密码的可能性几乎为零。现有的勒索软件解密工具主要是通过以下几个方式获得密钥,恢复被加密的文件:

  ●研究人员通过逆向分析,发现勒索软件执行上的逻辑漏洞,根据漏洞获得加密密钥或者跳过密钥直接解密文档。

  ●有些勒索软件保存解密密钥的服务器被当地警方发现,警方在服务器中找到了大量密钥。警方与一些技术公司合作,根据从服务器中取出的解密密钥制作了相应的解密工具。

  ●勒索软件保存密钥的服务器被安全厂商反制,在取得服务器权限后,将服务器内的密钥导出制作成相应勒索软件的解密工具。

  ●解密密钥被其他竞争对手泄露或是勒索软件作者主动将密钥交出。

  ●一些勒索软件加密算法复杂程度较低,加密过程照搬其他现有的加密算法或者只做小部分修改,使得研究人员可以编写程序暴力破解,计算出对应的解密密钥。

  ●密钥在上传的过程中没有使用加密的通讯协议,被技术人员截获解密密钥。

  2.预防勒索软件的部分安全建议

  为了避免受到勒索软件的威胁,针对不同用户给出如下建议:

  ● PC用户

  及时备份重要文件,且文件备份应与主机隔离;及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机;尽量避免打开社交媒体分享的来源不明的链接,给信任网站添加书签并通过书签访问;对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;定期用反病毒软件扫描系统,如杀毒软件有启发式扫描功能,可使用该功能扫描计算机。

  ● Android平台的移动终端用户

  安装手机杀毒软件(比如LBE安全大师、安天AVL Pro等);由可靠的安卓市场下载手机应用程序;尽量少或者不访问博彩、色情等潜在危险程度较大的网站。

  3.针对个人用户的勒索软件解决方案

  ● PC用户

  高强度加密方式绑架用户数据的勒索软件一旦感染主机,将对用户的数据安全构成严重威胁,所以,良好的安全意识和预防工作就显得非常重要。如果个人用户不慎感染勒索软件,且没有做好数据备份,则可根据勒索软件特性,如勒索界面、加密文件名等特征在网络中查找是否有相应解密工具。

  ●已经受到勒索软件感染的移动终端用户

  对于感染勒索软件的移动终端用户来说,可采取以下方法删除恶意程序:如果手机已root并开启USB调度模式,可进入adb shell后直接删除恶意应用;如果是利用系统密码进行锁屏,部分手机可尝试利用找回密码功能;可进入手机安全模式删除恶意应用程序。

  (内容来源于《中国信息安全》、安天公众号等 记者李政葳整理)

[责任编辑:杨煜]

[值班总编推荐] 爱狗人士的广场舞

[值班总编推荐] 刚刚开始的数据时代

[值班总编推荐] 马克龙能否让美欧“握手言和”

手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明员工 | 光明网邮箱 | 网站地图

光明网版权所有

立即打开