中了敲诈者病毒,文件恢复有可能吗?你长着一张被勒索木马敲诈的脸?| 硬创公开课
|
到 2016 年,这个木马已经开始在国内大范围传播了,很多普通用户计算机因为访问挂马网页也造成感染。我们在今年 8 月开始推出“360 反勒索”服务,给用户承诺,开启这个服务后,如果正常开启我们的防护功能,仍然被敲诈者木马感染的话,我们帮用户支付赎金解密文档。 这个服务刚开的时候,我们压力还是很大的,当时一个比特币 4000 多人民币(现在已经涨到 5000 多了),我们承诺给用户最多赔付 3 个比特币,也就是 1.2 万。当时一天对这个木马有 1 万多次的拦截,如果没防住,可能一天就得赔出去几十万上百万去。我们陆续开始收到一批批反馈,结果发现中招用户很大一部分是裸奔用户,一直认为杀毒软件无用,平时机器都是裸奔状态,结果中招了,后悔莫及。 也有用户给我们提了不少建议,比如前不久有一位用户说:“那个木马确实拦截了,但是没看出来我们拦截的这玩意会加密他的文件”,所以他就给放了。用户给我们的反馈,也帮我们完善了产品,保护了更多用户不受伤害。 只要这类攻击仍然有利可图,这些攻击者就会继续对抗下去,我们和他们的攻防战争就不会停。 二、你长了一张被勒索木马敲诈的脸 1.勒索木马有针对特定国家感染吗?国内和国外诞生的勒索木马有什么不一样?王亮:有部分勒索木马是针对特定国家的,比如, Cerber 会避开俄语国家,XTBL主要针对中日韩。国内和国外的勒索木马很多是使用相同的技术手段,只是在传播方式和渠道上有所不同。不过国内出现过一些比较“本土化”的勒索木马属于黑客新人练手的作品,可能会显得比较另类,有些甚至留下QQ号敲诈Q币,这些木马很多并没有使用规范的加密方式,很大一部分可以通过技术手段破解。 比如,这款敲诈者就将密钥保存到了本地,详情请见:《分享一款失败的国产加密勒索软件》 这里还有一个 php 编写的敲诈者,为了能够正常执行,本地还带了一个 php 的执行器,但是在加密上其实只是进行了异或操作,留给用户的信息谎称使用的 RSA 结合 AES 加密,详情请见:《用世界上最好的编程语言写成的敲诈者木马》。 2.勒索木马到底是怎么瞄上受害者,又成功潜入受害者的电脑、手机……的?真的有人长着一张受害者的脸吗?王亮:勒索木马主要的传播途径有两种:一类是通过网页挂马,这类木马属于撒网抓鱼式的传播,并没有特定的针对性,这类受害用户主要是裸奔用户,常年裸奔自认为很安全,哪成想一不留神打开一个网页甚至什么都没做就中招了。而另一类则是通过邮件传播,这类传播方式的针对性较强,主要瞄准公司企业,各类单位和院校,他们最大的特点是电脑中的文档往往不是个人文档,而是公司文档。这样文档一旦被加密,其损失往往不是个人能够承担的,无论是员工为了保住饭碗还是公司为了保住业务,都会更倾向于交付赎金减少损失。 另外,有别于以上两种途径,最近第三种传播途径又逐渐形成趋势——服务器入侵。黑客通过一些技术手段进入服务器,然后加密服务器上的文档和程序,使服务器的拥有者遭受巨大的损失,这类传播途径针对的情况与邮件传播类似,最终目的都是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。 3.可以图文详解一下他们的加密技术吗?王亮:一般来说,敲诈者的加密流程如下: 1.生成一组随机数,用于文件加密的密钥。 2.使用这组随机数做为密钥,加密文件。 3.通过非对称加密,加密这组随机数,并保存,解密时使用。 4.保存使用的非对称加密密钥相关信息,以备解密时核对使用。 敲诈者对文件的加密强度,很大程度上就是其使用加密算法的“正确程度”。 敲诈者木马常犯的几个错误有: 1.随机数生成不随机,我们就可以绕过整个繁琐的过程,直接对文件解密。 2.错误的存储密钥和 hash 值,依靠这些错误存储的hash值,我们可以加快破解流程到一个可接受的范围内。 3.错误的套用加密算法和保存数据。这也是一个很常见的问题,比如使用RSA时,有木马将p和q直接存储到了本地,造成 RSA 的安全性丧失。 4.文件操作是否合理。比如有木马直接通过写入一个新文件,删除老文件的方法,进行加密。此时通过文件恢复工具,能够恢复部分文件。 以最近捕获的“ XTBL ”样本为例进行分析,解释一下这个过程。和大部分敲诈者木马相似,“ XTBL ”敲诈者木马解密数据段的数据,创建本进程另一实例作为“傀儡”进程进行进程替换,以达到运行 shellcode 的目的。程序主要由五大功能模块组成。包含 API 字符串的解密及地址获取,启动项的添加,删除卷影,发送服务器信息以及加密文件。
五大功能模块 API 名称加密与动态获取地址,是为了对抗杀毒引擎的查杀,对于纯静态引擎来说,纯 shellcode 的恶意代码就是一个黑盒,这样可以多到一定程度的免杀。 加密前写入启动项,是为了防止加密过程中关机,下次开机后可以继续加密,如果加密完成,这个启动项会被删除。 在进行加密之前,程序会删除卷影备份。防止用户通过系统恢复来恢复数据。 值得一提的是,“ XTBL ”敲诈者使用管道来传递命令行,这和“ Ceber ”系列敲诈者使用方法相同,而通过“ mode con select=1251 ”命令行设置 MS-DOS 显示为西里尔语可能与作者来自俄罗斯有关。 完成以上准备工作之后,程序产生两组密钥块,其中一组用于本地文件加密,另一组用于网络共享资源文件加密。
产生两组密钥 密钥块大小为 184 字节,前 32 字节存放 RC4 加密后的随机数密钥,该密钥用于之后加密文档。为了加强随机数的随机性,程序以系统时间作种生成随机数作为循环次数,每次异或地址 0x4326F0 的值与系统时间后求其 SHA-1 值,并将最终所得随机数经 RC4 加密得到密钥。
产生RC4加密的随机数密钥 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
