勒索病毒案例介紹
勒索病毒可以導(dǎo)致重要文件無法讀取,關(guān)鍵數(shù)據(jù)被損壞,給用戶的正常工作帶來了極為嚴(yán)重的影響。這種病毒利用各種加密算法對文件進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。下面就是CN人才網(wǎng)為您精心整理的勒索病毒案例介紹,希望可以幫到您。
勒索病毒案例介紹一
不斷變換作案手法的敲詐者病毒木馬令用戶越來越難以察覺。近日,騰訊電腦管家安全感知系統(tǒng)發(fā)現(xiàn),備受開發(fā)者青睞的網(wǎng)站搭建平臺WordPress被大范圍攻陷,致使用戶在Chrome或Chrome內(nèi)核瀏覽器中打開部分使用WordPress平臺搭建的網(wǎng)站時出現(xiàn)亂碼,并提示需要下載字體更新程序并執(zhí)行后才能正常訪問。一旦用戶點擊下載更新,植入其中的新型敲詐者病毒Spora便會自動運行,將所有用戶文件加密。目前,騰訊電腦管家已經(jīng)可以全面攔截該病毒木馬。
騰訊電腦管家安全專家在深入分析了被攻陷網(wǎng)站之后,還原了此次病毒作案的始末:此次攻擊系臭名昭著的“EITest”惡意軟件活動所為,已發(fā)現(xiàn)不法分子攻陷了Wordpress框架的網(wǎng)站之后,在該網(wǎng)站正常的頁面代碼末尾添加JavaScript代碼,致使該頁面在用戶訪問時出現(xiàn)亂碼,然后提示下載字體更新程序并執(zhí)行后才能正常訪問。下面可以看到這個代碼在源代碼中的樣子。
當(dāng)訪問者訪問此頁面時,腳本將干擾頁面的文本,使其出現(xiàn)亂碼:
隨后彈出一個警告窗口,指出該頁面因為缺少“HoeflerText”字體無法正確顯示,同時提示點擊Update按鈕從而下載該Chrome字體包。
當(dāng)用戶單擊Update按鈕時,彈出窗口會自動下載名為Chrome Font v1.55.exe的文件并將其保存到默認(rèn)下載文件夾,然后跳轉(zhuǎn)到一個說明頁面,提示如何找到和運行下載的字體更新程序。
Chrome Font v1.55.exe實際上是Spora 系列敲詐者病毒。用戶一旦運行該病毒,電腦上所有工作和個人文件將會被加密而無法使用。當(dāng)完成對文件的加密時,電腦將顯示敲詐頁面,告知中招者登錄Spora支付網(wǎng)站以確定贖金金額或付款。
勒索病毒案例介紹二
一、愈演愈烈的敲詐風(fēng)暴
只需一封郵件,便能鎖定電腦重要文件進行敲詐
席卷全球的敲詐風(fēng)暴,公司被迫支付贖金
北京的汪為(化名)周一上班后,和往常一樣開始處理手頭的工作。
汪為所在的公司是一家互聯(lián)網(wǎng)企業(yè),汪為日常的工作是在網(wǎng)上與客戶進行聯(lián)系,維護產(chǎn)品銷售渠道。最近,公司準(zhǔn)備出國參加一場展銷會,汪為正跟幾家快遞公司通過郵件商量宣傳物資的郵遞事宜。汪為在未讀郵件中挑出了與快遞相關(guān)的部分,逐一閱讀并打開其中的附件。他不知道的是,在這批郵件中,有一封主題為Delivery Notification的郵件,正悄悄地露出自己猙獰的爪牙。
一小時后,汪為看著自己電腦上被改成亂碼無法打開的文件,以及被修改為敲詐內(nèi)容的桌面背景,近乎絕望的心情占據(jù)了整個內(nèi)心。
汪為的遭遇并非個例。自2014年起,陸續(xù)有人在打開郵件之后,發(fā)現(xiàn)自己電腦中的文件被修改,其中不乏公司核心數(shù)據(jù)、有重要意義的圖片等內(nèi)容,一旦丟失造成的損失難以估量。同時,這些受害者都發(fā)現(xiàn),在顯著位置上出現(xiàn)的敲詐文字,內(nèi)容不外乎是“文件已被加密,如需恢復(fù)請按如下方式支付贖金……”云云。
哈勃分析系統(tǒng)是騰訊反病毒實驗室依托多年技術(shù)積累自主研發(fā)的一套樣本安全檢測系統(tǒng)。憑借每日對真實環(huán)境中捕獲的海量樣本進行自動化分析,哈勃分析系統(tǒng)在第一時間捕獲到了這類木馬。
據(jù)哈勃分析系統(tǒng)長時間跟蹤發(fā)現(xiàn),敲詐木馬最初僅在國外傳播,后來逐漸滲透到國內(nèi),敲詐使用的語言也從單一的英語逐漸發(fā)展到了包括中文在內(nèi)的多種語言。受到木馬影響的公司不乏醫(yī)院、公交公司這樣的大型企業(yè)。更為嚴(yán)重的是,除了一些自身含有漏洞的木馬之外,還有很多木馬并無有效的解決之道,如果事先防范措施沒有做好,中招之后除了聯(lián)系不法分子之外無計可施。雖然FBI曾經(jīng)提示不要支付贖金,以免木馬制作者嘗到甜頭,繼續(xù)傳播木馬,然而對于一些重要的數(shù)據(jù)被加密的公司而言,這是無奈之中最后的辦法,例如好萊塢某醫(yī)院為了恢復(fù)患者病歷,被迫支付了相當(dāng)于數(shù)萬美元的贖金。
二、木馬的傳播渠道
郵件附件是木馬最常見的傳播渠道
誘導(dǎo)用戶開啟并運行宏是文檔木馬的主要手段
這些破壞力強大、影響惡劣的木馬,是如何傳播到受害者電腦上的呢?經(jīng)哈勃分析系統(tǒng)的調(diào)查,木馬的常用傳播渠道是通過郵件進行傳播,將木馬偽裝成郵件附件,吸引受害者打開。其中,最常見的附件格式是微軟的Office文檔,木馬使用文檔中的宏功能執(zhí)行惡意命令,再從網(wǎng)上下載真正的惡意程序,對受害者電腦進行攻擊。
哈勃分析系統(tǒng)研究發(fā)現(xiàn),在木馬入侵受害者電腦的每一步,都有一些固定的套路和模式。
在木馬傳播的第一步,即發(fā)送帶木馬的郵件時,不法分子通常會使用一些正常的公務(wù)主題進行偽裝,誘使受害者打開附件。此前汪為遇到的假冒郵件,是假稱快遞除了問題;除此之外,常見的主題還包括發(fā)票、費用確認(rèn)等。一個明顯的現(xiàn)象是,處于財務(wù)、會計、對外關(guān)系等職位的員工,每日收發(fā)的'同類郵件較多,對于這類郵件容易降低警惕心,因此容易成為不法分子發(fā)送郵件的目標(biāo)。
如果受害者打開了帶木馬的宏文檔,由于高版本Office中,默認(rèn)是不開啟宏的,所以木馬會在文檔正文中誘導(dǎo)用戶啟用宏,使得惡意代碼得以執(zhí)行。
一個典型的宏木馬,部分宏代碼如下:
可以將木馬傳到哈勃分析系統(tǒng),在安全的虛擬環(huán)境中查看木馬將要執(zhí)行的惡意行為:
可以看出,這個文檔中的宏偷偷去下載了一個可執(zhí)行文件并運行。除了直接從網(wǎng)絡(luò)上進行下載之外,部分木馬也會通過其它手法釋放惡意文件,例如下面這個木馬:
連起來看就是,通過復(fù)雜字符串拼接得到當(dāng)前系統(tǒng)temp目錄的絕對路徑,再去執(zhí)行系統(tǒng)temp目錄中的sak33.exe這個文件,但是并沒有發(fā)現(xiàn)下載或者釋放這個文件的對應(yīng)代碼。郵件中只有這么一個附件,宏中只有拉起這個exe的操作,那么這個exe是從哪來?怎么釋放到這個位置的呢?
通過在不同操作系統(tǒng)和Office版本上進行對比測試,最終發(fā)現(xiàn)Office文檔中夾帶的其他文件,會使用OLE Object來儲存,而在XP和win7兩個操作系統(tǒng)中OLE Object釋放的方式和路徑不同,該宏病毒寫死了win7下釋放的路徑,所以在XP分析環(huán)境上無法成功執(zhí)行。造成這種情況的原因有兩個可能,一是作者只使用了win7環(huán)境對此宏病毒開發(fā)測試,沒有考慮XP系統(tǒng)的問題;二是作者故意為之,來達到對抗目的。
在惡意可執(zhí)行文件被運行起來之后,不法分子就可以任意操作受害者的電腦。比如下面這個木馬,在檢測虛擬機和兩步注入后,最終在svchost里邊進行實際惡意行為,將可執(zhí)行文件添加至啟動項并連接遠程服務(wù)器:
在可執(zhí)行程序與黑客的遠程服務(wù)器保持通信之后,受害者的電腦已經(jīng)被黑客占領(lǐng),最重要的一步已經(jīng)完成。當(dāng)然,這個例子中木馬的目的是在受害者的電腦中植入后門,不過同樣的手法,在加密敲詐類木馬中已經(jīng)被證明同樣有效。
除了在郵件附件中放置文檔之外,還有一些其它的文件格式被用于木馬的傳播。這些格式有的是可以直接運行的腳本格式,例如Powershell、js、vbs等,有的是格式關(guān)聯(lián)的可執(zhí)行文件具有一定的任意執(zhí)行能力,例如JAR、CHM等。哈勃分析系統(tǒng)此前捕獲的“竊聽狂魔”、“冥王”等木馬,都是通過不同的格式執(zhí)行惡意行為。
三、木馬背后的威脅情報
惡意服務(wù)器位置以美國和俄羅斯數(shù)量最多
自建惡意網(wǎng)站或者入侵正規(guī)網(wǎng)站,具有較高的反跟蹤意識
既然大部分文檔木馬中的宏運行起來后,會從網(wǎng)絡(luò)上下載可執(zhí)行文件,那么通過下載地址是否能找到有關(guān)木馬作者的蛛絲馬跡呢?
哈勃分析系統(tǒng)抓取了一段時間自動捕獲的木馬數(shù)據(jù),對木馬以及下載時用到的網(wǎng)址進行了統(tǒng)計分析。
下載網(wǎng)址對應(yīng)的域名,有一些用的是通用域名,其中又以.com域名最多,占全部域名接近一半的比例。還有一些用的是國家域名,數(shù)量較多的是.cn(中國)和.ru(俄羅斯)。
同時,通過下載目標(biāo)的命名可以看出,木馬經(jīng)常將惡意文件偽裝成jpg、gif之類的圖片文件,或者是訪問php、cgi這樣的動態(tài)網(wǎng)頁,不直接提供文件格式信息,以躲避部分安全產(chǎn)品對exe可執(zhí)行文件的檢查。
【勒索病毒案例介紹】相關(guān)文章:
勒索病毒的傳播途徑-勒索病毒的感染原理05-16
勒索病毒的應(yīng)對方法-如何避免勒索病毒的影響05-15
勒索病毒開機指南05-15
如何應(yīng)對變種勒索病毒-變異勒索病毒免疫工具下載05-22
如何防范勒索病毒的入侵05-16
什么是蠕蟲式勒索病毒05-17
如何應(yīng)對勒索病毒的感染05-16
如何防御勒索病毒的入侵05-16