勒索木馬也有山寨貨?細數那些演砸了的黑客魔術

責任編輯:editor007

作者:史中·方槍槍

2016-05-03 22:32:46

摘自:雷鋒網

最近,勒索木馬經常占據頭條,因為黑客們經常玩出奇異的姿勢。供水供電局的員工不小心打開了一個勒索木馬,導致其緊急關停了部分網絡服務。不得不說,Jigsaw的用戶體驗非常完美:  中招之后屏幕上會出現一個經典的面具——電鋸殺人狂。

最近,勒索木馬經常占據頭條,因為黑客們經常玩出奇異的姿勢。例如:

用木馬鎖住了美國東西海岸的數家大醫(yī)院的系統(tǒng),讓數萬病人的資料和數千萬美元的醫(yī)療設施處于“封印狀態(tài)”。

搞癱了教堂的電腦系統(tǒng),讓虔誠的信眾無法愉快地禮拜。逼七十多歲的老牧師學著用地下網絡給敲詐者匯款。

供水供電局的員工不小心打開了一個勒索木馬,導致其緊急關停了部分網絡服務。

作為一個沒有道德下限的行當,網絡勒索不斷集成各種卑劣的技巧。

例如偽裝成求職者給公司人力部門發(fā)郵件,或者偽裝成一個有用的小工具欺騙用戶下載。一旦被安裝,往往會鎖定你的重要文件,然后彈出一個嚇人的勒索界面索要贖金,并且配有半個屏幕大小的倒計時時鐘。一旦你沒有在規(guī)定時間內付款,就會把贖金翻倍。例如TeslaCrypt、Locky或者隨后出現的變種木馬 CTBLocker 和 Filecoder.DG

科技的進步,讓勒索的門檻創(chuàng)了新低。看到“老司機”風卷殘云般地“掙錢”,很多新手黑客也躍躍欲試,“自主研發(fā)”勒索木馬。然而,勒索木馬需要很強的加密技巧,新手打造的“良莠不齊”的木馬經常在安全人員的面前土崩瓦解,讓這些人顏面掃地。

最近,著名安全公司 ESET 分享了三個“渣版”勒索木馬。理論上來說,如果你被這種木馬鎖定之后,請不要驚慌,你不用付一分錢就可以拿回心愛的文件,一袋煙的功夫就可以恢復往日的生活。

下面有請三位登場。

偷懶的木馬——Petya

  【Petya】

Petya,最初被安全公司趨勢科技發(fā)現。它的標志就是“死亡紅屏”。在成功滲透進入 Windows 系統(tǒng)之后,木馬會強迫用戶重啟電腦。而重啟之后,電腦就再也進入不了 Windows 了,而是會自動加載一個勒索頁面,向受害者索要 0.99 比特幣的贖金。

然而,這個時候如果急于支付贖金,就太冤了。

經過分析,安全人員發(fā)現了這個木馬是由“偷懶的黑客”設計的。它雖然看起來兇惡得無以復加,但實際上只修改了系統(tǒng)的引導記錄以及加密了主文件表(主文件表是一個描述所有文件體積、位置和目錄結構的東東)。而真正的文件還原封不動地躺在磁盤里。

不得不說,這種提綱挈領,打蛇打七寸的方法還是很有想象力的??陀^來說,如果主文件表損壞,想要恢復起來確實要花很大的力氣。然而,偷懶的黑客在這里犯了一個致命的錯誤,留下了一個碩大無朋的邏輯漏洞。這使得安全研究員可以輕松地看到他的加密方法,從而開發(fā)出一個簡單的解鎖工具。由于只需要恢復主文件表,所以這個解鎖工具非常輕量級,目前已經能夠在網上下載到免費的版本。

這個故事告訴我們,偷懶是天才的專利。一般人還是信奉勤能補拙就好。

過于注重形式的電鋸殺人狂——Jigsaw

  Jigsaw】

Jigsaw,翻譯成中文就是德州電鋸殺人狂。制造他的黑客應該是個電鋸迷。不得不說,Jigsaw的用戶體驗非常完美:

中招之后屏幕上會出現一個經典的面具——電鋸殺人狂。在左上角輔以駭客帝國版本的文字:“I want to play a game...”

這個游戲的玩法是:

用戶必須在一個小時之內支付贖金,否則就會自動刪除一個用戶的文件。以此類推,每過一個小時,木馬都會“撕票”一個文件。只是這樣還不夠刺激,如果你試圖逃離游戲——例如重啟電腦神馬的——黑客會立刻刪掉1000個文件以示懲戒。

怎么樣?這種兼顧趣味性和勒索功能的木馬還真是少見呢。然而,也許是過于注重 UI 的設計,黑客并沒有在加密算法方面發(fā)力。具體表現在:木馬對于它的所有受害者都采用了同意的靜態(tài)密鑰。簡單來說,就是用一把鑰匙就可以打開所有的鎖。

這大概相當于一個非常刺激的密室逃脫,設計了無數精巧的機關。然而最有效的逃脫方式還是——踹門。

雷鋒網(搜索“雷鋒網”公眾號關注)建議這個木馬的作者去做游戲開發(fā),也許還能賺得多一點。

東施效顰的山寨貨——Autolocky

之前提到,Locky 在勒索界是泰斗級的木馬。于是有黑客相信:向經典致敬的最佳方法就是抄襲。Autolocky 就是山寨版的 Locky,它對于 Locky 的模仿可謂達到了登峰造極的地步:

從名字上來看,Autolocky 似乎是 Locky 的“加強版”;

Autolocky 在目標文件的選擇上和 Locky 完全相同;

連鎖定之后的擴展名都采用了和原版一模一樣的“.locky”,看起來就是這么專業(yè)。

但是,山寨之所以被稱為山寨,就是沒有掌握“核心科技”,所以他們的宿命往往是:在現實面前遭遇可恥的失敗。

Autolocky 費勁心機地生成了一個密鑰,卻迫于渣到爆的編碼水平,把密鑰用 IE 明文回傳到黑客的服務器上。而黑客可能忘記了,IE 對于數據傳輸是有歷史記錄的。

所以安全研究員只要翻翻歷史記錄,就可以輕易地找到這個密鑰。不用麻煩黑客就得到了解鎖密碼。得知這個“秘密”之后,制作解鎖工具甚至不需要五分鐘。

勒索木馬就像是一個個黑客魔術。然而并不是每個魔術師都是劉謙,對于要面子的黑客來說,勒索這種拼腦力的“技術活”如果演砸了,還是很丟人的。

不可否認,如果沒有安全人員為你拔下底褲,這些木馬還是有很大殺傷力的。然而每一個魔術被揭穿之后,就是這么無聊和不堪。中了這些可愛的黑客研究的良莠不齊的黑客,也算是不幸之中的萬幸吧

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號