安全專家深度解析,一覺醒來文件加密被逼萬元贖金,怎么破?

責(zé)任編輯:editor006

作者:史中

2016-10-13 21:57:51

摘自:雷鋒網(wǎng)

360反病毒工程師王亮告訴雷鋒網(wǎng),這個(gè)“ODIN”木馬是最近非常流行的密鎖敲詐木馬,它屬于著名的“Locky”木馬家族的分支變種。對于這類最新的勒索木馬,雖然很殘酷,但是安全專家承認(rèn),一旦中招(加密已經(jīng)完成)之后,最經(jīng)濟(jì)的方法其實(shí)就是支付贖金。

你有沒有體驗(yàn)過一覺醒來,電腦里的所有重要數(shù)據(jù)全變成加密文件,必須要交一萬多塊的贖金才能解密這些文檔?

嗯,如果你不看這篇文章,可能就就機(jī)會(huì)體驗(yàn)了。

一覺醒來損失一萬塊

就在最近幾天,一直在國外猖獗的勒索木馬在中國突然大規(guī)模爆發(fā)。

很多普通人早晨打開電腦,發(fā)現(xiàn)所有的文件都被黑客加密,而且明目張膽得索要比特幣贖金,折合人民幣一萬多元。

根據(jù)受害者向雷鋒網(wǎng)爆料,本來一路心情愉快地去上班,開機(jī)卻遭遇突發(fā)異常狀況:

昨天下班前電腦還好好的,今天突然開機(jī)之后電腦突然很卡,我并沒有在意。結(jié)果等了一會(huì),突然瀏覽器自動(dòng)打開,彈出了一個(gè)勒索界面,告訴我所有的文件都已經(jīng)被加密了,只有點(diǎn)擊鏈接用比特幣交付贖金之后才能拿到解密的密鑰。

安全專家深度解析,一覺醒來文件加密被逼萬元贖金,怎么破?

  【文件被加密之后的情形】

如圖所示,文件均被加密成以“.ODIN”擴(kuò)展名結(jié)尾的文件,每個(gè)文件夾都內(nèi)附一個(gè) html 網(wǎng)頁,打開之后,同樣出現(xiàn)勒索網(wǎng)頁:

安全專家深度解析,一覺醒來文件加密被逼萬元贖金,怎么破?

  【彈出的勒索網(wǎng)頁,要求受害者支付2.5個(gè)比特幣】

據(jù)受害者稱,要想解密文檔,被勒索的金額是2.5個(gè)比特幣,今日1比特幣的匯率是604.41美元,折合人民幣4060.2451元,也就是說,勒索金額上萬人民幣。

據(jù)雷鋒網(wǎng)宅客頻道(公眾號 ID: letshome)了解到,多個(gè)受害者均在公司就任與財(cái)務(wù)相關(guān)職位,或者是人事崗位,電腦中均保存了大量公司機(jī)密及重要信息,這些信息遭受攻擊加密后,如果不解密將損失慘重。

某個(gè)受害人表示,老板認(rèn)為是他的原因才導(dǎo)致了這些重要資料被加密,所以讓他自己來解決這些問題。

贖金要一萬多,如果老板逼我,我就準(zhǔn)備辭職了。

他無奈地表示。

雷鋒網(wǎng)宅客頻道第一時(shí)間聯(lián)系了 360 和騰訊的安全專家,挖出了這個(gè)勒索木馬和這個(gè)木馬家族的諸多信息。

安全專家深度解析,一覺醒來文件加密被逼萬元贖金,怎么破?

  【網(wǎng)絡(luò)上還流傳一些中文版本的勒索信】

勒索人到底是何方神圣?

360反病毒工程師王亮告訴雷鋒網(wǎng),這個(gè)“ODIN”木馬是最近非常流行的密鎖敲詐木馬,它屬于著名的“Locky”木馬家族的分支變種。

我們已經(jīng)捕獲了這個(gè)木馬的80幾個(gè)變種了。這個(gè)家族的敲詐木馬從15年中期就有了,最近從國慶之前又開始泛濫。

那么這個(gè)木馬的背后究竟是誰呢?

王亮說:

在我們收集到的木馬變種里,收款的比特幣賬戶各不相同,勒索的金額也不同,大概是1-3個(gè)比特幣左右,換算為人民幣的話,平均在7000-8000元左右。

但是由于勒索團(tuán)伙要求用比特幣通過暗網(wǎng)支付,所以很難查到背后的團(tuán)伙究竟是誰,來自哪個(gè)國家。就連這些收款比特幣賬戶之間有怎樣的聯(lián)系,都很難調(diào)查。

不過,根據(jù)勒索信的內(nèi)容來看,由于是純英文,所以王亮基本可以判定這些木馬的作者和敲詐團(tuán)伙來自國外。

我中招之后還有救嗎?

王亮告訴雷鋒網(wǎng)一個(gè)悲傷的消息:到目前為止,這個(gè)家族的加密手段還沒有人能夠破解。

他詳述了這個(gè)家族勒索木馬的加密方法:

先使用 AES-128 加密算法把電腦上的重要文件加密,得到一個(gè)密鑰;

再使用 RSA-2048 的加密算法把這個(gè)密鑰進(jìn)行非對稱加密。

這里的“128”和“2048”的數(shù)字是什么意思呢?

這代表了密鑰長度,128 就意味著密鑰長度是128個(gè)字節(jié),所以這個(gè)密鑰的可能性有“2的128次方”之多。這樣的加密有多強(qiáng)呢?王亮說:

如果想使用計(jì)算機(jī)暴力破解,根據(jù)現(xiàn)在的計(jì)算能力,幾十年都算不出來。如果能算出來,也僅僅是解開了一個(gè)文件。

當(dāng)然,從理論上來說,你也可以嘗試破解被 RSA-2048 算法加密的總密鑰,至于破解所需要的時(shí)間嘛。。。希望破解成功的時(shí)候太陽系還存在。

那么,所有的勒索軟件都無解嗎?也并不是這樣。

王亮告訴雷鋒網(wǎng):

在2014年勒索軟件剛剛興起的時(shí)候,有些勒索木馬的加密方法不夠規(guī)范,被安全人員找到了漏洞,可以繞過前面的防護(hù)手段,拿到密鑰。還有一些團(tuán)伙被追蹤到了,主動(dòng)在自己的網(wǎng)站上把私鑰公開了,這時(shí)安全人員也可以根據(jù)私鑰制作出解密工具。

對于這類最新的勒索木馬,雖然很殘酷,但是安全專家承認(rèn),一旦中招(加密已經(jīng)完成)之后,最經(jīng)濟(jì)的方法其實(shí)就是支付贖金。

安全專家深度解析,一覺醒來文件加密被逼萬元贖金,怎么破?

上圖就是某受害者繳納一萬多元贖金之后,勒索者提供的密鑰下載網(wǎng)址,其中用紅色的字提醒:從今以后記得備份你的數(shù)據(jù)。被勒索者提醒要備份數(shù)據(jù),就是這樣的體驗(yàn)。

在下載密鑰之后,就到了讓人“欣喜”的恢復(fù)數(shù)據(jù)過程:

安全專家深度解析,一覺醒來文件加密被逼萬元贖金,怎么破?

  【電腦在解密本來就屬于機(jī)主的數(shù)據(jù)】

這類勒索木馬會(huì)選擇什么文件進(jìn)行加密呢?王亮告訴雷鋒網(wǎng):

一般黑客會(huì)對“有價(jià)值的文件”進(jìn)行加密,包括 Word、Excel、PPT、文檔、圖片、壓縮包、數(shù)據(jù)庫、源碼等等。

有些勒索木馬還會(huì)刪除系統(tǒng)自帶的備份,就是為了防止用戶通過系統(tǒng)恢復(fù)的方式找回珍貴的文檔。

根據(jù)受害人的描述,他們被加密的文檔正是這些客戶資料和合同文檔之類的珍貴數(shù)據(jù)。

安全專家深度解析,一覺醒來文件加密被逼萬元贖金,怎么破?

  【用暗網(wǎng)支付比特幣流程復(fù)雜,在淘寶上有人專門幫助受害者支付贖金】

下一個(gè)中招的會(huì)是我嗎?

病毒木馬不可怕,但可怕的是,我們根本不知道為什么被感染。

對于這幾位受害者來說,他們根本沒有感覺到自己做了不恰當(dāng)?shù)牟僮?,就直接被木馬加密。這些木馬就像幽靈一樣突然降臨,確實(shí)讓人后背發(fā)涼。

如此說來,看這篇文章的所有人,都有可能 突然成為下一個(gè)受害者。

騰訊電腦管家高級工程師徐超告訴雷鋒網(wǎng),其實(shí)這類文件并不是憑空降臨,而是有一些特定的傳播方式:

1、通過郵件傳播。這些木馬病毒被隱藏在郵件里,需要受害者打開附件里的文件并執(zhí)行才能觸發(fā)。這類文件往往看上去是圖片或者表格,但實(shí)際是wsf或js格式的腳本。點(diǎn)擊之后并沒有反應(yīng),實(shí)際上后臺已經(jīng)開始默默下載勒索木馬。

2、漏洞掛馬。分為兩種情況

a、網(wǎng)頁掛馬:木馬傳播者會(huì)把腳本掛在網(wǎng)頁上,用戶一旦訪問這個(gè)網(wǎng)頁,就會(huì)中招。這類網(wǎng)站一般都是人們“喜聞樂見”的網(wǎng)站,例如羞羞的網(wǎng)站。

b、軟件掛馬:用戶在非官方渠道下載了帶有木馬的軟件,在開機(jī)后,不做任何操作,都有可能中毒。

3、通過U盤傳播。這種類型已經(jīng)不常見了。

安全專家深度解析,一覺醒來文件加密被逼萬元贖金,怎么破?

  【受害者訪問的掛馬網(wǎng)站:51credit.com】

通過一下午的排查,360反病毒工程師王亮已經(jīng)確定了一位受害者的感染途徑,他訪問了一個(gè)信用卡交流網(wǎng)站:51信用卡,這個(gè)小有名氣的網(wǎng)站論壇的某個(gè)廣告位被黑客掛了木馬,而受害者加載頁面之后,整個(gè)木馬的下載過程都是靜默的。

顯然,勒索者的觸角已經(jīng)非常深入了。

安全專家深度解析,一覺醒來文件加密被逼萬元贖金,怎么破?

  【打開掛馬的頁面之后,木馬自動(dòng)下載執(zhí)行/圖片由 360 提供】

王亮說,這類木馬一開始國外傳播,后來才滲透進(jìn)中國。所以最先中招的使一些有國際業(yè)務(wù)的中國公司,例如外貿(mào)企業(yè)。

顯然,黑客嘗到了甜頭,因?yàn)橛兄袊嗽敢鉃檫@些資料支付贖金。所以在此之后就有一些專門針對中國企業(yè)和組織進(jìn)行攻擊,后來感染的對象擴(kuò)大到了教育機(jī)構(gòu)或其他大型組織。

所以,怎樣躲開敲詐?

騰訊電腦管家高級工程徐超告訴雷鋒網(wǎng),這種木馬的危害是一次性的。一旦病毒發(fā)作,只會(huì)對全盤進(jìn)行一次加密動(dòng)作,之后再新建文件,都不會(huì)被加密。而且這種木馬一般是沒有傳染性的。

然而說了這么多,一旦加密完成,即使是頂級安全專家也回天乏術(shù)。所以所有的“逃生機(jī)會(huì)”都在防患上。

除了不點(diǎn)擊可疑網(wǎng)頁和郵件、不下載不明軟件以外,還有一個(gè)非常重要的就是,安裝防護(hù)軟件。

雖然很多童鞋可以細(xì)數(shù)“鵝廠”和“數(shù)字廠”管家衛(wèi)士的種種不盡如人意的地方。但是關(guān)鍵時(shí)刻,他們還是會(huì)保護(hù)你的安全,順便給你省3個(gè)比特幣之類的。

徐超告訴雷鋒網(wǎng),騰訊電腦管家針對這些勒索木馬進(jìn)行了防御。可以監(jiān)控郵箱和網(wǎng)頁,對軟件掛馬也有監(jiān)控感知能力。目前掌握了60多個(gè)存在漏洞的軟件,并針對性的做了云防御加固。

而王亮告訴雷鋒網(wǎng),360安全衛(wèi)士對勒索木馬也有針對性的防御策略,不僅對于流行的木馬實(shí)現(xiàn)查殺,還可以對非法的大規(guī)模文件改動(dòng)進(jìn)行攔截。另外,王亮還表示,360有先行賠付的業(yè)務(wù)。通俗地來說,如果你使用了最新的360安全衛(wèi)士,但依然中招,他們會(huì)對受害者進(jìn)行最高3個(gè)比特幣的賠付。

這對于那個(gè)因?yàn)楦恫黄疒H金而要辭職的童鞋來說應(yīng)該是個(gè)好消息。然而,他告訴雷鋒網(wǎng),電腦被加密的時(shí)候,他是裸奔的。。。

所以,你問我怎樣才能防止一覺醒來就損失一萬塊錢這樣的悲劇發(fā)生?

雷鋒網(wǎng)(搜索“雷鋒網(wǎng)”公眾號關(guān)注)的建議是:

1、備份你的數(shù)據(jù)。

2、不要裸奔。

3、把你的防護(hù)軟件和系統(tǒng)都升到最高級。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號