腾讯反病毒实验室:揭秘WannaCry勒索病毒的前世今生

日期:2021-06-04 00:19:02 | 人气: 18410

腾讯反病毒实验室:揭秘WannaCry勒索病毒的前世今生 本文摘要:WannaCry威胁病毒馀波不平,关于新变种的各种报道再次刺激业界神经,黑客组织影子经纪人主张从6月开始销售更多重量磅武器的传闻,可以说是社会的毒色变化。

WannaCry威胁病毒馀波不平,关于新变种的各种报道再次刺激业界神经,黑客组织影子经纪人主张从6月开始销售更多重量磅武器的传闻,可以说是社会的毒色变化。作为抵抗病毒的第一线经验者,腾讯反病毒实验室负责人马力松恢复了事件的发展和影响。

马劲松应对,从捕捉第一个样本到腾讯电脑管家慢慢在线防卫方案,腾讯反病毒实验室对该病毒进行了全面分析,不仅研究了病毒本身的原理,还研究了前身和持续的变种。在病毒越来越激烈的96小时内,腾讯安全团队吹响了威胁病毒的先驱号码,现在病毒变种也得到了完善的处理方案。实质上,WannaCry敲诈病毒的实际破坏性也不像一些制造商说的那么可怕。

一些海外团队和媒体报道病毒已经发现了新的变种,马力松应对,腾讯反病毒实验室明显也抓住了变种样本,但没有控制大规模破坏性的证据,其中大部分也利用微软公司Windows操作系统的SMB服务漏洞(MS17-010)开展了病毒感染马劲松回应,腾讯安全性反病毒实验室也在第一时间进行研究,同时督促行业在抓取明确证据前,不要过度图形新病毒变种的危害,以免给用户造成不必要的混乱。(腾讯反病毒实验室想哭泣病毒动态监视数据)1.技术分析威胁病毒近两年来越激烈,相当大程度上与加密算法的完善有关。密码学和算法的更新确保了我们日常网络中数据传输和保留的安全性。

7M体育平台

令人失望的是,勒索病毒的作者也利用这一特性,告诉了木马的算法,但是因为不告诉作者使用的钥匙,所以不能完全恢复故意加密的文件。加密算法一般分为平面加密算法和非对称加密算法两种。这两种算法都用于威胁病毒。

平面加密算法的加密和解密用于完全相同的钥匙,特征是运算速度慢,但在分别用于这种算法时,钥匙必须用于某种方法与服务器交换,在此过程中不存在记录和泄漏的风险。勒索病毒常用的平面加密算法包括AES算法和RC4算法。非对称加密算法又称公钥加密算法,可用于公开发表的密钥加密信息,只有私钥所有者可以解密,因此只要发送公钥并保留私钥,就可以确保加密后的数据不被密码。

与平面加密相比,非对称加密算法的运算速度一般较快。勒索病毒常用的非对称加密算法还包括RSA算法和ECC算法。一般来说,威胁病毒不融合这两种加密算法,可以立即完成计算机整体大量文件的加密,确保作者手中的私钥不泄露。2.越来越激烈的特征现在越来越激烈的恐吓病毒大部分具有以下共同特征。

通过邮件,用于大量非聚乙烯载体的传播。用于成熟期、高强度的加密算法。破坏档案完全恢复的几种途径,如停止使用Windows系统备份和恢复机制,或者在移除档案前将无意义数据载入其中,停止部分数据恢复软件从移除的扇区完全恢复档案,进一步减少木马的破坏性,使用户被迫支付赎金。

展出的赎金支付说明指向Tor等亮网页。拒绝受害者用于比特币支付赎金。比特币最重要的特征之一是它的用户具有匿名性,很难通过比特币的收款地址跟踪对应的所有者。

家庭、历史CryptoLocker和CryptoWallCryptoLocker即使不是最初的恐吓病毒,也是最早引人注目的恐吓病毒之一。2013年,报道称侵略了25万台电脑。迅速,2014年,在美国司法部、FBI等部门领导的国际执法人员安全行动OperationTovar(媒体音译为托瓦尔行动)中,该木马及其传播工具被调查,安全公司获得了一部分解密钥,为此前已经被加密的受害者提供了文件解密服务。

但是,这次的行动没有成为威胁病毒灭亡的葬礼钟,无视今后这样的木马越来越激烈的起点。CryptoLocker用于随机分解的AES密钥加密文件,用于RSA算法加密AES密钥,需要提高文件加密的速度。CTB-Locker图1.CTB-Locker木马诈骗界面CTB-Locker是国内最先发生反响的恐吓病毒。

7M体育app

该木马的最初捕获时间可追溯到2014年7月,主要通过邮件附件传播,约2015年初,部分邮件流向国内,受害者被该木马欺诈,引起了媒体的最初时间。最初版本的CTB-Locker木马加密文件后,文件不再添加.ctbl的扩展名称,但新版本的木马已经不允许了。TeslaCryptTeslaCrypt木马的相关分析和报道最初可以追溯到2015年2月,木马的最初目的可能是欺诈游戏玩家,但在后期的改版中,TeslaCrypt也不会加密其他罕见的文件。

TeslaCrypt的主要传播方式是网页挂马传播,通过在网页中嵌入故意结构的文件,通过Flash播放器、pdf读取器等各种漏洞,在受害者不知不觉中iTunes,故意加密payload2016年5月的一天,TeslaCrypt的作者在暗网上宣布暂停木马的研究开发,同时得到了解密文件所需的私钥。图2.TeslaCrypt木马被暂停的网页,图像来自bleepingcomputer.com腾讯哈勃分析系统也制作了TeslaCrypt的工具,帮助用户完全恢复加密的文件。图3.腾讯哈勃分析系统制作的TeslaCrypt解密工具LockyLocky是2016年2月被捕的恐吓病毒。

Locky不会使用不同的传播载体,最初还是用于Office宏继续执行iTunes代码,后期版本不会用于js、wsf等多种脚本文件。同时,加密的文件也不会添加。locky、.zepto、.odin、.thor等各种扩展名称。

7M体育app

Locky在AES特RSA加密文件后,不会根据操作系统语言的不同向服务器催促不同语言的欺诈文本。值得注意的是,Locky的欺诈界面经常出现繁体中文和简体中文的欺诈内容。

图4.某版本Locky木马欺诈说明,中文Windows持续显示繁体中文内容Petya图5.Petya木马发作界面Petya木马于2016年3月被安全制造商捕获。与其他威胁病毒不同的是,该木马首先改变系统MBR引导扇区,强制重新启动后,继续执行引导扇区的恶意代码,加密硬盘数据显示欺诈信息,是首次将欺诈和改变MBR的故意木马。值得注意的是,早期Petya木马在算法上的使用存在问题,可以使用的钥匙的复杂性高,可以用暴力解读的方法举起钥匙,找到钥匙,恢复加密的磁盘。腾讯哈勃分析系统也根据此制作了相关的解密工具。

图6.腾讯哈勃分析系统制作的Petya解密工具Cerbercerber也是最近很少见的木马,因加密后的文件添加到.cerber*系列的后缀而被命名。Cerber主要通过网络挂马传播,到目前为止已经升级到第五代,作者用于公开发表的黑客工具包在需要复盖面积的未知漏洞中,通过渗透网站,投入故意广告等方式展开挂马。图7.Cerber木马欺诈界面4、通过以上分析可以发现,威胁病毒近两年越来越激烈,密码学、网络、比特币等多种技术发展密切相关。

技术是双刃剑,这个老生常谈在这里也很有价值。技术被合理利用,可以维持用户的安全性的非法者手中,也有可能成为受害者面前无法容忍的高山。对于这些勒索病毒,预防和治疗远比事后解决问题更重要。

用户必须教导良好的安全意识,不要随意关闭未知来源的附件和链接,也不要随意操作iTunes和网络磁盘共享的计算机软件和手机。在日常生活中,建议用于腾讯电脑管家、腾讯手机管家等安全类产品,动态维护电脑和手机的安全性。如果遇到不确认的文件,也可以上传哈勃分析系统(要求切断链接)检查是否安全。原始文章允许禁止发布。

下一篇文章发表了注意事项。


本文关键词:7M体育,7M体育app,7M体育平台

本文来源:7M体育-www.bdpmw.com