【免费】揭开勒索软件的真面目-安天实验室1资源-CSDN文库

需积分: 0 113 浏览量 2022-08-04 13:21:53 上传评论收藏 1.96MB PDF 举报

资源详情

资源评论

资源推荐

揭开勒索软件的真面目

——安天安全研究与应急处理中心

揭开勒索软件的真面目

1 前言...................................................................................................................................................................... 1

1.1 何谓勒索软件 ...................................................................................................................................................... 1

1.2 主要传播手段 ...................................................................................................................................................... 1

1.3 主要表现形式 ...................................................................................................................................................... 1

2 勒索软件的分类 ................................................................................................................................................... 2

3 勒索软件的演进史 ............................................................................................................................................... 3

3.1 几种典型勒索软件的出现 .................................................................................................................................. 3

3.2 赎金支付方式的变化 .......................................................................................................................................... 4

3.3 移动终端的勒索软件 .......................................................................................................................................... 4

3.4 新的威胁趋势 ...................................................................................................................................................... 6

3.5 小结 ..................................................................................................................................................................... 6

4 典型勒索软件家族分析 ....................................................................................................................................... 8

4.1 REDPLUS ................................................................................................................................................................. 8

4.2 QIAOZHAZ ............................................................................................................................................................... 9

4.3 CRYPTOLOCKER ......................................................................................................................................................... 9

4.4 CTB-LOCKER .......................................................................................................................................................... 11

4.5 移动平台勒索软件 ............................................................................................................................................ 14

5 防御：我该做什么 .............................................................................................................................................. 15

5.1 安全建议与解决办法 ........................................................................................................................................ 15

5.2 普通用户的防御方法 ........................................................................................................................................ 16

5.3 企业用户的防御方法 ........................................................................................................................................ 16

6 总结..................................................................................................................................................................... 17

附录一：参考资料 ...................................................................................................................................................... 18

附录二：关于安天 ...................................................................................................................................................... 20

揭开勒索软件的真面目

1 前言

2013 年 9 月，戴尔公司的 SecureWorks 威胁应对部门（CTU）发现了一种名为“CryptoLocker”的勒索

软件，它以邮件附件形式分发，感染计算机并加密近百种格式文件（包括电子表格、数据库、图片等），向

用户勒索 300 美元或 300 欧元。据统计，仅在最初的 100 天时间内，该勒索软件就感染了 20 万至 25 万个

系统

[1]

。

2014 年 8 月，《纽约时报》报道了这样一则消息：一种名为“ScarePackage”的勒索软件在一个月的时

间内感染了约 90 万部 Android 手机，该软件不仅会访问手机的摄像头、电话功能，还会在手机屏幕弹出消

息，指责手机用户传播色情内容，手机用户只有支付了几百美元的“赎金”才能正常使用手机

[2]

。

2014 年 12 月，安全公司 Sophos 和 ESET 的研究人员发现了一种可以自我复制的勒索软件（VirLock，又

称 VirRansom），该软件不仅会加密受害主机的文档、图片、音频、视频和压缩文件，同时还会使计算机“锁

屏”，以侵犯著作权为由，向计算机用户索要 0.652 个比特币

[3]

（根据本文撰写时的比特币兑换价格，约合

1027 元人民币）。

对于传统的感染式病毒，未安装反病毒软件的用户会因中毒而导致系统程序和应用程序被感染，不过

一般可以通过重新安装操作系统和应用程序解决问题；对于远程控制类木马，用户可以采用临时断开网络

的办法，暂时摆脱攻击者的远程控制。但是，如果计算机上的照片被勒索软件加密，用户很可能会彻底失

去一段美好的回忆；如果被加密的是急需使用而又没有备份的毕业论文、重要资料，恐怕用户也只好向犯

罪分子屈服，乖乖地支付赎金。勒索软件为何如此猖狂？它是如何向用户进行勒索的？我们又该如何检测

与预防这类威胁？本文将全面介绍勒索软件的传播手段、攻击流程及防御方法，彻底揭开勒索软件的真面

目。

1.1 何谓勒索软件

勒索软件（ransomware）是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户

数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、

数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来

说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支

付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。

1.2 主要传播手段

勒索软件的传播手段与常见的木马非常相似，主要有以下几种：

1. 借助网页木马传播，当用户不小心访问恶意网站时，勒索软件会被浏览器自动下载并在后台运行

2. 与其他恶意软件捆绑发布

3. 作为电子邮件附件传播

4. 借助可移动存储介质传播

1.3 主要表现形式

一旦用户受到勒索软件的感染，通常会有如下表现形式，包括：

1. 锁定计算机或移动终端屏幕

2. 借杀毒软件之名，假称在用户系统发现了安全威胁，令用户感到恐慌，从而购买所谓的“杀毒软件”

揭开勒索软件的真面目

3. 计算机屏幕弹出类似下图的提示消息，称用户文件被加密，要求支付赎金

图 1 勒索软件弹出的提示消息

2 勒索软件的分类

根据勒索软件所使用的勒索方式，主要分为以下三类：

1．影响用户系统的正常使用。比如 PC Cyborg、QiaoZhaz（Trojan/Win32.QiaoZhaz）等，会采用锁定系

统屏幕等方式，迫使系统用户付款，以换取对系统的正常使用。

2．恐吓用户。比如 FakeAV（Trojan[Ransom]/Win32.FakeAV）等，会伪装成反病毒软件，谎称在用户的

系统中发现病毒，诱骗用户付款购买其“反病毒软件”。又如 Reveton（Trojan[Ransom]/Win32.Foreign），

会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金。

3．绑架用户数据。这是近期比较常见的一种勒索方式，最典型的是 CTB-Locker 家族

（Trojan[Ransom]/Win32.CTBLocker），采用高强度的加密算法，加密用户文档，只有在用户支付赎

金后，才提供解密文档的方法。

根据上述分类方法，结合具体行为、运行平台，可将勒索软件整理如下表：

方

式

具体行为

平台

典型家族命名

其它名称

影

响

使

用

锁定系统屏幕

Windows

Trojan/Win32.QiaoZhaz

QiaoZhaz

Android

Trojan[rog,sys,fra]/Android.DevLockeer

DevLockeer

Trojan[rog,sys,fra]/Android.Koler

Koler

Trojan[rog,sys,pay]/Android.Locker

Locker

修改文件关联

Windows

Trojan/Win32.QiaoZhaz

QiaoZhaz

拦截手机来电

Android

Trojan[rog,fra,sys]/Android.Cokri

Cokri

色情无限弹窗

Android

Trojan[rog,sys,fra]/Android.Koler

Koler

伪装色情应用

Android

Trojan[rog,sys]/Android.simplelock

simplelock

恐

吓

用

户

伪装杀毒软件

Windows

Trojan[Ransom]/Win32.FakeAV

FakeAV

Android

Trojan[rog,sys]/Android.Svpeng

Svpeng

Trojan[rog,sys]/Android.simplelock

simplelock

伪装当地执法机构

Windows

Trojan[Ransom]/Win32.Foreign

Reveton

揭开勒索软件的真面目

方

式

具体行为

平台

典型家族命名

其它名称

绑

架

数

据

隐藏用户文件

DOS

Trojan/DOS.AidsInfo

PC Cyborg

Windows

Trojan/Win32.Pluder

Redplus

删除用户文件

Windows

Trojan/Win32.QiaoZhaz

QiaoZhaz

Android

Trojan[rog,sys,fra]/Android.Koler

Koler

加密用户文档数据

Windows

Trojan[Ransom]/Win32.CTBLocker

CTB-Locker

Trojan[Ransom]/Win32.Blocker

Trojan[Ransom]/Win32.Bitman

CrytoLocker

Trojan[Ransom]/Win32.Locker

Locker

Android

Trojan[rog,sys]/Android.simplelock

simplelock

Android

Trojan[rog,sys,fra]/Android.Koler

Koler

加密通讯录

Android

Trojan[rog,fra,sys]/Android.Cokri

Cokri

3 勒索软件的演进史

3.1 几种典型勒索软件家族的出现

已知最早的勒索软件出现于 1989 年，名为“艾滋病信息木马”（Trojan/DOS.AidsInfo，亦称“PC Cyborg

木马”），其作者为 Joseph Popp。该木马程序以“艾滋病信息引导盘”的形式进入系统，采用替换 AUTOEXEC.BAT

（DOS 系统文件，位于启动盘根目录，文件为文件格式，用于描述系统启动时自动加载执行的命令）文件

的方式，实现在开机时记数。一旦系统启动次数达到 90 次时，该木马将隐藏磁盘的多个目录，C 盘的全部

文件名也会被加密（从而导致系统无法启动）。此时，屏幕将显示信息，声称用户的软件许可已经过期，要

求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去 189 美元，以解锁系统。作者在被起诉时曾为自己辩解，

称其非法所得用于艾滋病研究。

2001 年，专门仿冒反病毒软件的恶意代码家族（Trojan[Ransom]/Win32.FakeAV）出现，2008 年左右开

始在国外流行。该恶意代码家族的界面内容为英文，又因为当时国内部分反病毒厂商已经开始采用免费的

价格策略，所以该恶意代码家族在国内不容易得逞，对国内影响相对较小。FakeAV 在伪装成反病毒软件欺

骗用户的过程中，所使用的窗体标题极具迷惑性。据安天 CERT 统计，其标题有数百种之多，常用标题如下

表所示：

窗体标题

中文翻译

AntiSpyWare2008

反间谍软件 2008

AntiVirus2013

反病毒软件 2013

Security Defender

安全卫士

ScannRepair

扫描修复工具

Virus Doctor

病毒医生

Spyware Cleaner

间谍软件清除者/终结者

System Care Antivirus

系统护理杀毒

Data Recovery

数据恢复

AVDefender 2014

反病毒卫士 2014

AVSecurity 2015

反病毒安全 2015

剩余21页未读，继续阅读

评论收藏

内容反馈

宏馨

粉丝: 20
资源: 293

揭开勒索软件的真面目 - 安天实验室1

评论0

最新资源

揭开勒索软件的真面目 - 安天实验室1

评论0

蠕虫勒索软件免疫工具-安天出品.v1.1.exe

“魔鼬”木马DDoS 事件分析 - 安天实验室1

无线网络（WI-FI）保护协议标准WPA2 漏洞综合分析报告 - 安天实验室1

网络攻防-安天实验室

A2PT与”准APT“事件中的攻击武器-安天实验室1

利用路由器传播的DYREZA 家族变种分析 - 安天实验室1

基于蓝牙协议漏洞的BLUEBORNE攻击综合分析报告 - 安天实验室1

“破壳”漏洞的关联威胁进化与类UNIX 系统的恶意代码现状 - 安天实验室1

处理器A 级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告1 ... - 安天实验室1

U盘病毒免疫工具 - 安天免费工具 AImmunity

数据恢复工具-安天敏捷恢复A-Recovery

房建工程施工组织设计-安天阳光花园南施工组织设计

安天防线7(原名木马防线)下载 v7.4.6.6165 正式版.zip

安天实验室出品的木马查杀小工具

Flame蠕虫样本集分析报告（安天实验室）_2012.pdf

ARP检测工具（安天产品）.rar

进程管理器 启动程序管理器 消息钩子

安天-Wannacry分析报告1

安天智甲client(192.10.1.100_80_2_1).exe

YOLOV5口罩检测数据集+代码+模型 2000张标注好的数据+教学视频.zip

第十五届蓝桥杯大赛软件赛省赛-PythonB组题目

（免费）Chrome浏览器插件axure-chrome-extension

axure谷歌浏览器插件

免费插件-AI插件-illustrator插件集合-尺寸标注-智能填充-颜色自动处理-自动批处理-Windows安装包.zip

VisualGDB 5.6 R9//支持VS2008-VS2022

hugging face的models-openai-clip-vit-large-patch14文件夹

火狐Firefox浏览器的插件Video DownloadHelper 8.0 的合作应用VdhCoAppSetup2.0.19

最新版YS9082HC主控开卡工具 YS9082HC-MPToolV8.00.00.18.826-HCS1A25E2023062

安卓期末大作业（AndroidStudio开发），垃圾分类助手app，分为前台后台，代码有注释，均能正常运行

最新资源

进程管理器启动程序管理器消息钩子