没有合适的资源?快使用搜索试试~ 我知道了~
揭开勒索软件的真面目 - 安天实验室1
需积分: 0 0 下载量 113 浏览量
2022-08-04
13:21:53
上传
评论
收藏 1.96MB PDF 举报
温馨提示
试读
22页
1前言2013 年 9 月,戴尔公司的 SecureWorks 威胁应对部门(CTU)发现了一种名为“CryptoLocker”的勒索软件,它以邮件附件形式分发
资源详情
资源评论
资源推荐
揭开勒索软件的真面目
——安天安全研究与应急处理中心
揭开勒索软件的真面目
©安天实验室 版权所有,欢迎无损转载 第 2 页
目 录
1 前言...................................................................................................................................................................... 1
1.1 何谓勒索软件 ...................................................................................................................................................... 1
1.2 主要传播手段 ...................................................................................................................................................... 1
1.3 主要表现形式 ...................................................................................................................................................... 1
2 勒索软件的分类 ................................................................................................................................................... 2
3 勒索软件的演进史 ............................................................................................................................................... 3
3.1 几种典型勒索软件的出现 .................................................................................................................................. 3
3.2 赎金支付方式的变化 .......................................................................................................................................... 4
3.3 移动终端的勒索软件 .......................................................................................................................................... 4
3.4 新的威胁趋势 ...................................................................................................................................................... 6
3.5 小结 ..................................................................................................................................................................... 6
4 典型勒索软件家族分析 ....................................................................................................................................... 8
4.1 REDPLUS ................................................................................................................................................................. 8
4.2 QIAOZHAZ ............................................................................................................................................................... 9
4.3 CRYPTOLOCKER ......................................................................................................................................................... 9
4.4 CTB-LOCKER .......................................................................................................................................................... 11
4.5 移动平台勒索软件 ............................................................................................................................................ 14
5 防御:我该做什么 .............................................................................................................................................. 15
5.1 安全建议与解决办法 ........................................................................................................................................ 15
5.2 普通用户的防御方法 ........................................................................................................................................ 16
5.3 企业用户的防御方法 ........................................................................................................................................ 16
6 总结..................................................................................................................................................................... 17
附录一:参考资料 ...................................................................................................................................................... 18
附录二:关于安天 ...................................................................................................................................................... 20
揭开勒索软件的真面目
©安天实验室 版权所有,欢迎无损转载 第 1 页
1 前言
2013 年 9 月,戴尔公司的 SecureWorks 威胁应对部门(CTU)发现了一种名为“CryptoLocker”的勒索
软件,它以邮件附件形式分发,感染计算机并加密近百种格式文件(包括电子表格、数据库、图片等),向
用户勒索 300 美元或 300 欧元。据统计,仅在最初的 100 天时间内,该勒索软件就感染了 20 万至 25 万个
系统
[1]
。
2014 年 8 月,《纽约时报》报道了这样一则消息:一种名为“ScarePackage”的勒索软件在一个月的时
间内感染了约 90 万部 Android 手机,该软件不仅会访问手机的摄像头、电话功能,还会在手机屏幕弹出消
息,指责手机用户传播色情内容,手机用户只有支付了几百美元的“赎金”才能正常使用手机
[2]
。
2014 年 12 月,安全公司 Sophos 和 ESET 的研究人员发现了一种可以自我复制的勒索软件(VirLock,又
称 VirRansom),该软件不仅会加密受害主机的文档、图片、音频、视频和压缩文件,同时还会使计算机“锁
屏”,以侵犯著作权为由,向计算机用户索要 0.652 个比特币
[3]
(根据本文撰写时的比特币兑换价格,约合
1027 元人民币)。
对于传统的感染式病毒,未安装反病毒软件的用户会因中毒而导致系统程序和应用程序被感染,不过
一般可以通过重新安装操作系统和应用程序解决问题;对于远程控制类木马,用户可以采用临时断开网络
的办法,暂时摆脱攻击者的远程控制。但是,如果计算机上的照片被勒索软件加密,用户很可能会彻底失
去一段美好的回忆;如果被加密的是急需使用而又没有备份的毕业论文、重要资料,恐怕用户也只好向犯
罪分子屈服,乖乖地支付赎金。勒索软件为何如此猖狂?它是如何向用户进行勒索的?我们又该如何检测
与预防这类威胁?本文将全面介绍勒索软件的传播手段、攻击流程及防御方法,彻底揭开勒索软件的真面
目。
1.1 何谓勒索软件
勒索软件(ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户
数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、
数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来
说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。有时,即使用户支
付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。
1.2 主要传播手段
勒索软件的传播手段与常见的木马非常相似,主要有以下几种:
1. 借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行
2. 与其他恶意软件捆绑发布
3. 作为电子邮件附件传播
4. 借助可移动存储介质传播
1.3 主要表现形式
一旦用户受到勒索软件的感染,通常会有如下表现形式,包括:
1. 锁定计算机或移动终端屏幕
2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓的“杀毒软件”
揭开勒索软件的真面目
©安天实验室 版权所有,欢迎无损转载 第 2 页
3. 计算机屏幕弹出类似下图的提示消息,称用户文件被加密,要求支付赎金
图 1 勒索软件弹出的提示消息
2 勒索软件的分类
根据勒索软件所使用的勒索方式,主要分为以下三类:
1. 影响用户系统的正常使用。比如 PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等,会采用锁定系
统屏幕等方式,迫使系统用户付款,以换取对系统的正常使用。
2. 恐吓用户。比如 FakeAV(Trojan[Ransom]/Win32.FakeAV)等,会伪装成反病毒软件,谎称在用户的
系统中发现病毒,诱骗用户付款购买其“反病毒软件”。又如 Reveton(Trojan[Ransom]/Win32.Foreign),
会根据用户所处地域不同而伪装成用户所在地的执法机构,声称用户触犯法律,迫使用户支付赎金。
3. 绑 架 用 户 数 据 。 这 是 近 期 比 较 常 见 的 一 种 勒 索 方 式 , 最 典 型 的 是 CTB-Locker 家族
(Trojan[Ransom]/Win32.CTBLocker),采用高强度的加密算法,加密用户文档,只有在用户支付赎
金后,才提供解密文档的方法。
根据上述分类方法,结合具体行为、运行平台,可将勒索软件整理如下表:
方
式
具体行为
平台
典型家族命名
其它名称
影
响
使
用
锁定系统屏幕
Windows
Trojan/Win32.QiaoZhaz
QiaoZhaz
Android
Trojan[rog,sys,fra]/Android.DevLockeer
DevLockeer
Trojan[rog,sys,fra]/Android.Koler
Koler
Trojan[rog,sys,pay]/Android.Locker
Locker
修改文件关联
Windows
Trojan/Win32.QiaoZhaz
QiaoZhaz
拦截手机来电
Android
Trojan[rog,fra,sys]/Android.Cokri
Cokri
色情无限弹窗
Android
Trojan[rog,sys,fra]/Android.Koler
Koler
伪装色情应用
Android
Trojan[rog,sys]/Android.simplelock
simplelock
恐
吓
用
户
伪装杀毒软件
Windows
Trojan[Ransom]/Win32.FakeAV
FakeAV
Android
Trojan[rog,sys]/Android.Svpeng
Svpeng
Trojan[rog,sys]/Android.simplelock
simplelock
伪装当地执法机构
Windows
Trojan[Ransom]/Win32.Foreign
Reveton
揭开勒索软件的真面目
©安天实验室 版权所有,欢迎无损转载 第 3 页
方
式
具体行为
平台
典型家族命名
其它名称
绑
架
数
据
隐藏用户文件
DOS
Trojan/DOS.AidsInfo
PC Cyborg
Windows
Trojan/Win32.Pluder
Redplus
删除用户文件
Windows
Trojan/Win32.QiaoZhaz
QiaoZhaz
Android
Trojan[rog,sys,fra]/Android.Koler
Koler
加密用户文档数据
Windows
Trojan[Ransom]/Win32.CTBLocker
CTB-Locker
Trojan[Ransom]/Win32.Blocker
Trojan[Ransom]/Win32.Bitman
CrytoLocker
Trojan[Ransom]/Win32.Locker
Locker
Android
Trojan[rog,sys]/Android.simplelock
simplelock
Android
Trojan[rog,sys,fra]/Android.Koler
Koler
加密通讯录
Android
Trojan[rog,fra,sys]/Android.Cokri
Cokri
3 勒索软件的演进史
3.1 几种典型勒索软件家族的出现
已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg
木马”),其作者为 Joseph Popp。该木马程序以“艾滋病信息引导盘”的形式进入系统,采用替换 AUTOEXEC.BAT
(DOS 系统文件,位于启动盘根目录,文件为文件格式,用于描述系统启动时自动加载执行的命令)文件
的方式,实现在开机时记数。一旦系统启动次数达到 90 次时,该木马将隐藏磁盘的多个目录,C 盘的全部
文件名也会被加密(从而导致系统无法启动)。此时,屏幕将显示信息,声称用户的软件许可已经过期,要
求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去 189 美元,以解锁系统。作者在被起诉时曾为自己辩解,
称其非法所得用于艾滋病研究。
2001 年,专门仿冒反病毒软件的恶意代码家族(Trojan[Ransom]/Win32.FakeAV)出现,2008 年左右开
始在国外流行。该恶意代码家族的界面内容为英文,又因为当时国内部分反病毒厂商已经开始采用免费的
价格策略,所以该恶意代码家族在国内不容易得逞,对国内影响相对较小。FakeAV 在伪装成反病毒软件欺
骗用户的过程中,所使用的窗体标题极具迷惑性。据安天 CERT 统计,其标题有数百种之多,常用标题如下
表所示:
窗体标题
中文翻译
AntiSpyWare2008
反间谍软件 2008
AntiVirus2013
反病毒软件 2013
Security Defender
安全卫士
ScannRepair
扫描修复工具
Virus Doctor
病毒医生
Spyware Cleaner
间谍软件清除者/终结者
System Care Antivirus
系统护理杀毒
Data Recovery
数据恢复
AVDefender 2014
反病毒卫士 2014
AVSecurity 2015
反病毒安全 2015
剩余21页未读,继续阅读
宏馨
- 粉丝: 20
- 资源: 293
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 111111111111111111111
- 汉诺塔python代码递归
- 汉诺塔python代码递归
- 汉诺塔python代码递归
- MySQL 8.0 实战教程从入门到项目实战.docx
- 汉诺塔问题是一个经典的递归问题 在这个问题中,我们有三个塔座(通常被称为A、B和C),并且我们有一堆大小不同的盘子,每个盘子都可
- TB-03 二次开发环境搭建指导
- 汉诺塔问题是一个经典的递归问题 在这个问题中,我们有三个塔座(通常被称为A、B和C),并且我们有一堆大小不同的盘子,每个盘子都可
- 汉诺塔问题是一个经典的递归问题 在这个问题中,我们有三个塔座(通常被称为A、B和C),并且我们有一堆大小不同的盘子,每个盘子都可
- 遗传粒子群算法(GA),MATLAB源代码,解决旅行商问题(TSP)
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0