勒索病毒案例介紹

　　勒索病毒可以導(dǎo)致重要文件無法讀取，關(guān)鍵數(shù)據(jù)被損壞，給用戶的正常工作帶來了極為嚴(yán)重的影響。這種病毒利用各種加密算法對文件進(jìn)行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。下面就是CN人才網(wǎng)為您精心整理的勒索病毒案例介紹，希望可以幫到您。

　　勒索病毒案例介紹一

　　不斷變換作案手法的敲詐者病毒木馬令用戶越來越難以察覺。近日，騰訊電腦管家安全感知系統(tǒng)發(fā)現(xiàn)，備受開發(fā)者青睞的網(wǎng)站搭建平臺WordPress被大范圍攻陷，致使用戶在Chrome或Chrome內(nèi)核瀏覽器中打開部分使用WordPress平臺搭建的網(wǎng)站時出現(xiàn)亂碼，并提示需要下載字體更新程序并執(zhí)行后才能正常訪問。一旦用戶點(diǎn)擊下載更新，植入其中的新型敲詐者病毒Spora便會自動運(yùn)行，將所有用戶文件加密。目前，騰訊電腦管家已經(jīng)可以全面攔截該病毒木馬。

　　騰訊電腦管家安全專家在深入分析了被攻陷網(wǎng)站之后，還原了此次病毒作案的始末：此次攻擊系臭名昭著的“EITest”惡意軟件活動所為，已發(fā)現(xiàn)不法分子攻陷了Wordpress框架的網(wǎng)站之后，在該網(wǎng)站正常的頁面代碼末尾添加JavaScript代碼，致使該頁面在用戶訪問時出現(xiàn)亂碼，然后提示下載字體更新程序并執(zhí)行后才能正常訪問。下面可以看到這個代碼在源代碼中的樣子。

　　當(dāng)訪問者訪問此頁面時，腳本將干擾頁面的文本，使其出現(xiàn)亂碼：

　　隨后彈出一個警告窗口，指出該頁面因?yàn)槿鄙?ldquo;HoeflerText”字體無法正確顯示，同時提示點(diǎn)擊Update按鈕從而下載該Chrome字體包。

　　當(dāng)用戶單擊Update按鈕時，彈出窗口會自動下載名為Chrome Font v1.55.exe的文件并將其保存到默認(rèn)下載文件夾，然后跳轉(zhuǎn)到一個說明頁面，提示如何找到和運(yùn)行下載的字體更新程序。

　　Chrome Font v1.55.exe實(shí)際上是Spora 系列敲詐者病毒。用戶一旦運(yùn)行該病毒，電腦上所有工作和個人文件將會被加密而無法使用。當(dāng)完成對文件的加密時，電腦將顯示敲詐頁面，告知中招者登錄Spora支付網(wǎng)站以確定贖金金額或付款。

　　勒索病毒案例介紹二

　　一、愈演愈烈的敲詐風(fēng)暴

　　只需一封郵件，便能鎖定電腦重要文件進(jìn)行敲詐

　　席卷全球的敲詐風(fēng)暴，公司被迫支付贖金

　　北京的汪為(化名)周一上班后，和往常一樣開始處理手頭的工作。

　　汪為所在的公司是一家互聯(lián)網(wǎng)企業(yè)，汪為日常的工作是在網(wǎng)上與客戶進(jìn)行聯(lián)系，維護(hù)產(chǎn)品銷售渠道。最近，公司準(zhǔn)備出國參加一場展銷會，汪為正跟幾家快遞公司通過郵件商量宣傳物資的郵遞事宜。汪為在未讀郵件中挑出了與快遞相關(guān)的部分，逐一閱讀并打開其中的附件。他不知道的是，在這批郵件中，有一封主題為Delivery Notification的郵件，正悄悄地露出自己猙獰的爪牙。

　　一小時后，汪為看著自己電腦上被改成亂碼無法打開的文件，以及被修改為敲詐內(nèi)容的桌面背景，近乎絕望的心情占據(jù)了整個內(nèi)心。

　　汪為的遭遇并非個例。自2014年起，陸續(xù)有人在打開郵件之后，發(fā)現(xiàn)自己電腦中的文件被修改，其中不乏公司核心數(shù)據(jù)、有重要意義的圖片等內(nèi)容，一旦丟失造成的損失難以估量。同時，這些受害者都發(fā)現(xiàn)，在顯著位置上出現(xiàn)的敲詐文字，內(nèi)容不外乎是“文件已被加密，如需恢復(fù)請按如下方式支付贖金……”云云。

　　哈勃分析系統(tǒng)是騰訊反病毒實(shí)驗(yàn)室依托多年技術(shù)積累自主研發(fā)的一套樣本安全檢測系統(tǒng)。憑借每日對真實(shí)環(huán)境中捕獲的海量樣本進(jìn)行自動化分析，哈勃分析系統(tǒng)在第一時間捕獲到了這類木馬。

　　據(jù)哈勃分析系統(tǒng)長時間跟蹤發(fā)現(xiàn)，敲詐木馬最初僅在國外傳播，后來逐漸滲透到國內(nèi)，敲詐使用的語言也從單一的英語逐漸發(fā)展到了包括中文在內(nèi)的多種語言。受到木馬影響的公司不乏醫(yī)院、公交公司這樣的大型企業(yè)。更為嚴(yán)重的是，除了一些自身含有漏洞的木馬之外，還有很多木馬并無有效的解決之道，如果事先防范措施沒有做好，中招之后除了聯(lián)系不法分子之外無計可施。雖然FBI曾經(jīng)提示不要支付贖金，以免木馬制作者嘗到甜頭，繼續(xù)傳播木馬，然而對于一些重要的數(shù)據(jù)被加密的公司而言，這是無奈之中最后的辦法，例如好萊塢某醫(yī)院為了恢復(fù)患者病歷，被迫支付了相當(dāng)于數(shù)萬美元的贖金。

　　二、木馬的傳播渠道

　　郵件附件是木馬最常見的傳播渠道

　　誘導(dǎo)用戶開啟并運(yùn)行宏是文檔木馬的主要手段

　　這些破壞力強(qiáng)大、影響惡劣的木馬，是如何傳播到受害者電腦上的呢?經(jīng)哈勃分析系統(tǒng)的調(diào)查，木馬的常用傳播渠道是通過郵件進(jìn)行傳播，將木馬偽裝成郵件附件，吸引受害者打開。其中，最常見的附件格式是微軟的Office文檔，木馬使用文檔中的宏功能執(zhí)行惡意命令，再從網(wǎng)上下載真正的惡意程序，對受害者電腦進(jìn)行攻擊。

　　哈勃分析系統(tǒng)研究發(fā)現(xiàn)，在木馬入侵受害者電腦的每一步，都有一些固定的套路和模式。

　　在木馬傳播的第一步，即發(fā)送帶木馬的郵件時，不法分子通常會使用一些正常的公務(wù)主題進(jìn)行偽裝，誘使受害者打開附件。此前汪為遇到的假冒郵件，是假稱快遞除了問題;除此之外，常見的主題還包括發(fā)票、費(fèi)用確認(rèn)等。一個明顯的現(xiàn)象是，處于財務(wù)、會計、對外關(guān)系等職位的員工，每日收發(fā)的'同類郵件較多，對于這類郵件容易降低警惕心，因此容易成為不法分子發(fā)送郵件的目標(biāo)。

　　如果受害者打開了帶木馬的宏文檔，由于高版本Office中，默認(rèn)是不開啟宏的，所以木馬會在文檔正文中誘導(dǎo)用戶啟用宏，使得惡意代碼得以執(zhí)行。

　　一個典型的宏木馬，部分宏代碼如下：

　　可以將木馬傳到哈勃分析系統(tǒng)，在安全的虛擬環(huán)境中查看木馬將要執(zhí)行的惡意行為：

　　可以看出，這個文檔中的宏偷偷去下載了一個可執(zhí)行文件并運(yùn)行。除了直接從網(wǎng)絡(luò)上進(jìn)行下載之外，部分木馬也會通過其它手法釋放惡意文件，例如下面這個木馬：

　　連起來看就是，通過復(fù)雜字符串拼接得到當(dāng)前系統(tǒng)temp目錄的絕對路徑，再去執(zhí)行系統(tǒng)temp目錄中的sak33.exe這個文件，但是并沒有發(fā)現(xiàn)下載或者釋放這個文件的對應(yīng)代碼。郵件中只有這么一個附件，宏中只有拉起這個exe的操作，那么這個exe是從哪來?怎么釋放到這個位置的呢?

　　通過在不同操作系統(tǒng)和Office版本上進(jìn)行對比測試，最終發(fā)現(xiàn)Office文檔中夾帶的其他文件，會使用OLE Object來儲存，而在XP和win7兩個操作系統(tǒng)中OLE Object釋放的方式和路徑不同，該宏病毒寫死了win7下釋放的路徑，所以在XP分析環(huán)境上無法成功執(zhí)行。造成這種情況的原因有兩個可能，一是作者只使用了win7環(huán)境對此宏病毒開發(fā)測試，沒有考慮XP系統(tǒng)的問題;二是作者故意為之，來達(dá)到對抗目的。

　　在惡意可執(zhí)行文件被運(yùn)行起來之后，不法分子就可以任意操作受害者的電腦。比如下面這個木馬，在檢測虛擬機(jī)和兩步注入后，最終在svchost里邊進(jìn)行實(shí)際惡意行為，將可執(zhí)行文件添加至啟動項(xiàng)并連接遠(yuǎn)程服務(wù)器：

　　在可執(zhí)行程序與黑客的遠(yuǎn)程服務(wù)器保持通信之后，受害者的電腦已經(jīng)被黑客占領(lǐng)，最重要的一步已經(jīng)完成。當(dāng)然，這個例子中木馬的目的是在受害者的電腦中植入后門，不過同樣的手法，在加密敲詐類木馬中已經(jīng)被證明同樣有效。

　　除了在郵件附件中放置文檔之外，還有一些其它的文件格式被用于木馬的傳播。這些格式有的是可以直接運(yùn)行的腳本格式，例如Powershell、js、vbs等，有的是格式關(guān)聯(lián)的可執(zhí)行文件具有一定的任意執(zhí)行能力，例如JAR、CHM等。哈勃分析系統(tǒng)此前捕獲的“竊聽狂魔”、“冥王”等木馬，都是通過不同的格式執(zhí)行惡意行為。

　　三、木馬背后的威脅情報

　　惡意服務(wù)器位置以美國和俄羅斯數(shù)量最多

　　自建惡意網(wǎng)站或者入侵正規(guī)網(wǎng)站，具有較高的反跟蹤意識

　　既然大部分文檔木馬中的宏運(yùn)行起來后，會從網(wǎng)絡(luò)上下載可執(zhí)行文件，那么通過下載地址是否能找到有關(guān)木馬作者的蛛絲馬跡呢?

　　哈勃分析系統(tǒng)抓取了一段時間自動捕獲的木馬數(shù)據(jù)，對木馬以及下載時用到的網(wǎng)址進(jìn)行了統(tǒng)計分析。

　　下載網(wǎng)址對應(yīng)的域名，有一些用的是通用域名，其中又以.com域名最多，占全部域名接近一半的比例。還有一些用的是國家域名，數(shù)量較多的是.cn(中國)和.ru(俄羅斯)。

　　同時，通過下載目標(biāo)的命名可以看出，木馬經(jīng)常將惡意文件偽裝成jpg、gif之類的圖片文件，或者是訪問php、cgi這樣的動態(tài)網(wǎng)頁，不直接提供文件格式信息，以躲避部分安全產(chǎn)品對exe可執(zhí)行文件的檢查。

【勒索病毒案例介紹】相關(guān)文章：

勒索病毒的傳播途徑-勒索病毒的感染原理05-16

如何應(yīng)對勒索病毒-勒索病毒的防治指南05-15

勒索病毒的應(yīng)對方法-如何避免勒索病毒的影響05-15

勒索病毒開機(jī)指南05-15

如何應(yīng)對變種勒索病毒-變異勒索病毒免疫工具下載05-22

如何防范勒索病毒的入侵05-16

什么是蠕蟲式勒索病毒05-17

如何應(yīng)對勒索病毒的感染05-16

如何防御勒索病毒的入侵05-16