WannaCry勒索病毒余波未平,有關新變種的各種報道再次刺激了行業神經,而黑客組織“影子經紀人”宣稱將從6月開始出售更重磅武器的傳聞,更是讓社會談毒色變。作為抗擊病毒第一線的親歷者,騰訊反病毒實驗室負責人馬勁松對事件演進及影響做了復盤。馬勁松表示,從捕獲第一個樣本到騰訊電腦管家快速上線防御方案,騰訊反病毒實驗室對該病毒進行了全面的分析,不但研究了病毒本身的原理,還研究了其前身,以及關注其持續的變種。
在病毒爆發的96小時內,騰訊安全團隊吹響了抗擊勒索病毒的先鋒號,并且現在對病毒變種也提供了完善的處理方案。實際上,WannaCry勒索病毒的實際破壞性也不像部分廠商描述的那樣可怕。而關于部分境外團隊及媒體報道病毒已經發現新變種,馬勁松表示,騰訊反病毒實驗室確實也捕獲到了變種樣本,但還沒有掌握其具備大規模破壞性的證據,其中大部分也是利用了微軟公司Windows操作系統的SMB服務漏洞(MS17-010)進行傳播感染,只要用戶安裝騰訊電腦管家,按照電腦管家的提示打補丁,病毒就會被牢牢的鎖在“門外”。
馬勁松表示,騰訊安全反病毒實驗室也在跟進研究,同時呼吁行業在捕獲確切證據之前,不要過度渲染新病毒變種的危害,以免給用戶造成不必要的恐慌。
(騰訊反病毒實驗室想哭病毒實時監控數據)
1.技術分析
勒索病毒近兩年的爆發,很大程度上與加密算法的日益完善有關。密碼學及算法的不斷更新保證了我們日常網絡中數據傳輸和保存的安全性。遺憾的是,勒索病毒的作者也利用了這個特性,使得我們雖然知道了木馬的算法,但由于不知道作者使用的密鑰,也就沒有辦法恢復被惡意加密的文件。
加密算法通常分為對稱加密算法和非對稱加密算法兩大類。這兩類算法在勒索病毒中都被使用過。
對稱加密算法的加密和解密使用的是完全相同的密鑰,特點是運算速度較快,但是單獨使用此類算法時,密鑰必須使用某種方法與服務器進行交換,在這個過程中存在被記錄和泄漏的風險。勒索病毒常用的對稱加密算法包括AES算法和RC4算法。
非對稱加密算法也被稱為公鑰加密算法,它可以使用公開的密鑰對信息進行加密,而只有私鑰的所有者才可以解密,因此只要分發公鑰并保存好私鑰,就可以保證加密后的數據不被破解。與對稱加密相比,非對稱加密算法的運算速度通常較慢。勒索病毒常用的非對稱加密算法包括RSA算法和ECC算法。
通常,勒索病毒會將這兩大類加密算法結合起來使用,既可以迅速完成對整個電腦大量文件的加密,又能保證作者手中的私鑰不被泄漏。
2.爆發特點
目前爆發的勒索病毒大部分具有如下共性特點。
通過郵件的方式,使用大量的非PE載體進行傳播。
使用成熟的、高強度的加密算法。
破壞文件恢復的一些途徑,例如禁用Windows系統的備份和還原機制,或者在刪除文件之前向其中寫入無意義數據,阻止一些數據恢復軟件從已刪除的扇區中恢復文件,進一步增加木馬的破壞性,使得用戶不得不支付贖金。
展示的贖金支付說明指向Tor等暗網中的頁面。
要求受害者使用比特幣支付贖金。比特幣的一個很重要的特點就是它的使用者具有匿名性,通過比特幣收款地址很難追蹤到對應的擁有者。
家族和歷史
CryptoLocker與CryptoWall
CryptoLocker就算不是最早的勒索病毒,也是較早引起人們關注的勒索病毒之一了。早在2013年,就有報道稱其已經入侵了超過25萬臺電腦。很快,在2014年,由美國司法部、FBI等部門聯合發起的國際執法安全行動Operation Tovar(有媒體音譯為托瓦爾行動)中,此木馬及其傳播工具被破獲,并且有安全公司拿到了部分解密密鑰,為此前已經被加密的受害者提供文件解密服務。然而這次行動并未成為勒索病毒覆滅的喪鐘,相反卻是今后此類木馬愈演愈烈的起點。
CryptoLocker使用隨機生成的AES密鑰加密文件,然后使用RSA算法加密AES密鑰,這樣能夠提高文件加密的速度。
CTB-Locker
圖1.CTB-Locker木馬敲詐界面
CTB-Locker大概是最早在國內產生反響的勒索病毒。該木馬最早的捕獲時間可追溯到2014年7月,主要通過郵件附件傳播,大概在2015年初的時候,有一部分郵件流入了國內,導致一批受害者被此木馬敲詐,引起了媒體的跟進。
最初版本的CTB-Locker木馬加密文件后,會給文件加上.ctbl的擴展名,不過新版本的木馬已經無此限制。
TeslaCrypt
TeslaCrypt木馬的相關分析和報道最早可追溯到2015年2月,木馬最初的目的可能是要對游戲玩家進行敲詐,不過在后期的更新中,TeslaCrypt也會對其它常見的文檔文件進行加密。
TeslaCrypt的主要傳播方式是網頁掛馬傳播,通過在網頁中植入惡意構造的文件,通過Flash播放器、pdf閱讀器等各種漏洞,在受害者不知情的情況下下載并執行惡意payload,加密其電腦上的文件。
2016年5月的某一天,TeslaCrypt的作者在暗網上宣布停止木馬的開發,并同時給出了解密文件所需要用到的私鑰。
圖2.TeslaCrypt木馬被停止的網頁,截圖來自bleepingcomputer.com
騰訊哈勃分析系統也制作了TeslaCrypt的工具,幫助用戶恢復被加密的文件。
圖3.騰訊哈勃分析系統制作的TeslaCrypt解密工具
Locky
Locky是2016年2月被捕獲到的一類勒索病毒。Locky會采用不同的傳播載體,一開始依然是使用Office宏執行下載代碼,后期的版本會使用js、wsf等多種類型的腳本文件。同時,被加密的文件也會被添加.locky、.zepto、.odin、.thor等多種不同的擴展名。
Locky在使用AES加RSA對文件進行加密后,會根據操作系統語言的不同,向服務器請求不同語言的敲詐文本并進行展示。值得注意的是,在Locky的敲詐界面上,很快出現了繁體中文和簡體中文的敲詐內容。
圖4.某版本Locky木馬敲詐說明,在中文Windows下會顯示繁體中文內容
petya
圖5.Petya木馬發作界面
Petya木馬在2016年3月被安全廠商捕獲。與其它勒索病毒不同的是,此木馬首先修改系統MBR引導扇區,強制重啟后執行引導扇區中的惡意代碼,加密硬盤數據后顯示敲詐信息,是第一個將敲詐和修改MBR合二為一的惡意木馬。
值得一提的是,早期的Petya木馬在算法的使用上有一些問題,可用的密鑰的復雜度偏低,導致可以通過暴力破解的辦法枚舉并找到密鑰,并還原被加密的磁盤。騰訊哈勃分析系統也據此制作了相關的解密工具。
圖6.騰訊哈勃分析系統制作的Petya解密工具
Cerber
Cerber也是最近比較常見的一類木馬,以其給加密后的文件添加.cerber*系列后綴而得名。Cerber主要通過網絡掛馬傳播,至今已升級到第五代,作者使用公開的黑客工具包能夠覆蓋大量的已知漏洞,通過滲透網站、投放惡意廣告等方式進行掛馬。
圖7.Cerber木馬敲詐界面
四、總結
通過以上的分析可以發現,勒索病毒這兩年的爆發,與密碼學、暗網、比特幣等多種技術的發展都是密不可分的。“技術是把雙刃劍”,這句老生常談在此處依然有價值。技術被恰當地利用,可以保護用戶的安全;而到了不法分子手中,也有可能成為受害者面前無法逾越的高山。
對于這些勒索病毒,事前的預防遠比事后的補救來得重要。用戶需要養成良好的安全意識,不隨意打開不明來源的附件或鏈接,也不要隨意下載運行小網站和網盤上分享的電腦軟件或手機應用。日常生活中,建議使用騰訊電腦管家、騰訊手機管家等安全類產品,實時保護電腦和手機的安全。遇到不確定的文件,也可以上傳到哈勃分析系統(https://habo.qq.com/)檢查是否安全。
