璺�婵″倽顫嬮惃鍕瑩閸掆晛鐦戦惍渚婄窗婵″倷缍嶉弸鍕紦閺佹澘鐡х粚娲?閳ユ粍濮㈤崺搴㈡袱閳ワ拷璺�2025闁矮淇婃导姘緟娴犮儱鍨遍弬鐗堝Η閺堫垵绁撮懗鑺ユ煀閸ㄥ鏁搁崝娑氶兇缂侊拷 闁挎劖宓庨惌銉ㄧ槕婢堆嗗壋閹恒劌濮╅弫鍫㈠芳閹绘劕宕�璺�娴犲孩濡ч張顖氬煂閹存ê婧€閿涙艾宕曟稉杞扮隘閼辨柨鍨遍拃銉х壃鐟欘枃I閽€钘夋勾閳ユ粈楠囨稉姘槕閻讲鈧拷璺�Aqara 鐠囶參鐓舵导缈犺崋 H1 濮濓絽绱¢崣鎴濈閿涙艾鍙忕仦瀣浘閹貉嶇礉娑撯偓閸欍儱姘� AI 娴滐拷璺�Social to Sales閿涘苯濮崝娑樻惂閻楀苯鍙忛悶鍐х瑹閸斺€愁杻闂€鍖$稊閺佹媽顕╅弫鍛皑閸椾礁鎳嗛獮瀛樺灛閻c儱宕岀痪锟�璺�鐠у鍏樺Ч鍊熸簠閺傛壆鏁撻幀渚婄窗缁佺偛绐為弫鎵垳閵嗕焦鈧繄顫栭幖鐑樺瀵偓鐏炴洖娓惧宀€鐖虹拋銊ょ窗璺�AI閽€钘夋勾閻喎婧€閺咁垽绱濋崗杈ㄥ赴婢х偤鏆遍弬鏉款暔閿濇粍鏆熺拠瀛樻櫊娴滃│3鐠佸搫娼ч崷鍡樺姬閺€璺虹暭璺�閺傚洤绺捐箛顐ょ垳3.5 閸忋劍鏌婇崡鍥╅獓閿涙矮璐熼惂鎯у閸掓盯鈧拷40%閺傛澘顤冩禒锝囩垳閿涘瞼鐤拋鈩冩箛閸旓拷760娑撳洤绱戦崣鎴b偓锟�璺�濞村嘲宕¢懕鏃堚偓姘絺鐢拷"閸欏奔绔鹃崗锟�"缂冩垹绮跺楦款啎閹存劖鐏夐敍宀冧粓閸氬牆宕曟稉鐑樼€粵鎴e殰鐠愬憡鑵愰弫鏉跨摟缂佸繑绁归弬鏉跨唨鎼达拷璺�婢舵牕宕犵€圭偛鍠岀粣妤佹纯娓氭寧宓庨敍宀€娅ㄦ禍鑳夌拹瀛樻纯娴兼ɑ鍎敍渚€鈧喐娼垫担鎾荤崣妤﹁儻鎸嬮悧鍫滃惈娑撴粌鎼х拹銊ヮ樆閸楋拷璺�閺呴缚鍏樻す楣冣敀閻戭厽鐤嗘稉瀣畱鐎瑰鍙忕憴澶愬晪閿涙艾宕曟稉楦夸粓閸氾拷11鐎规儼婧呮导浣瑰腹閸斻劏顢戞稉姘冲殰瀵板绗岄幎鈧張顖氬磳缁撅拷璺�鐏忓繒鑳岄幍瀣簚閺冨爼娈ч崡浣稿嬀閸愬秵顐奸惂濠氥€婇崶钘夊敶濮掓粓顩婚敍宀冪Т鐡掑﹤宕曟稉鎭掆偓涓盤PO閵嗕浇瀚婚弸锟�璺�QQ 9.1.70閺傛壆澧楅張顒€绱戦崥顖涚ゴ鐠囨洩绱濋崣顖涙暜閹镐礁浜曟穱鈥崇毈缁嬪绨�璺�閹厼鏋╅弸妤佹纯閺傜増鍨氭稉娲彯鐠愮數娈慐8閻溾晛顔嶉敍浣规崳娣囷紕娅ㄩ崥瀣亣鐏炲繗顔€鐎广垹宸虹粔鎺戝綁娑撴牔鍕橀弶顖濈閸︼拷璺�妫f牕褰傛渚€绶�8閼峰啿鐨ф0鍡楀帥閻楀牞绱掗悽鐢电彽閹嗗厴閺冩鍩岄懡锝堚偓鈧珿T Pro濮濓絽绱¢崣鎴濈閿涳拷3199閸忓啳鎹�璺�7200mAh瀹搞劌鍚旈悽鍨潨閵嗕線鐛婃Λ锟�8閼峰啿鐨ч懞顖樷偓浣烘暩缁旂偟楠囬幙宥嗗付閿涘矁宕抽懓鈧珿T Pro闁插秵鏌婄€规矮绠�3000閸忓啯銆傛担宥囨畱濞撳憡鍨欑憴鍕灟璺�閳ユ粌鐨仦蹇撱亣姒勬梻甯囬垾婵呯閸旓拷13T濮濓絽绱¢崣鎴濈 閸ュ€熕夐崥搴℃暛娴狅拷2899閸忓啳鎹�璺�閹舵牠鐓堕悽鐔告た閺堝秴濮�2025楠炴番鈧苯绺鹃崝銊︻渷閵嗗秴褰傜敮鍐跨窗閳ユ粌銈介崥鍐b偓婵嗘嫲閳ユ粌鎮嗘總瑙b偓婵嬪厴闁插秷顩�璺�楠炵浜ゆ禍铏规畱閸嬪洦婀$紒顓″焻閸栧拑绱伴幎濠囶樀閸樺懎鎮嗛幋鎰ㄢ偓婊勬⒕鐞涘矁鐦悽銊棅閳ワ拷璺�濮f梹妫楅懜鎷岀箷閺冩鍩岄敍鐔峰灠閻栧棙鏋¢惃鍕箹濞嗛箖鐝€规氨鏁哥憴鍡礉鐎圭偛婀禒銈勬眽閺堢喎绶熼敍锟�璺�2025娑擃厼娴楃€硅泛娑甸崗銊ョ溈閻€劍鎸夌悰灞肩瑹妤傛ê鍢茬拋鍝勬涧閸欘剙绱戦敍灞藉磿鐢繂绱╂0鍡欐暏濮樻潙浠存惔宄板綁闂堬拷璺�BYDFi濮濓絽绱℃稉濠勫殠闁惧彞绗傛禍銈嗘瀹搞儱鍙縈oonX 瀵偓閸氱枌EX+DEX閸欏苯绱╅幙搴㈡娴狅拷璺�閻ф儳瀹抽張澶愨敋绾剚鐗虫禍顔炬祲2025娑撳﹥鎹f潪锕€鐫嶉敍姘辨暏閸掓稒鏌婇幎鈧張顖涘ⅵ闁俺顢戞稉姘嚠鐠囨繀绗岄悽銊﹀煕閺堝秴濮�璺�閺勭喓骞嗙粔鎴炲Η閸忋儵鈧銇囧Ο鈥崇€锋惔鏃傛暏娴溿倓绮笟娑樼安閸熷棗鎮曡ぐ鏇礉妫板棜鍩匒I娴溠傜瑹閺傛壆鏁撻幀锟�璺�閼诲繐鐣為弰鎾瑰枠濞h精鈧洜鑿犲ù宄扮閸︾尨绱濋幋妯兼殣閸忋劑娼伴崥顖氬З閿涳拷璺�闁板嘲绱戦弫娆掑仜閺呴缚鍏樻担鎿勭窗娴狀檱I娴滄帒濮╁鈧崥顖椻偓婊冾劅缂佸啯鈧績鈧繀绔存担鎾冲闂堚晛鎳�璺�閼斤綀鈧偓 MagicBook Pro16 缁楁棁顔囬張锟� HUNTER 閻楋拷 4 閺堬拷 30 閺冦儱褰傜敮鍐跨礉閹碱叀娴� RTX5070 閺勬儳宕�璺�閻喐鍨淕T7濮濓絽绱¢崣鎴濈閿涳拷2599閸忓啳鎹i敍灞炬儗鏉烇拷3nm婢垛晝甯�9400+璺�YOUMAGIC濠ь垱绨ú璇插З閸﹀棙寮ч拃钘夌閿涘本褰粔妯荤閸楀孩娅ら柅鐘殿潠閹垛偓缂囧骸顒熼弬鎷屽瘱瀵拷璺�瑜版捁銈垮﹢鏍敾妤稿ジ浜g憴浣搞偉閺傤垰宕辫ぐ鍗炵閿涙矮绔撮崷鍝勫腹閹村潡鍣烽惃鍕厬缂囧海鍏愭顏呮瀮閸栨牕顦绘禍锟�
您现在的位置:首页 >> 互联网 >> 正文
腾讯反病毒实验室:揭秘WannaCry勒索病毒的前世今生
发表时间:2017年5月18日 19:03 来源:新科技 责任编辑:编 辑:麒麟

WannaCry勒索病毒余波未平,有关新变种的各种报道再次刺激了行业神经,而黑客组织“影子经纪人”宣称将从6月开始出售更重磅武器的传闻,更是让社会谈毒色变。作为抗击病毒第一线的亲历者,腾讯反病毒实验室负责人马劲松对事件演进及影响做了复盘。马劲松表示,从捕获第一个样本到腾讯电脑管家快速上线防御方案,腾讯反病毒实验室对该病毒进行了全面的分析,不但研究了病毒本身的原理,还研究了其前身,以及关注其持续的变种。

在病毒爆发的96小时内,腾讯安全团队吹响了抗击勒索病毒的先锋号,并且现在对病毒变种也提供了完善的处理方案。实际上,WannaCry勒索病毒的实际破坏性也不像部分厂商描述的那样可怕。而关于部分境外团队及媒体报道病毒已经发现新变种,马劲松表示,腾讯反病毒实验室确实也捕获到了变种样本,但还没有掌握其具备大规模破坏性的证据,其中大部分也是利用了微软公司Windows操作系统的SMB服务漏洞(MS17-010)进行传播感染,只要用户安装腾讯电脑管家,按照电脑管家的提示打补丁,病毒就会被牢牢的锁在“门外”。

马劲松表示,腾讯安全反病毒实验室也在跟进研究,同时呼吁行业在捕获确切证据之前,不要过度渲染新病毒变种的危害,以免给用户造成不必要的恐慌。

(腾讯反病毒实验室想哭病毒实时监控数据)

1.技术分析

勒索病毒近两年的爆发,很大程度上与加密算法的日益完善有关。密码学及算法的不断更新保证了我们日常网络中数据传输和保存的安全性。遗憾的是,勒索病毒的作者也利用了这个特性,使得我们虽然知道了木马的算法,但由于不知道作者使用的密钥,也就没有办法恢复被恶意加密的文件。

加密算法通常分为对称加密算法和非对称加密算法两大类。这两类算法在勒索病毒中都被使用过。

l 对称加密算法的加密和解密使用的是完全相同的密钥,特点是运算速度较快,但是单独使用此类算法时,密钥必须使用某种方法与服务器进行交换,在这个过程中存在被记录和泄漏的风险。勒索病毒常用的对称加密算法包括AES算法和RC4算法。

l 非对称加密算法也被称为公钥加密算法,它可以使用公开的密钥对信息进行加密,而只有私钥的所有者才可以解密,因此只要分发公钥并保存好私钥,就可以保证加密后的数据不被破解。与对称加密相比,非对称加密算法的运算速度通常较慢。勒索病毒常用的非对称加密算法包括RSA算法和ECC算法。

通常,勒索病毒会将这两大类加密算法结合起来使用,既可以迅速完成对整个电脑大量文件的加密,又能保证作者手中的私钥不被泄漏。

2.爆发特点

目前爆发的勒索病毒大部分具有如下共性特点。

l 通过邮件的方式,使用大量的非PE载体进行传播。

l 使用成熟的、高强度的加密算法。

l 破坏文件恢复的一些途径,例如禁用Windows系统的备份和还原机制,或者在删除文件之前向其中写入无意义数据,阻止一些数据恢复软件从已删除的扇区中恢复文件,进一步增加木马的破坏性,使得用户不得不支付赎金。

l 展示的赎金支付说明指向Tor等暗网中的页面。

l 要求受害者使用比特币支付赎金。比特币的一个很重要的特点就是它的使用者具有匿名性,通过比特币收款地址很难追踪到对应的拥有者。

家族和历史

CryptoLocker与CryptoWall

CryptoLocker就算不是最早的勒索病毒,也是较早引起人们关注的勒索病毒之一了。早在2013年,就有报道称其已经入侵了超过25万台电脑。很快,在2014年,由美国司法部、FBI等部门联合发起的国际执法安全行动Operation Tovar(有媒体音译为托瓦尔行动)中,此木马及其传播工具被破获,并且有安全公司拿到了部分解密密钥,为此前已经被加密的受害者提供文件解密服务。然而这次行动并未成为勒索病毒覆灭的丧钟,相反却是今后此类木马愈演愈烈的起点。

CryptoLocker使用随机生成的AES密钥加密文件,然后使用RSA算法加密AES密钥,这样能够提高文件加密的速度。

CTB-Locker

图1.CTB-Locker木马敲诈界面

CTB-Locker大概是最早在国内产生反响的勒索病毒。该木马最早的捕获时间可追溯到2014年7月,主要通过邮件附件传播,大概在2015年初的时候,有一部分邮件流入了国内,导致一批受害者被此木马敲诈,引起了媒体的跟进。

最初版本的CTB-Locker木马加密文件后,会给文件加上.ctbl的扩展名,不过新版本的木马已经无此限制。

TeslaCrypt

TeslaCrypt木马的相关分析和报道最早可追溯到2015年2月,木马最初的目的可能是要对游戏玩家进行敲诈,不过在后期的更新中,TeslaCrypt也会对其它常见的文档文件进行加密。

TeslaCrypt的主要传播方式是网页挂马传播,通过在网页中植入恶意构造的文件,通过Flash播放器、pdf阅读器等各种漏洞,在受害者不知情的情况下下载并执行恶意payload,加密其电脑上的文件。

2016年5月的某一天,TeslaCrypt的作者在暗网上宣布停止木马的开发,并同时给出了解密文件所需要用到的私钥。

图2.TeslaCrypt木马被停止的网页,截图来自bleepingcomputer.com

腾讯哈勃分析系统也制作了TeslaCrypt的工具,帮助用户恢复被加密的文件。

图3.腾讯哈勃分析系统制作的TeslaCrypt解密工具

Locky

Locky是2016年2月被捕获到的一类勒索病毒。Locky会采用不同的传播载体,一开始依然是使用Office宏执行下载代码,后期的版本会使用js、wsf等多种类型的脚本文件。同时,被加密的文件也会被添加.locky、.zepto、.odin、.thor等多种不同的扩展名。

Locky在使用AES加RSA对文件进行加密后,会根据操作系统语言的不同,向服务器请求不同语言的敲诈文本并进行展示。值得注意的是,在Locky的敲诈界面上,很快出现了繁体中文和简体中文的敲诈内容。

图4.某版本Locky木马敲诈说明,在中文Windows下会显示繁体中文内容

Petya

图5.Petya木马发作界面

Petya木马在2016年3月被安全厂商捕获。与其它勒索病毒不同的是,此木马首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,是第一个将敲诈和修改MBR合二为一的恶意木马。

值得一提的是,早期的Petya木马在算法的使用上有一些问题,可用的密钥的复杂度偏低,导致可以通过暴力破解的办法枚举并找到密钥,并还原被加密的磁盘。腾讯哈勃分析系统也据此制作了相关的解密工具。

图6.腾讯哈勃分析系统制作的Petya解密工具

Cerber

Cerber也是最近比较常见的一类木马,以其给加密后的文件添加.cerber*系列后缀而得名。Cerber主要通过网络挂马传播,至今已升级到第五代,作者使用公开的黑客工具包能够覆盖大量的已知漏洞,通过渗透网站、投放恶意广告等方式进行挂马。

图7.Cerber木马敲诈界面

四、总结

通过以上的分析可以发现,勒索病毒这两年的爆发,与密码学、暗网、比特币等多种技术的发展都是密不可分的。“技术是把双刃剑”,这句老生常谈在此处依然有价值。技术被恰当地利用,可以保护用户的安全;而到了不法分子手中,也有可能成为受害者面前无法逾越的高山。

对于这些勒索病毒,事前的预防远比事后的补救来得重要。用户需要养成良好的安全意识,不随意打开不明来源的附件或链接,也不要随意下载运行小网站和网盘上分享的电脑软件或手机应用。日常生活中,建议使用腾讯电脑管家、腾讯手机管家等安全类产品,实时保护电脑和手机的安全。遇到不确定的文件,也可以上传到哈勃分析系统(https://habo.qq.com/)检查是否安全。

相关文章
关于我们 | 联系我们 | 友情链接 | 版权声明
新科技网络【京ICP备15027068号】
Copyright © 2015 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。