日韩欧美另类久久久精品_亚洲大色堂人在线无码_国产三级aⅴ在线播放_在线无码aⅴ精品动漫_国产精品精品国产专区

我要投稿 投訴建議

勒索病毒案例介紹

時間:2021-06-17 20:53:22 電腦知識 我要投稿

勒索病毒案例介紹

  勒索病毒可以導致重要文件無法讀取,關鍵數(shù)據被損壞,給用戶的正常工作帶來了極為嚴重的影響。這種病毒利用各種加密算法對文件進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。下面就是CN人才網為您精心整理的勒索病毒案例介紹,希望可以幫到您。

  勒索病毒案例介紹一

  不斷變換作案手法的敲詐者病毒木馬令用戶越來越難以察覺。近日,騰訊電腦管家安全感知系統(tǒng)發(fā)現(xiàn),備受開發(fā)者青睞的網站搭建平臺WordPress被大范圍攻陷,致使用戶在Chrome或Chrome內核瀏覽器中打開部分使用WordPress平臺搭建的網站時出現(xiàn)亂碼,并提示需要下載字體更新程序并執(zhí)行后才能正常訪問。一旦用戶點擊下載更新,植入其中的新型敲詐者病毒Spora便會自動運行,將所有用戶文件加密。目前,騰訊電腦管家已經可以全面攔截該病毒木馬。

  騰訊電腦管家安全專家在深入分析了被攻陷網站之后,還原了此次病毒作案的始末:此次攻擊系臭名昭著的“EITest”惡意軟件活動所為,已發(fā)現(xiàn)不法分子攻陷了Wordpress框架的網站之后,在該網站正常的頁面代碼末尾添加JavaScript代碼,致使該頁面在用戶訪問時出現(xiàn)亂碼,然后提示下載字體更新程序并執(zhí)行后才能正常訪問。下面可以看到這個代碼在源代碼中的樣子。

  當訪問者訪問此頁面時,腳本將干擾頁面的文本,使其出現(xiàn)亂碼:

  隨后彈出一個警告窗口,指出該頁面因為缺少“HoeflerText”字體無法正確顯示,同時提示點擊Update按鈕從而下載該Chrome字體包。

  當用戶單擊Update按鈕時,彈出窗口會自動下載名為Chrome Font v1.55.exe的文件并將其保存到默認下載文件夾,然后跳轉到一個說明頁面,提示如何找到和運行下載的字體更新程序。

  Chrome Font v1.55.exe實際上是Spora 系列敲詐者病毒。用戶一旦運行該病毒,電腦上所有工作和個人文件將會被加密而無法使用。當完成對文件的加密時,電腦將顯示敲詐頁面,告知中招者登錄Spora支付網站以確定贖金金額或付款。

  勒索病毒案例介紹二

  一、愈演愈烈的敲詐風暴

  只需一封郵件,便能鎖定電腦重要文件進行敲詐

  席卷全球的敲詐風暴,公司被迫支付贖金

  北京的汪為(化名)周一上班后,和往常一樣開始處理手頭的工作。

  汪為所在的公司是一家互聯(lián)網企業(yè),汪為日常的工作是在網上與客戶進行聯(lián)系,維護產品銷售渠道。最近,公司準備出國參加一場展銷會,汪為正跟幾家快遞公司通過郵件商量宣傳物資的郵遞事宜。汪為在未讀郵件中挑出了與快遞相關的部分,逐一閱讀并打開其中的附件。他不知道的是,在這批郵件中,有一封主題為Delivery Notification的郵件,正悄悄地露出自己猙獰的爪牙。

  一小時后,汪為看著自己電腦上被改成亂碼無法打開的文件,以及被修改為敲詐內容的桌面背景,近乎絕望的心情占據了整個內心。

  汪為的遭遇并非個例。自2014年起,陸續(xù)有人在打開郵件之后,發(fā)現(xiàn)自己電腦中的文件被修改,其中不乏公司核心數(shù)據、有重要意義的圖片等內容,一旦丟失造成的損失難以估量。同時,這些受害者都發(fā)現(xiàn),在顯著位置上出現(xiàn)的敲詐文字,內容不外乎是“文件已被加密,如需恢復請按如下方式支付贖金……”云云。

  哈勃分析系統(tǒng)是騰訊反病毒實驗室依托多年技術積累自主研發(fā)的一套樣本安全檢測系統(tǒng)。憑借每日對真實環(huán)境中捕獲的海量樣本進行自動化分析,哈勃分析系統(tǒng)在第一時間捕獲到了這類木馬。

  據哈勃分析系統(tǒng)長時間跟蹤發(fā)現(xiàn),敲詐木馬最初僅在國外傳播,后來逐漸滲透到國內,敲詐使用的語言也從單一的英語逐漸發(fā)展到了包括中文在內的多種語言。受到木馬影響的公司不乏醫(yī)院、公交公司這樣的大型企業(yè)。更為嚴重的是,除了一些自身含有漏洞的木馬之外,還有很多木馬并無有效的解決之道,如果事先防范措施沒有做好,中招之后除了聯(lián)系不法分子之外無計可施。雖然FBI曾經提示不要支付贖金,以免木馬制作者嘗到甜頭,繼續(xù)傳播木馬,然而對于一些重要的數(shù)據被加密的公司而言,這是無奈之中最后的辦法,例如好萊塢某醫(yī)院為了恢復患者病歷,被迫支付了相當于數(shù)萬美元的贖金。

  二、木馬的傳播渠道

  郵件附件是木馬最常見的傳播渠道

  誘導用戶開啟并運行宏是文檔木馬的主要手段

  這些破壞力強大、影響惡劣的木馬,是如何傳播到受害者電腦上的呢?經哈勃分析系統(tǒng)的調查,木馬的常用傳播渠道是通過郵件進行傳播,將木馬偽裝成郵件附件,吸引受害者打開。其中,最常見的附件格式是微軟的Office文檔,木馬使用文檔中的宏功能執(zhí)行惡意命令,再從網上下載真正的惡意程序,對受害者電腦進行攻擊。

  哈勃分析系統(tǒng)研究發(fā)現(xiàn),在木馬入侵受害者電腦的每一步,都有一些固定的套路和模式。

  在木馬傳播的第一步,即發(fā)送帶木馬的郵件時,不法分子通常會使用一些正常的公務主題進行偽裝,誘使受害者打開附件。此前汪為遇到的假冒郵件,是假稱快遞除了問題;除此之外,常見的主題還包括發(fā)票、費用確認等。一個明顯的現(xiàn)象是,處于財務、會計、對外關系等職位的員工,每日收發(fā)的'同類郵件較多,對于這類郵件容易降低警惕心,因此容易成為不法分子發(fā)送郵件的目標。

  如果受害者打開了帶木馬的宏文檔,由于高版本Office中,默認是不開啟宏的,所以木馬會在文檔正文中誘導用戶啟用宏,使得惡意代碼得以執(zhí)行。

  一個典型的宏木馬,部分宏代碼如下:

  可以將木馬傳到哈勃分析系統(tǒng),在安全的虛擬環(huán)境中查看木馬將要執(zhí)行的惡意行為:

  可以看出,這個文檔中的宏偷偷去下載了一個可執(zhí)行文件并運行。除了直接從網絡上進行下載之外,部分木馬也會通過其它手法釋放惡意文件,例如下面這個木馬:

  連起來看就是,通過復雜字符串拼接得到當前系統(tǒng)temp目錄的絕對路徑,再去執(zhí)行系統(tǒng)temp目錄中的sak33.exe這個文件,但是并沒有發(fā)現(xiàn)下載或者釋放這個文件的對應代碼。郵件中只有這么一個附件,宏中只有拉起這個exe的操作,那么這個exe是從哪來?怎么釋放到這個位置的呢?

  通過在不同操作系統(tǒng)和Office版本上進行對比測試,最終發(fā)現(xiàn)Office文檔中夾帶的其他文件,會使用OLE Object來儲存,而在XP和win7兩個操作系統(tǒng)中OLE Object釋放的方式和路徑不同,該宏病毒寫死了win7下釋放的路徑,所以在XP分析環(huán)境上無法成功執(zhí)行。造成這種情況的原因有兩個可能,一是作者只使用了win7環(huán)境對此宏病毒開發(fā)測試,沒有考慮XP系統(tǒng)的問題;二是作者故意為之,來達到對抗目的。

  在惡意可執(zhí)行文件被運行起來之后,不法分子就可以任意操作受害者的電腦。比如下面這個木馬,在檢測虛擬機和兩步注入后,最終在svchost里邊進行實際惡意行為,將可執(zhí)行文件添加至啟動項并連接遠程服務器:

  在可執(zhí)行程序與黑客的遠程服務器保持通信之后,受害者的電腦已經被黑客占領,最重要的一步已經完成。當然,這個例子中木馬的目的是在受害者的電腦中植入后門,不過同樣的手法,在加密敲詐類木馬中已經被證明同樣有效。

  除了在郵件附件中放置文檔之外,還有一些其它的文件格式被用于木馬的傳播。這些格式有的是可以直接運行的腳本格式,例如Powershell、js、vbs等,有的是格式關聯(lián)的可執(zhí)行文件具有一定的任意執(zhí)行能力,例如JAR、CHM等。哈勃分析系統(tǒng)此前捕獲的“竊聽狂魔”、“冥王”等木馬,都是通過不同的格式執(zhí)行惡意行為。

  三、木馬背后的威脅情報

  惡意服務器位置以美國和俄羅斯數(shù)量最多

  自建惡意網站或者入侵正規(guī)網站,具有較高的反跟蹤意識

  既然大部分文檔木馬中的宏運行起來后,會從網絡上下載可執(zhí)行文件,那么通過下載地址是否能找到有關木馬作者的蛛絲馬跡呢?

  哈勃分析系統(tǒng)抓取了一段時間自動捕獲的木馬數(shù)據,對木馬以及下載時用到的網址進行了統(tǒng)計分析。

  下載網址對應的域名,有一些用的是通用域名,其中又以.com域名最多,占全部域名接近一半的比例。還有一些用的是國家域名,數(shù)量較多的是.cn(中國)和.ru(俄羅斯)。

  同時,通過下載目標的命名可以看出,木馬經常將惡意文件偽裝成jpg、gif之類的圖片文件,或者是訪問php、cgi這樣的動態(tài)網頁,不直接提供文件格式信息,以躲避部分安全產品對exe可執(zhí)行文件的檢查。

【勒索病毒案例介紹】相關文章:

勒索病毒的傳播途徑-勒索病毒的感染原理05-16

如何應對勒索病毒-勒索病毒的防治指南05-15

勒索病毒的應對方法-如何避免勒索病毒的影響05-15

勒索病毒開機指南05-15

如何應對變種勒索病毒-變異勒索病毒免疫工具下載05-22

如何防范勒索病毒的入侵05-16

什么是蠕蟲式勒索病毒05-17

如何應對勒索病毒的感染05-16

如何防御勒索病毒的入侵05-16