勒索病毒案例介绍
勒索病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。下面就是CN人才网为您精心整理的勒索病毒案例介绍,希望可以帮到您。
勒索病毒案例介绍一
不断变换作案手法的敲诈者病毒木马令用户越来越难以察觉。近日,腾讯电脑管家安全感知系统发现,备受开发者青睐的网站搭建平台WordPress被大范围攻陷,致使用户在Chrome或Chrome内核浏览器中打开部分使用WordPress平台搭建的网站时出现乱码,并提示需要下载字体更新程序并执行后才能正常访问。一旦用户点击下载更新,植入其中的新型敲诈者病毒Spora便会自动运行,将所有用户文件加密。目前,腾讯电脑管家已经可以全面拦截该病毒木马。
腾讯电脑管家安全专家在深入分析了被攻陷网站之后,还原了此次病毒作案的始末:此次攻击系臭名昭著的“EITest”恶意软件活动所为,已发现不法分子攻陷了Wordpress框架的网站之后,在该网站正常的页面代码末尾添加JavaScript代码,致使该页面在用户访问时出现乱码,然后提示下载字体更新程序并执行后才能正常访问。下面可以看到这个代码在源代码中的样子。
当访问者访问此页面时,脚本将干扰页面的文本,使其出现乱码:
随后弹出一个警告窗口,指出该页面因为缺少“HoeflerText”字体无法正确显示,同时提示点击Update按钮从而下载该Chrome字体包。
当用户单击Update按钮时,弹出窗口会自动下载名为Chrome Font v1.55.exe的文件并将其保存到默认下载文件夹,然后跳转到一个说明页面,提示如何找到和运行下载的字体更新程序。
Chrome Font v1.55.exe实际上是Spora 系列敲诈者病毒。用户一旦运行该病毒,电脑上所有工作和个人文件将会被加密而无法使用。当完成对文件的加密时,电脑将显示敲诈页面,告知中招者登录Spora支付网站以确定赎金金额或付款。
勒索病毒案例介绍二
一、愈演愈烈的敲诈风暴
只需一封邮件,便能锁定电脑重要文件进行敲诈
席卷全球的敲诈风暴,公司被迫支付赎金
北京的汪为(化名)周一上班后,和往常一样开始处理手头的工作。
汪为所在的公司是一家互联网企业,汪为日常的工作是在网上与客户进行联系,维护产品销售渠道。最近,公司准备出国参加一场展销会,汪为正跟几家快递公司通过邮件商量宣传物资的邮递事宜。汪为在未读邮件中挑出了与快递相关的部分,逐一阅读并打开其中的附件。他不知道的是,在这批邮件中,有一封主题为Delivery Notification的邮件,正悄悄地露出自己狰狞的爪牙。
一小时后,汪为看着自己电脑上被改成乱码无法打开的文件,以及被修改为敲诈内容的桌面背景,近乎绝望的心情占据了整个内心。
汪为的遭遇并非个例。自2014年起,陆续有人在打开邮件之后,发现自己电脑中的文件被修改,其中不乏公司核心数据、有重要意义的图片等内容,一旦丢失造成的损失难以估量。同时,这些受害者都发现,在显著位置上出现的敲诈文字,内容不外乎是“文件已被加密,如需恢复请按如下方式支付赎金……”云云。
哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系统。凭借每日对真实环境中捕获的海量样本进行自动化分析,哈勃分析系统在第一时间捕获到了这类木马。
据哈勃分析系统长时间跟踪发现,敲诈木马最初仅在国外传播,后来逐渐渗透到国内,敲诈使用的语言也从单一的英语逐渐发展到了包括中文在内的多种语言。受到木马影响的公司不乏医院、公交公司这样的大型企业。更为严重的是,除了一些自身含有漏洞的木马之外,还有很多木马并无有效的解决之道,如果事先防范措施没有做好,中招之后除了联系不法分子之外无计可施。虽然FBI曾经提示不要支付赎金,以免木马制作者尝到甜头,继续传播木马,然而对于一些重要的数据被加密的公司而言,这是无奈之中最后的办法,例如好莱坞某医院为了恢复患者病历,被迫支付了相当于数万美元的赎金。
二、木马的传播渠道
邮件附件是木马最常见的传播渠道
诱导用户开启并运行宏是文档木马的主要手段
这些破坏力强大、影响恶劣的木马,是如何传播到受害者电脑上的呢?经哈勃分析系统的调查,木马的常用传播渠道是通过邮件进行传播,将木马伪装成邮件附件,吸引受害者打开。其中,最常见的附件格式是微软的Office文档,木马使用文档中的宏功能执行恶意命令,再从网上下载真正的恶意程序,对受害者电脑进行攻击。
哈勃分析系统研究发现,在木马入侵受害者电脑的每一步,都有一些固定的套路和模式。
在木马传播的第一步,即发送带木马的邮件时,不法分子通常会使用一些正常的公务主题进行伪装,诱使受害者打开附件。此前汪为遇到的假冒邮件,是假称快递除了问题;除此之外,常见的主题还包括发票、费用确认等。一个明显的现象是,处于财务、会计、对外关系等职位的员工,每日收发的'同类邮件较多,对于这类邮件容易降低警惕心,因此容易成为不法分子发送邮件的目标。
如果受害者打开了带木马的宏文档,由于高版本Office中,默认是不开启宏的,所以木马会在文档正文中诱导用户启用宏,使得恶意代码得以执行。
一个典型的宏木马,部分宏代码如下:
可以将木马传到哈勃分析系统,在安全的虚拟环境中查看木马将要执行的恶意行为:
可以看出,这个文档中的宏偷偷去下载了一个可执行文件并运行。除了直接从网络上进行下载之外,部分木马也会通过其它手法释放恶意文件,例如下面这个木马:
连起来看就是,通过复杂字符串拼接得到当前系统temp目录的绝对路径,再去执行系统temp目录中的sak33.exe这个文件,但是并没有发现下载或者释放这个文件的对应代码。邮件中只有这么一个附件,宏中只有拉起这个exe的操作,那么这个exe是从哪来?怎么释放到这个位置的呢?
通过在不同操作系统和Office版本上进行对比测试,最终发现Office文档中夹带的其他文件,会使用OLE Object来储存,而在XP和win7两个操作系统中OLE Object释放的方式和路径不同,该宏病毒写死了win7下释放的路径,所以在XP分析环境上无法成功执行。造成这种情况的原因有两个可能,一是作者只使用了win7环境对此宏病毒开发测试,没有考虑XP系统的问题;二是作者故意为之,来达到对抗目的。
在恶意可执行文件被运行起来之后,不法分子就可以任意操作受害者的电脑。比如下面这个木马,在检测虚拟机和两步注入后,最终在svchost里边进行实际恶意行为,将可执行文件添加至启动项并连接远程服务器:
在可执行程序与黑客的远程服务器保持通信之后,受害者的电脑已经被黑客占领,最重要的一步已经完成。当然,这个例子中木马的目的是在受害者的电脑中植入后门,不过同样的手法,在加密敲诈类木马中已经被证明同样有效。
除了在邮件附件中放置文档之外,还有一些其它的文件格式被用于木马的传播。这些格式有的是可以直接运行的脚本格式,例如Powershell、js、vbs等,有的是格式关联的可执行文件具有一定的任意执行能力,例如JAR、CHM等。哈勃分析系统此前捕获的“窃听狂魔”、“冥王”等木马,都是通过不同的格式执行恶意行为。
三、木马背后的威胁情报
恶意服务器位置以美国和俄罗斯数量最多
自建恶意网站或者入侵正规网站,具有较高的反跟踪意识
既然大部分文档木马中的宏运行起来后,会从网络上下载可执行文件,那么通过下载地址是否能找到有关木马作者的蛛丝马迹呢?
哈勃分析系统抓取了一段时间自动捕获的木马数据,对木马以及下载时用到的网址进行了统计分析。
下载网址对应的域名,有一些用的是通用域名,其中又以.com域名最多,占全部域名接近一半的比例。还有一些用的是国家域名,数量较多的是.cn(中国)和.ru(俄罗斯)。
同时,通过下载目标的命名可以看出,木马经常将恶意文件伪装成jpg、gif之类的图片文件,或者是访问php、cgi这样的动态网页,不直接提供文件格式信息,以躲避部分安全产品对exe可执行文件的检查。
【勒索病毒案例介绍】相关文章:
勒索病毒的传播途径-勒索病毒的感染原理05-16
如何应对勒索病毒-勒索病毒的防治指南05-15
勒索病毒开机指南05-15
如何防范勒索病毒的入侵05-16
什么是蠕虫式勒索病毒05-17
如何应对勒索病毒的感染05-16
如何防御勒索病毒的入侵05-16