智能设备/NEWS CENTER

腾讯反病毒实验室:揭秘WannaCry勒索病毒的前世今

发布时间:2017-12-29

  腾讯反病毒实验室:秘密WannaCry勒索过去的生活

  WannaCry勒索之后,各种各样的新变种报道再次刺激了业界的神经,传言黑客集团的影子经纪人自称从6月份开始卖重型武器,同时也让社会上讨论有毒的颜色变化。第一条抗击病毒的方式,腾讯反病毒实验室负责人马劲松回复了事件的演变和影响,马劲松表示腾讯电脑从第一个样本抓捕到快速上线程序,病毒实验室对病毒进行了全面的分析,不仅研究了病毒本身,而且还研究了其前身,以及他们关注的连续变种,在病毒爆发96小时内,腾讯的安全团队吹响了勒索软件和现在提供一个完整的病毒变种治疗。事实上,WannaCry勒索软件的实际破坏性并不像一些供应商所描述的那么可怕。对于一些海外的团队和媒体报道,病毒已经找到了新的变种,马劲松表示,腾讯反病毒实验室确实抓获了该变种的样本,但尚未掌握大规模破坏性的证据,其中大部分也是利用微软公司SMB服务漏洞在Windows操作系统(MS17-010)上传播感染,只要用户安装腾讯电脑管家,根据电脑管家补丁的提示,病毒将被牢牢锁定在门外。马劲松表示,腾讯安全反病毒实验室也在跟进研究,同时要求业界抓获确切的证据,不要过度渲染新的病毒变种的危害,以免造成不必要的恐慌给用户。 (腾讯杀毒实验室对病毒的实时监控数据)1.技术分析近两年勒索病毒爆发,很大程度上是随着加密算法的日益成熟。密码学和算法的不断更新确保了我们日常网络中数据传输和保存的安全性。不幸的是,勒索软件的作者也利用了这个功能,所以虽然我们知道了木马算法,但是因为我们不知道作者使用的密钥,所以无法恢复恶意加密的文件。加密算法通常分为对称加密算法和非对称加密算法两种。这两种算法都是在勒索软件中使用的。对称加密算法使用完全相同的密钥进行加密和解密,其特点是计算速度更快。但是,当这些算法单独使用时,密钥必须以某种方式与服务器交换,并且存在泄漏风险。勒索软件中常用的对称加密算法包括AES算法和RC4算法。非对称加密算法也被称为公钥加密算法,它可以使用公钥对信息进行加密,只有私钥的所有者才能被解密,只要公钥分发并保存私钥,你可以保证加密的数据不会被破解。不对称加密算法通常比对称加密操作慢。勒索软件常用的非对称加密算法包括RSA算法和ECC算法。通常,勒索软件将这两种加密算法结合起来使用,可以快速完成整个计算机上大量文件的加密,保证作者手中的私钥不被泄露。现在出现的勒索病毒有以下共同特征:通过邮件,使用大量的非PE载体进行传播,使用复杂的高强度加密算法,一些破坏文件恢复的方式,如禁用备份和还原机制,或在删除文件之前写入无意义的数据,阻止某些数据恢复软件从删除的扇区中恢复文件,进一步增加木马的破坏性使用户必须支付赎金。到Tor这样的黑暗页面,让受害者用比特币支付赎金,比特币最重要的特点之一是它的用户是匿名的ymous,通过比特币接收地址跟踪相应的所有者是非常困难的。家庭和历史CryptoLocker和CryptoWall CryptoLocker是最早的勒索软件之一,虽然是最早的勒索软件之一。据报道,早在2013年就有超过25万台电脑被入侵。不久,2014年,美国司法部和联邦调查局联合发起的国际执法安全行动“托瓦尔行动”发现了该木马及其通讯工具,安全公司也获得了部分解密提供文件解密为以前加密的受害者提供服务。然而,这一行动并没有成为勒索病毒破坏的死亡之端,相反却是未来这种增长型木马的起点。 CryptoLocker使用随机生成的AES密钥对文件进行加密,然后使用RSA算法对AES密钥进行加密,从而提高文件加密的速度。 CTB-Locker CTB-Locker木马敲诈界面CTB-Locker恐怕是全国最早的勒索软件。最早捕获的木马可以追溯到2014年7月,主要通过电子邮件附件。大约在2015年初的时候,一些邮件进入该国,造成一群受害者被特洛伊人勒索,导致媒体效仿。 CTB-Locker木马的初始版本以.ctbl扩展名加密文件,但新版本的木马没有任何限制。 TeslaCrypt对TeslaCrypt木马的相关分析和报告可以追溯到2015年2月,木马可能是敲诈玩家的主要目的,但在后来的更新中,TeslaCrypt也将常见的文档文件加密。传播TeslaCrypt的主要方式是通过嵌入在网页中的恶意构造文件,通过Flash Player,pdf阅读器和其他漏洞来传播网页,下载和执行恶意负载和加密,而不需要受害者的知识。他们的计算机上的文件。 2016年5月,TeslaCrypt的作者宣布他打算在黑网上停止木马的开发,并给出解密该文件所需的私钥。 TeslaCrypt木马停止页面,从腾讯截图电脑腾讯哈勃分析系统还制作了TeslaCrypt工具,帮助用户恢复加密文件。 Locky Locky是腾讯哈勃分析系统生成的TeslaCrypt解密工具,是2016年2月发现的一种勒索软件.Locky将使用不同的广播媒体,一开始仍然使用Office宏执行下载代码,后来的版本将使用js,wsf和其他类型的脚本文件,同时,加密的文件也会被添加:LOCKY,.zepto,.odin,Thor和其他许多不同的扩展名,当Locky使用AES加RSA加密文件时,它向服务器请求不同语言的勒索文本,并根据操作系统的语言显示给服务器。值得注意的是,在洛克的勒索界面,迅速出现了繁体中文和简体中文的勒索。 Locky Trojan版本的勒索指令中,中文将显示Petya Petya Trojan攻击界面的传统中文内容2016年3月被安全厂商抓获。与其他勒索软件不同的是,这种木马首先修改了系统的MBR引导扇区,强制重启后在引导扇区执行恶意代码,加密硬盘数据显示敲诈信息,将第一次勒索并修改MBR A恶意马。值得一提的是,早期的Petya Trojan在算法的使用上存在一些问题,可用密钥的复杂度低,导致通过强力解析枚举和查找密钥的能力,还原加密的磁盘。腾讯哈勃分析系统也制作了相关的解密工具。腾讯Hubber分析系统的Petya解密工具Cerber Cerber也是一个相对较新的一类木马,以一个.cerber *系列后缀命名为加密文件。 Cerber主要通过互联网传播,到目前为止已经升级到第五代。作者使用开放的黑客工具包来覆盖大量已知的漏洞,并通过渗透网站和恶意广告来挂马。 Cerber Trojan敲诈界面四。总结通过以上分析可以看出,近两年勒索软件的爆发与密码学,黑网,比特币等技术的发展密切相关。技术是一把双刃剑,这个陈词滥调在这里还是值得的。技术被正确地用来保护用户的安全;在罪犯手中,遇难者面前可能会有不可逾越的山峰。对于这些勒索软件,提前预防比事后补救更重要。用户需要养成良好的安全感,不能随意打开未知来源的附件或链接,也不希望下载免费运行的网站和网盘共享电脑软件或手机应用程序。日常生活中,建议使用腾讯电脑管家,腾讯手机管家等安全产品,实时保护电脑和手机。遇到不确定的文件也可以上传到哈勃分析系统来检查是否安全。

德赢vwin客户端

2017-12-29

更多内容,敬请关注:

德赢vwin客户端官网:/

德赢vwin客户端新浪官方微博:@德赢vwin客户端

德赢vwin客户端发布微信号: