压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

勒索病毒的技術(shù)門檻是如何降低的

責編:gltian |2018-04-28 13:16:44

自勒索病毒被大家官方熟知以來,為了能在這個“有著光明前途的事業(yè)”中分一杯羹,越來越多的黑客也是八仙過海各顯神通,盡自己所能的制作自己的勒索病毒。繼之前我們發(fā)現(xiàn)的使用PHP、Python等語言編寫勒索病毒之后,近期,另一種簡單易用的腳本語言——AutoIt語言也被發(fā)現(xiàn)用于編寫一種名為CryptoWire的勒索病毒。加上前段時間出現(xiàn)的使用AxCrypt加密工具來加密文件進而達到勒索目的的病毒,可以說勒索病毒的“技術(shù)準入門檻”越來越低已是大勢所趨。如果說以上這些還算是有“門檻”可言的話,另外一種被稱作RaaS的方式則可以說是完全沒有“門檻”了。所謂RaaS即Ransomware-as-a-Service,如360互聯(lián)網(wǎng)安全中心前不久檢測到的Saturn RaaS和Data Keeper RaaS就允許任何人注冊該勒索服務(wù)并生成自己的勒索病毒。

會腳本語言就能寫勒索病毒——AutoIt勒索病毒CryptoWire

AutoIt是一種簡單易學的腳本語言,功能強大并且不需要運行系統(tǒng)中安裝特定的運行環(huán)境,這都導致了即便是編程0基礎(chǔ)的新手也能快速上手,并且讓自己所編寫的程序順利在他人的機器上正常運行。前文所述的這款CryptoWire勒索病毒就是用AutoIt腳本語言編寫。

該病毒會嘗試加密機器中可訪問的所有位置中的文件,包括網(wǎng)絡(luò)驅(qū)動器、網(wǎng)絡(luò)共享目錄、移動磁盤、外部磁盤、內(nèi)部磁盤,甚至是云存儲應(yīng)用程序中的文件都不會漏過。 CryptoWire使用AES-256算法對文件進行加密操作,會對282種格式的文件進行加密。此外,如果檢測到機器接入到了域中(多為企業(yè)內(nèi)部機器),贖金將會乘4。

t01a6c0950afe85191f

282種待加密文件格式

t017fe60e98baf5e3a7

檢測到機器接入域中則贖金乘4

t01a20ba343d29d3292

加密完成后的勒索信息

不會腳本語言也能寫勒索病毒——RaaS了解下?

所謂RaaS即Ransomware-as-a-Service,可能很多人還不了解這套機制。簡單的說,就是病毒作者開發(fā)了一款勒索病毒,但并不自己傳播,而是邀請其他人來傳播,并從每次成功贖金付款的抽成。

為了吸引更多的客戶,勒索病毒作者通常還會創(chuàng)建在線管理平臺,以便盡可能輕松地部署和跟蹤勒索軟件。

許多RaaS平臺還提供定制選項,類似于勒索金額、加密文件格式、勒索信息語言等均可定制,某些平臺甚至還很貼心的提供了在線的技術(shù)支持。

以Data Keeper RaaS為例,在客戶提供了收取勒索贖金用的比特幣錢包地址勒索贖金金額后,會生成勒索病毒本體和對應(yīng)的解密程序(但不含解密密鑰)。

t01580e7ad596d94c9e

Data Keeper RaaS在線配置頁面

此外,Data Keeper RaaS允許每個會員選擇要加密的文件類型,這意味著不同版本的Data Keeper所加密的文件類型會有所不同。

t01ae20d0b5ed6b4b6a

Data Keeper RaaS默認提供的待加密文件類型(可自定義)

Saturn RaaS與Data Keeper RaaS情形類似,但提供的自定義項目略少一些:

t01668d0acfb7e2ebe8

Saturn RaaS的自定義贖金頁面

t01745807f636ab2fb7

Saturn RaaS的自定義病毒行為頁面

傳播也有簡便方法——Exploit Kit的使用

與上述兩款勒索病毒不同,GandCrab勒索病毒雖然也通過RaaS提供服務(wù),但卻并不像公眾開放,而是僅局限于一個相對較小的圈子中使用。

t0174c2a07880caf12b

GandCrab RaaS管理后臺登錄界面

t013abbe2f4346a04b2

網(wǎng)傳的GandCrab RaaS管理后臺數(shù)據(jù)統(tǒng)計頁面

雖然GandCrab RaaS并沒有對降低勒索病毒的制作技術(shù)門檻,但其傳播方式卻提供了一種降低傳播技術(shù)門檻的方法——利用現(xiàn)成的漏洞利用套件(Exploit Kit,簡稱EK)來方便自身的傳播。

GandCrab本身便是利用Rig EK通過Flash Player的CVE-2018-4878漏洞進行大規(guī)模傳播的。

t01447f205ce9e1f5a1

RIG EK傳播GandCrab流程圖

而新版的GandGrab勒索病毒,又換用了Magnitude EK以圖更好的傳播:

Magnitude EK傳播新版GandGrab流程圖

從傳播的速度來看,較之去年同期開始爆發(fā)的Spora勒索病毒而言,合理利用了EK進行自身“推廣”的GandGrab也必然有著明顯的優(yōu)勢。

鑒于勒索病毒無論是制作還是傳播,其技術(shù)門檻都越來越低,這勢必會造成勒索病毒數(shù)量的進一步增長甚至是爆發(fā)。所以在此需要提醒廣大用戶注意:

  1. 對重要的數(shù)據(jù)進行備份!備份!備份!
  2. 小心使用不明來源的文件,陌生郵件及附件也需謹慎打開
  3. 安裝安全防護軟件并保持防護開啟狀態(tài)
  4. 及時安裝Windows漏洞補?。⊥瑫r,也請確保一些常用的軟件保持最新版本,特別是Java,F(xiàn)lash和Adobe Reader等程序,其舊版本經(jīng)常包含可被惡意軟件作者或傳播者利用的安全漏洞。
  5. 為電腦設(shè)置較強的密碼——尤其是開啟遠程桌面的電腦。并且不要在多個站點重復使用相同的密碼。

目前360解密大師已支持解密超過100種勒索病毒加密的文件:


原文: https://www.anquanke.com/post/id/106879

上一篇:黑客如何利用人工智能

下一篇:亞信安全與銥迅信息達成戰(zhàn)略合作,合力推動信息安全行業(yè)發(fā)展