索軟件近年來非常活躍。作為PC用戶,很多朋友就遭受過勒索軟件的“欺凌”,比如前段時間流行的CTB-Locker敲詐者病毒,中招后病毒會使用高強度的加密算法,加密用戶系統中的文檔、圖片、數據庫等重要資料。加密完成后采用彈出窗體和修改桌面背景等方式,提示用戶支付贖金方式才能解密(見圖1)。
圖1 中招敲詐者病毒后會修改桌面背景,并提示如何訪問其贖金支付頁面
那么中招這類病毒后我們該如何解決文件被加密的問題?解決的方案自然是借助第三方的安全軟件。比如360安全衛士的“木馬查殺”組件就可以查殺很多勒索軟件木馬,如果懷疑自己電腦中招,可以使用它來進行全盤查殺(見圖2)。
圖2 通過360安全衛士查殺勒索木馬
當然在很多時候如果文件已經被木馬加密,此時殺毒軟件也無法解決。此時我們就可以根據自己中的實際木馬名稱,可以通過殺軟掃描結果獲知,也可以根據勒索頁面特征簡單判斷是何種勒索軟件。我們可以嘗試自行到網上下載相應的解密工具,比如現在很多勒索軟件市面上都有免費的破解工具,可以先到http://adlab.tongfudun.com/tools/anti-ransomware/anti-ransomware.xlsx查看勒索病毒及解密工具對應表,再到http://adlab.tongfudun.com/tools/anti-ransomware/下載對應勒索工具解密軟件對文件進行解密即可(見圖3)。
圖3 使用解密軟件解密文件
當然如果上述方法仍然無法解決,基本上結果就是付錢贖文件,或者全格硬盤重裝系統了,因此防范勒索木馬最好的方法是備文件備份。
寫在最后:防范比查殺木馬更重要
因為勒索木馬會通過加密方法使我們無法打開重要文件,因此平時做好重要數據的定期備份是防范此類病毒最好方法,平時我們可以使用Windows 10自帶的OneDrive、騰訊微云等網絡硬盤同步保存重要文件,再借助移動硬盤定期保存重要文件。這樣即使中招損失也不會太大,只要重裝系統后再恢復文件即可。
此外,建議大家要及時安裝更新補丁,避免一些勒索軟件利用漏洞感染計算機,對于經常訪問的網站通過收藏夾方式打開,對于非可信來源的郵件保持警惕,避免打開附件或點擊郵件中的鏈接等,同時還可以加入一些安全賠付推廣活動中。比如360搜索推廣賠付計劃,在360搜索推廣網站中因遭遇欺詐、釣魚、假冒網站并造成經濟損失,在符合《360搜索推廣賠付協議》賠付條件時可向360申請賠付。
近,一種名為“WannaRen”的新型比特幣勒索病毒正大規模傳播,在各類貼吧、社區報告中招求助人數更是急劇上升,真可謂鬧得滿城風雨!不幸感染“WannaRen”勒索病毒的用戶,重要文件會被加密并被黑客索要0.05BTC贖金。
在檢測異常的第一時間,360安全大腦率先出擊,首家發現“WannaRen”勒索病毒來源并且關聯到幕后黑客團伙,并首家分析出真正的勒索攻擊代碼。經360安全大腦分析確認,“WannaRen”勒索病毒的作者正是此前借“永恒之藍”漏洞禍亂網絡的“匿影”組織。
此次“匿影”組織一改借挖礦木馬牟利的方式,變換思路通過全網投遞“WannaRen”勒索病毒,索要贖金獲利。不過,廣大用戶不必太過擔心,360安全大腦極智賦能下的360安全衛士已第一時間發現并支持對“WannaRen” 新型勒索病毒的攔截查殺。
誰是“匿影”組織?“加密幣挖掘機”變身“勒索病毒投遞者”
從360安全大腦追蹤數據來看,“匿影”家族在加密貨幣非法占有方面早有前科。早在以往攻擊活動中,“匿影”家族主要通過“永恒之藍”漏洞,攻擊目標計算機,并在其中植入挖礦木馬,借“肉雞”(被非法控制電腦)挖取PASC幣、門羅幣等加密數字貨幣,以此牟利發家。
在攻擊特征上,“匿影”黑客團伙主要利用BT下載器、激活工具等傳播,也曾出現過借“永恒之藍”漏洞在局域網中橫向移動擴散的情況。“匿影”黑客團伙在成功入侵目標計算機后,通常會執行一個PowerShell下載器,利用該加載器下載下一階段的后門模塊與挖礦木馬。
(PowerShell下載器部分代碼)
而此次新型比特幣勒索病毒“WannaRen”的擴散活動中,從表面看與此前的“WannaCry”病毒類似,都是病毒入侵電腦后,彈出勒索對話框,告知已加密文件并向用戶索要比特幣。但從實際攻擊過程來看,“WannaRen”勒索病毒正是通過“匿影”黑客團伙常用PowerShell下載器,釋放的后門模塊執行病毒。
(“WannaRen”勒索病毒攻擊全過程)
舊瓶裝新毒:“匿影”家族后門模塊下發“WannaRen”勒索病毒
正如上文所述,“匿影”組織轉行勒索病毒,但其攻擊方式是其早起投放挖礦木馬的變種。唯一不同,也是此次“WannaRen”擴散的關鍵,就在于PowerShell下載器釋放的后門模塊。
從360安全大腦追蹤數據來看,該后門模塊使用了DLL側加載技術,會在“C:\ProgramData”釋放一個合法的exe文件WINWORD.EXE和一個惡意dll文件wwlib.dll,啟動WINWORD.EXE加載wwlib.dll就會執行dll中的惡意代碼。
后門模塊會將自身注冊為服務,程序會讀取C:\users\public\you的內容,啟動如下圖所示的五個進程之一并將“WannaRen”勒索病毒代碼注入進程中執行。
(后門模塊注入的目標)
在注入的代碼中,可以看到是此次勒索病毒的加密程序部分:
完整的攻擊流程如下面兩圖所示:
(“匿影”Powershell下載器釋放并啟動后門模塊)
(“匿影”后門模塊注入svchost.exe并加密文件)
追蹤過程中,360安全大腦還發現“匿影”組織下發的PowerShell下載器中,包含了一個“永恒之藍”傳播模塊。該模塊會掃描內網中的其他機器,一旦有機器未修復漏洞就會慘遭感染,成為又一個“WannaRen”勒索病毒受害者。
(PowerShell下載器中的“永恒之藍“傳播模塊)
(PowerShell下載器釋放的“永恒之藍”漏洞利用工具)
除此之外,PowerShell下載器還會在中招機器上安裝一個名叫做的everything后門,利用everything的“HTTP 服務器”功能安全漏洞,將受害機器變為一臺文件服務器,從而在橫向移動時將木馬傳染至新的機器中。
(everything后門模塊)
(通過修改everythong配置文件把機器變為文件服務器)
不難看出,企業用戶一旦不幸中招,“WannaRen”勒索病毒則可能在內網擴散。不過廣大用戶無需過分擔心,360安全衛士可有效攔截此勒索病毒。面對突襲而來的“WannaRen”勒索病毒,360安全大腦再次提醒廣大用戶提高警惕,并可通過以下措施,有效防御勒索病毒:
1、及時前往weishi.360.cn,下載安裝360安全衛士,查殺“匿影”后門,避免機器被投遞勒索病毒;
2、對于安全軟件提示病毒的工具,切勿輕信軟件提示添加信任或退出安全軟件運行;
3、定期檢測系統和軟件中的安全漏洞,及時打上補丁。
(責任編輯:李偉)
算機網絡技術的發展在給人們的生活帶來便利的同時,也產生了諸多問題,計算機病毒就是其中之一。近日,多家網絡安全機構確認,國內出現了一種要求通過微信支付贖金的新型“勒索病毒”。什么是勒索病毒?它是如何感染用戶電腦的?這種新型勒索病毒會給用戶的電腦安全帶來哪些危害?
2017年5月14日,國家相關部門監測應對“勒索病毒”。(唐志順/人民圖片)
(聲明:凡帶有“人民圖片”字樣圖片,系版權圖片,受法律保護,使用(含轉載)需付費,歡迎致電購買:010-65368384或021-63519288。)
勒索病毒,是一種新型電腦病毒,主要以郵件、程序木馬、網頁等形式感染Windows系統。病毒作者首先攻擊電腦,感染其用以編程的"易語言"中的一個模塊,導致所有使用"易語言"編程的相關軟件均攜帶該勒索病毒,廣大用戶下載這些"帶毒"軟件后,電腦就會感染該勒索病毒。
電腦感染了這種病毒后會有哪些后果?用戶的電腦一經感染,該勒索病毒就會加密用戶電腦中的txt、office文檔等有價值數據,并在桌面釋放一個"你的電腦文件已被加密,點此解密"的快捷方式,之后會彈出解密教程和收款二維碼,最后強迫受害用戶通過手機轉帳繳付解密酬金。除此之外,該病毒還會竊取用戶各類賬戶的密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號等賬號密碼。
那么,如果電腦已經感染了此類勒索病毒,應如何應對呢?首先,可嘗試使用相關解密工具進行解密,目前許多公司已經針對該勒索病毒開發了解密工具;同時,用戶還應盡快修改淘寶、天貓、支付寶、QQ等敏感平臺的密碼。
此外,為防范勒索病毒,用戶應注意提高安全意識。計算機上要有安全補丁,并注意及時更新軟件,在電腦使用過程中如有被安全軟件阻止的文件,應不要添加信任或者放行。(李婷婷)
本文由中國科學院計算機研究所工程師敖琪進行科學性把關。