者:jelly仔 大家好��,我是Jelly仔���,這次我要曬的是一種電腦病毒——Locky�,這應該算是 #全站首曬# 吧�。
一、背景
3月1日的晚上��,我實習下班回到宿舍�,瀏覽了一會張大媽上的原創�����,正準備打開Eclipse擼畢業設計�。打開Eclipse后���,沒狀態���,繼續上網���,無意中打開了京東大樂豆的頁面�,大樂豆類似于一元奪寶的玩法,只是可以使用京豆支付押注?��?吹絇aperWhite 3,就隨便壓了300京豆,運氣嘛,從來沒中過�����。
二����、中招過程
過了一會,有個高中同學微信向我發來了一份壓縮文件,讓我這個搞開發的看看是什么內容��。
是這樣的�����,我的同學前幾天在訂了張去泰國的機票���,然后就收到了一封郵件��。訂單要延誤?他就嚇尿了,以為出現了什么情況,看到有個附件就下載下來���,看看什么回事。
但這個附件里面只有一個.js文件,他看到一堆代碼深感不明覺厲����,于是就召喚我了…
剛開始我并不知道這文件的來源�,以為是他們的業務文件��,我于是從電腦上解壓后���,隨手就雙擊了一下��,發現只是閃了一下命令行界面就沒有反應(這尼瑪惡夢就開始了…)�����,作為程序員,于是就本能地右鍵打開Notepad++����,看源代碼�����。
可這代碼也是看得我一頭霧水,里面還夾雜著ASCII轉義字符,我轉碼后發回給他����,他仍然一臉懵逼�����,我也一臉懵逼�,然后就不管了…
萬萬沒想到,一個可執行程序已經在后臺悄悄地運行�,對我整個硬盤的文件遍歷加密�����。直到我聽著音樂發現音樂播放不順暢,檢查后臺進程才發現有個陌生進程正在以100%的CPU占用率在運行����,豈有此理����,這什么鬼����,馬上結束掉這進程����!
可是已經為時已晚�����,我回到桌面時就發現一個.txt文件����,里面寫著大概意思是:您(真有禮貌啊擦)的電腦里面的文檔已經通過RSA-2048和AES-128進行了加密�����,若想解救這些文檔,請打開下面的鏈接,按照我們說的去做���。如果您打算自行解決的話���,您可以看看關于RSA加密的相關技術����,我們勸您還是不要做這些無用功了��,只有我們能提供解密密鑰,哇哈哈哈?�。�。 ?/p>
我開始方了���,這時我打開Eclipse看里面的程序還能顯示,但已經無法保存�,說明源文件已經損壞��。往硬盤里面一翻,我大學四年來的各種資料���、文檔、照片����、電影(不是那種大姐姐電影…)��,全特么被加密了,要是這些東西都沒了我可是欲哭無淚啊���。不行,我覺得還可以拯救一下,于是開始上網找解決方案。
三��、病毒分析
真是不查不知道����,一查嚇一跳。我這次感染的電腦病毒名字叫Locky,今年2月開始陸陸續續侵染各大電腦,主要是通過郵件附件的途徑傳播,Locky是一種勒索型病毒�,用戶誤點運行后�,就會對用戶電腦全盤文件進行遍歷加密�����。其加密算法正是其所說的RSA和AES算法���,所有被加密的文件均被命名為一個32位字符串的.locky后綴的文件��,并在每個文件夾里留下一個_Locky_recover_instructions.txt文本文件,向用戶宣示文件已被劫持���。
這個病毒的前身是CryptoWall,CryptoWall已經發展到4.0版本,同樣是類似的勒索方法����,思科曾經針對CryptoWall推出了一個恢復文件的程序���,但很快這個bug就被CryptoWall官方修復了���,繼續在互聯網上猖獗橫行���。
關于RSA算法���,是目前安全性最高的算法之一�����,RSA算法是第一個能同時用于加密和數字簽名的算法���。大概的原理是���,先設計一對公私密鑰���,以進行加密解密,然后使用公鑰將文件進行轉換成指定編碼����,再進行加密���。收到加密文件后�����,要想解密,必須獲取私鑰,方可將加密后的字符編碼恢復成源文件�。之所以RSA算法如此難以破解����,首先����,它的加密深度較高,支持生成1024、2048位長度的密鑰,相比之下MD5才16��、32位弱爆了��。其次���,涉及到高等數學知識我這個學渣編不下去了,請看引用:
在RSA密碼應用中����,公鑰KU是被公開的���,即e和n的數值可以被第三方竊聽者得到�。破解RSA密碼的問題就是從已知的e和n的數值(n等于pq)��,想法求出d的數值����,這樣就可以得到私鑰來破解密文��。從上文中的公式:d ≡e-1 (mod((p-1)(q-1)))或de≡1(mod((p-1)(q-1))) 我們可以看出��。密碼破解的實質問題是:從Pq的數值,去求出(p-1)和(q-1)���。換句話說,只要求出p和q的值���,我們就能求出d的值而得到私鑰。
當p和q是一個大素數的時候��,從它們的積pq去分解因子p和q��,這是一個公認的數學難題���。比如當pq大到1024位時����,迄今為止還沒有人能夠利用任何計算工具去完成分解因子的任務���。因此�����,RSA從提出到現在已近二十年,經歷了各種攻擊的考驗,逐漸為人們接受����,普遍認為是目前最優秀的公鑰方案之一���。
然而��,雖然RSA的安全性依賴于大數的因子分解,但并沒有從理論上證明破譯RSA的難度與大數分解難度等價����。即RSA的重大缺陷是無法從理論上把握它的保密性能如何���。
侵入電腦后����,該病毒會:
1、偽裝成svchost.exe系統文件,并將自己添加到系統啟動項�����。
2���、對硬盤文件進行加密�����,但并不是所有文件都加密���,為了保證系統仍然可以正常運行,不加密系統盤的系統文件夾的文件,如ProgramFiles��、Windows等等�,只加密指定后綴的文件,這些文件一般是我們的文檔、照片、視頻�����、以及專業軟件的生成文件��,如:.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg.vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ.tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif.raw .cgm .jpeg .jpg .tif .tiff .NEF .psd NaNd .bat .sh .class .jar .java .rb.asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf.ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay.ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm.pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx.xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp.602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf.XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key����。
3��、還會將“locky”添加到注冊表項�。
4����、最后,還會尋找并刪除用戶的系統還原備份文件,防止用戶還原系統找回部分文件,趕盡殺絕�,真特么狠��。
病毒程序會對本感染的電腦產生一個專門的ID,用于對該電腦進行標識,通過這個ID��,用戶登錄指定網站進行交易支付贖金后�,針對該ID的電腦提供一個專門的.exe解密程序。
目前這個病毒只針對Windows系統,發這文件給我的同學他也打開了這程序��,卻毫發無損�,因為他用的是Mac…
另外,勒索者機智地使用比特幣進行交易,而不是通用的國家貨幣基金��,比特幣不受法律保護�,因此基本無法追蹤到勒索者。據說���,程序還會通過判斷電腦資料內容來決定勒索金額,從0.5到10比特幣不等。
關于這個病毒的更多詳情,可以看看一下這個鏈接
簡單來說�����,這個病毒一旦被打開�����,就意味著惡夢已經開始,整塊硬盤的文件都會被加密�,目前還沒找到相關的破解方法����,要么向勒索者支付比特幣獲取解密程序���,要么只能放棄所有文件���,格式化并重裝系統��。對于Locky和CryptoWall病毒���,只能提高戒備時刻預防著�。
四、恢復數據
中招了�,怎么破���?��!我不能就這樣輕易地狗帶!?�?�!但如上面所說��,只有兩個方法,一是乖乖給錢,二是放棄數據重裝系統。我的心底里出現了兩個小人,一個說“不能妥協�!不能向黑暗勢力低頭���!”,另一個小人又說“可你那些文件對于說意義重大呀�!你的畢業設計都基本做好了�,還有你的資料���,你的照片……”于是���,我慫了�����,啪����!把第一個小人拍倒��,打開了勒索者提供的網頁����,出現的是相關協議條款�����,還挺特么專業的����,點同意繼續�。
然后就告訴我,要想拿回我的文件呀�,給0.5個比特幣(謝天謝地�����,再多點我就負擔不起了)�����,還提供一些比特幣交易平臺的鏈接�,這里我忘了截圖���,大家自行腦補吧…
看了下那些比特幣交易平臺��,都是國外的����,需要Paypal或者外幣信用卡�,要是出現什么情況豈不是雪上加霜…看看還有什么其他方法,于是在知乎上看到一篇關于這個Locky病毒的剖析,還附上了淘寶地址說能幫我們付款交易�,其實這是店主的廣告吧…只能死馬當活馬醫了�,此處省略了一千字的思想斗爭���,最后還是聯系了店主����,他開價1950元,臥槽還要賺我好幾百��,再次經過思想斗爭�����,沒辦法�����,誰叫自己手賤呢,好不容易1920元成交,然后把ID和鏈接發給店主����,然后他付款了��,就開始了漫長的等待。
這時候已經12點了,我們學校斷網了����,只好開啟手機熱點繼續�����,還好有閑時流量,過了大概20分鐘,勒索者終于發解密程序過來了,就是一個.exe文件��,二話不說下載下來打開�,就開始一個個文件地解密了。看到我的文件逐個逐個恢復���,我的心情真是既喜又悲呀…
恢復的過程很漫長,還好淘寶老板見收了我的錢�,陪我聊到最后�����,既說工作又說生活,直到凌晨一點半左右,才全部文件恢復完成,長呼一口氣,這事終于了結了…從發現到恢復一共才三個多小時���,心好累,睡覺去…
五、忠告建議
通過這次慘痛的經歷,交了1k9的學費��,得到的教訓真是刻骨銘心呀����。在張大媽這省了不少剁手錢,這么一次就全賠上了。對于電腦病毒��,大家可千萬別掉以輕心���,雖說是低概率事件�,但一旦發生在自己身上就是100%了���。尤其是那些經常上網找大姐姐視頻的小伙伴���,可以的話去網吧下吧��。
慘痛經歷后的忠告:
1�、自己電腦中的重要文件��,最好定期備份到一個獨立存儲設備上�����,或者使用云端備份工具,國內的可以用百度云���、360云盤等,國外的則有OneDrive�����、Google Drive等����,當你備份好自己的重要數據,即使不幸中招后����,你也會相當感激自己當初的英明舉措��。
2、設置系統的高安全級別�����,如Windows系統的UAC��,可以在控制面板-賬戶-用戶賬戶控制設置里面將安全等級調高��,這樣的話,要是程序請求以管理員權限運行�,都會彈出警告請求用戶允許���,雖然麻煩���,至少多一份保障�。但這樣設置也不是萬能的���,有的電腦病毒未必會請求管理員權限���。只能自己提高警惕�����,定時殺毒���,雖然騰訊電腦管家這里安全軟件的功能臃腫��,很煩人,但危機關頭還是有點用的��。
3��、陌生附件不要打開��!陌生附件不要打開!陌生附件不要打開��!重要事情說三遍��!那些大型電商公司基本都不會發送附件的,更不會發送壓縮包或奇怪后綴的附件。還有,下載東西時打醒十二分精神,最好打開安全軟件的下載后自動檢測的功能。
嗯,就這樣吧。我的悲劇已經過去一個多月了����,可前幾天又從別人口中得知身邊有人中了一模一樣的Locky病毒的圈套���,還要給1比特幣?,F在才有空來寫這篇原創記錄��,以告誡各位���,騙子不可怕�����,最怕騙子有文化!
番外
悲劇發生的第二天,我忽然收到一條短信,“恭喜您在“大樂豆”活動中簽,中獎商品[Kindle Paperwhite電子書閱讀器]的優惠券已發放到您的京東賬戶中,請登錄京東我的京東-資產中心-優惠券 中查看并在七日內使用?�!?/p>
難道這就是傳說中的“塞翁失馬�����,焉知非?�!保靠墒牵沂ヒ恢粚汃R���,只得到一張友善福,我要的是敬業福啊…
日
“要命”藍鯨死亡游戲風波未去
“要錢”蠕式勒索病毒又來
“勒索病毒軟件”來襲
席卷全球
直接干貨“三個一”
一個緊急通報,一個緊急預警
一個超實用視頻
記得轉給身邊的TA
▼ 升級安裝補丁的緊急通報
▼ 殺毒����、免疫工具下載及說明
天的安全第一快報���,
安妹和大家談一談
高仿WannaCry病毒����,
偽裝成全球流行的通訊程序WhatsApp事件���。
大安全時代����,網絡安全,是一個嚴肅的話題,
可能在談論時有點枯燥乏味����,
不過我們盡量談論時用嚴肅的態度來傳遞客觀的信息�����。
本文看完約8分鐘,歡迎觀賞!
近日,網上盛傳高仿WannaCry來襲,仿佛江湖又要掀起一場腥風血雨……
還記得WannaCry嗎�?
去年�,它橫掃全球150多個國家����,讓眾多機構、企業、個人設備損失慘重���。
WannaCry作為荼毒全球的重量級病毒,已經成為網絡安全史上的一個里程碑。據統計���,當時至少有150個國家、30萬名用戶中招,造成損失達80億美元����,影響到了金融�、能源����、醫療等眾多行業����,給社會和民生安全造成了嚴重的危機。
如今����,WannaCry余威猶在����,效仿者也層出不窮�。
但最近,一款高仿病毒—Bansomqare Wanna的出現�,卻以精湛的“演技”和拙劣的“實力”讓WannaCry本尊哭笑不得����。
這款高仿版WannaCry堪稱
戲精
它先是偽裝成全球流行的通訊程序WhatsApp�����,
迷惑網友點擊下載���。
病毒運行后�,
電腦彈出與WannaCry極為相似的山寨勒索彈窗����,
引發中招者恐慌。
事實上���,
這個勒索病毒從根本意義上來說
并不能稱為WannaCry的變種,
同樣也談不上是高仿變種��,
因為它里面的功能跟WannaCry完全不一樣�����,
只是圖片資源借用了WannaCry而已。
如上圖�,感染此勒索病毒后的用戶界面�。
咋一看����,還有點像WannaCry。
但說它高仿WannaCry�,
Bansomqare Wanna估計得笑了����。
請注意界面左上角,
標題直接說明它叫Bansomqare Wanna啊��。
此外���,所有被加密的文件后綴均為“.bitcoin”����,
壓根不是WannaCry所使用的“.WNCRY”。
說明Bansomqare Wanna根本無心模仿WannaCry����,
只是WannaCry太有名了���,躺著中槍了��。
可能是知道自己
加密“實力”不夠,便索性磨煉演技...
它偽造WhatsApp安裝程序���,
通過下載站擴散傳播,除了圖標和原版一模一樣����,
安裝包的版本號竟比官網的安裝包還要新。
一旦運行這個假程序后��,
包括文檔���、圖片��、視頻等在內的常見文件都會被加密�,
中招桌面上會出現一個勒索提示窗口���,
要求支付價值100美元的比特幣����。
這一提示窗口不管是顏色外觀,
還是提示內容,都與WannaCry相似度極高�����,
很容易讓人覺得是WannaCry又復活了�。
圖:Bansomqare Wanna冒充WhatsApp下載程序
如此費盡心機的模仿,這個病毒作者稱得上
WannaCry的最佳迷妹兒!
它跟WannaCry簡直沒法比�。
所以網上說它高仿WannaCry的�����,
真的可以消停了,
它擔當不了這一“重任”!
在此��,大家���,不用過度驚慌����!
此次新出現的勒索病毒,
國內尚未出現大面積感染情況,
但由于其依靠全球流行的通訊工具WhatsApp做誘餌�,
未來極有可能在國內擴散開來���。
最后,我們查詢了一下
此勒索病毒的比特幣錢包地址����,顆粒無收�����。
能力不夠、演技來湊的高仿病毒���,
千萬別被病毒的虛張聲勢嚇到,
雖然打著WannaCry的幌子�����,
但該病毒加密算法可被破解��,
360安全衛士“解密大師”已率先集成解密工具�����,
支持解密恢復�,一旦中招�����,
可使用“解密大師”一鍵掃描解密中招文檔��。
全球最大解密庫一鍵破解高仿WannaCry
360安全專家經過樣本分析發現,
該病毒的加密密鑰就隱藏在程序中,
很容易被破解,
為此����,360“解密大師”緊急集成相應解密工具��,
中招者可一鍵掃描并解密中招文檔。
360“解密大師”作為全球最大最有效的勒索病毒恢復工具,
目前可破解勒索病毒達百余種。
圖:360解密大師一鍵掃描并解密加密文檔
WannaCry的泛濫開啟了勒索病毒的潘多拉魔盒,
雖然如今它大勢已去�����,
但各類勒索病毒變種卻層出不窮�,威脅仍在持續����。
對此,千萬不要掉以輕心�����,
除了警惕陌生軟件�、可疑鏈接及郵件外,
更不要輕信病毒誘惑���,關閉殺毒軟件引狼入室。
目前����,360安全衛士可全面攔截查殺各類勒索病毒及其變種�����,
全面保護電腦和個人信息安全。
在勒索軟件肆虐的形勢下��,安全專家建議:
廣大用戶養成備份文件的習慣��,避免瀏覽危險網站��,陌生郵件也需提防,保持360安全衛士等安全軟件正常開啟���,能夠全面防御勒索病毒。另外�,用戶可開啟360安全衛士“反勒索服務”�,一旦電腦被勒索軟件感染�,可以通過360反勒索服務申請贖金賠付���,盡可能減小經濟損失�����。
勒索軟件作為目前影響最大����、最受關注的網絡安全威脅形式之一�����,其危害不容小覷��。尤其在大安全時代,網絡安全已經不僅僅是網絡本身的安全,還涉及到國家安全����、社會安全���、個人安全����,可謂“牽一發而動全身”,所以安全廠商應當與政府機構�����、企業���、個人用戶等協同聯動���,反勒索事業仍然任重道遠��!
新時代,大安全!
