1、1勒索病毒介绍勒索病毒,是一种新型电脑病毒,主要以邮件,程序木马,网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。传播途径:勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的 C加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。病毒分析:一般勒索病毒,运行流程复杂,且针对关键
2、数据以加密函数的方式进行隐藏。以下为APT 沙箱分析到样本载体的关键行为:1、调用加密算法库;2、通过脚本文件进行 Http 请求;3、通过脚本文件下载文件;4、读取远程服务器文件;5、通过 wscript 执行文件;6、收集计算机信息;7、历文件。2017 年 5 月 14 日,国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的 WannaCry 勒索病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。 62017 年 5 月 17 日 18 时,国家计算机病毒应急处理中心与亚信科技(
3、中国)有限公司联合监测发现一种名为“UIWIX”的勒索病毒新变种在国外出现,提醒国内用户提高警惕,小心谨防。运行流程:3该样本主要特点是通过自身的解密函数解密回连服务器地址,通过 HTTP GET 请求访问加密数据,保存加密数据到 TEMP 目录,然后通过解密函数解密出数据保存为 DLL,然后再运行 DLL (即勒索者主体)。该 DLL 样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成秘钥,进而实现对指定类型的文件进行加密,即无需联网下载秘钥即可实现对文件加密。同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。获得赎金:2017 年
4、 5 月,勒索病毒网络攻击实施者已收到 4.2 万余美元赎金,但这些汇款仍在银行账户未被取走。应对方案:根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:1、通过脚本文件进行 Http 请求;2、通过脚本文件下载文件;3、读取远程服务器文件;4、收集计算机信息;5、遍历文件;6、调用加密算法库。量防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;2、尽量不要点击 office 宏运行提示,避免来自 office 组件的病毒感染;3、需要的软
5、件从正规(官网)途径下载,不要双击打开.js、.vbs 等后缀名文件;4、升级深信服 NGAF 到最新的防病毒等安全特征库;45、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。2017 年 5 月 15 日,受勒索病毒影响,珠海市住房公积金管理中心紧急发布通知,宣布暂停办理珠海市住房公积金业务,加固升级内外网络。 92017 年 5 月 15 日,国家网络与信息安全信息通报中心监测发现,WannaCry 勒索病毒出现多个变种,如开关域名变化、收钱地址变化等,但主要的传播机制和破坏方式没有改变,威胁依然存在。需做好安全措施:1、安装防病毒的软件,及时升级病毒库,定期对计算机进行检查;2、从官方网站或正规网站下载软件,及时升级系统补丁;3、打开陌生文件前先扫描;4、定时备份重要文件和系统;5、关闭不必要的服务和端口;6、不要跨网使用移动存储介质;7、不要跨网连接使用电脑;8、不要点击可疑链接,访问不明网站;9、不要打开陌生可疑邮件和附件。
