1、勒索软件是什么?
勒索软件(ransomware),在过去一年里频繁的出现在人们视野里。
勒索软件是一种通过邮件、网页、移动介质等多种方式进行传播,并在受害者执行后加密受害者电脑上的文件(例如:word、excel、图片等)索取一定赎金的恶意程序 —— 勒索的赎金可能是真货币,也可能是类似比特币这样的虚拟货币 —— 直到受害者支付赎金后才会获得解密程序。
而勒索软件实际上也并非是什么新鲜玩意。
在有据可查的历史中,1989年就出现勒索病毒,这款病毒伪装成AIDS教育程序通过软盘传播(哦~可能很多年轻人并不知道软盘是什么 ……)。而那个既不能网上汇款更不存在虚拟货币的年代里,想要解密你的电脑就只能通过邮政汇款来支付赎金,否则将无法使用电脑(没错,是锁住电脑)。而当时,这个病毒被装入2万张软盘中,发往90个国家。
图:AIDS勒索软件的勒索信息,很有意思的是,他说的是要你为软件支付费用而非勒索你。
到了1996年,又有研究人员制造出用于概念性验证的病毒,并使用了非对称加密的方式对中毒受害者的文件进行加密,这款病毒的加密环节已与现在的勒索软件运作方式完全一样。
随后到2005年的时候,勒索软件开始较小规模的出现。但在过去近十年多的发展却都不如2016年一年的发展势头凶猛。
而造成勒索软件如此之泛滥的原因,我猜想,和身份信息造假或盗取日趋严重、支付越来越简便且隐蔽性越来越强都有很强的关系。因为在这样的环境下,很多黑客都可以肆无忌惮的在网络上随意攻击、随意收款而不用担心自己的身份被暴露 —— 当然,也有人说是因为安全行业收入太低,导致很多研究人员都去干坏事赚钱也有关。
那么,现在的勒索软件一般会是什么样子?
2、过程简析
勒索软件的原理和过程并不算复杂,对互联网和加解密概念稍有认识的人都很容易理解。不同勒索软件在表现过程上可能会有差异,但大概都会包含下面几个环节:
0x1:传播
软件会通过多种渠道传播,例如,邮件附件、USB等物理介质、网络上的诱导性下载、甚至是利用漏洞入侵到受害者的PC或服务器。
而现在很多恶意软件在植入电脑之后并不会马上去加密文件,这是因为此时的恶意程序可能只是一个被称为downloader的东西 —— 没错,我们就叫他下载器。这个下载器会去远程服务器上下载勒索软件本体,然后执行或是等待时机再执行。
那么为什么会有下载器这个环节呢?主要有几个原因:
首先,下载器功能单一,所以体积很小,易于传播;
其次,因为下载器本身只是执行下载工作,不具备病毒特征,所以一些杀毒软件并不会将其标识为后门。当然,现在杀毒软件厂商也都意识到这个问题,越来越多的杀软会认为后台下载程序有问题并加入一定特征去识别他们。但是,下载器本身功能的单一和小巧,导致在下载器身上做手脚躲过杀毒软件的识别是一件不太复杂的事情;
最后,因为勒索软件本体可能会因为外部环境的变化(如:操作系统版本、补丁、杀毒软件升级等)而需要更新,所以每次只传播downloader,而勒索软件本体存储在服务器上也易于维护其版本变化。
0x2:加密
在感染了勒索软件后,勒索软件会迅速查找系统内常见可能用于记录重要信息的文件,比如,word、excel甚至是你的备份文件等等,一般都会覆盖上百种常见后缀。然后使用非对称加密算法对这些文件进行加密,而一般非对称加密的强度都比较高,比如,很多勒索软件会使用1024位的RSA加密,这使得受害者想通过暴力破解的方式找到解密秘钥成为一件在有生之年都难以实现的事情。
随着勒索软件的疯狂增长,加密的对象实际上也变得很丰富。比如,黑客可能会入侵服务器后加密你的数据库并要求你支付赎金,去年大量存在漏洞的MongoDB就被勒索软件盯上后出现大规模的加密勒索事件。后来连Elasticsearch也成为了勒索对象,但当时对Elasticsearch的方式多是清除数据,然后按照要求支付赎金否则就不恢复数据。而其中更为恶劣的就是,去年曾有一群不怎么局气的黑客以此种手段勒索了很多Elasticsearch用户后,并未提供恢复 —— 原来他们在清除数据的时候压根就没有备份数据,他们就是纯纯的勒索,没错,纯纯的。
后来,随着黑客们脑洞大开,勒索也不再局限于PC上的常见文件和服务器上可能存储数据的地方了。而是开始多样化,比如Android、iOS都有锁屏勒索的情况出现,甚至有黑客加密智能电视后给出勒索警告 —— 当然,这里的警告并不是你常见的FBI Warning xxx ……
0x3:警告
说到警告。实在是值得单独拿出来说说。
早期有很多勒索软件在警告文案方面下功夫不够,导致很多用户根本不明白自己被勒索了,这就很尴尬了不是 -_- |
所以现在勒索警告的文案已经是越写越好、界面也越做越酷了。
警告中不但会清晰明了的告诉你“you have been hacked”,还会告诉你黑客是用什么姿势黑掉的你,甚至有文案会详细介绍他所使用的加密算法的强度之高,以便劝你放弃抵抗、交出人质 —— 哦,不,交出赎金。
更夸张的是,有些文案已经强大到支持多国语言,会根据受害者的电脑所处时区或语言环境从文案中选择最为匹配的语言来换个口型告诉受害者“you have been hacked” —— 去年就有研究人员发现了夹杂不少汉语拼音的英文勒索文案,然后研究人员一脸懵逼的研究了好几天才给出结论:这个黑客很可能来自中国。
当然,最后必不可少的就是,多数文案或文案中提供的链接内都会手把手的教你如何支付赎金。
因为现在很多赎金都是要求以比特币的方式支付,所以这个还是有一点点技术含量的,如果“售前服务”不到位的话,可能这笔买卖就黄了。
下面给出一些勒索软件的勒索信息截图,感受感受是什么style、顺便压压惊,免得以后真见到了被吓到:
0x4:支付
支付就不提了,相信“买买买”这种事是大家最熟悉的动作了。
虽然这次“买买买” 会在心里滴血,但谁知道在刷卡那瞬间会不会也有一丝快感呢 —— 话说回来,如果真有快感的话,就得去看病了。
0x5:解密
支付赎金后,就会得到解密程序。
大多数情况下,走到这一步,你的文件都会被正确解密。毕竟,现在勒索是门生意,生意讲究的就是诚信,如果都付了钱还不能解密的话,以后谁还会相信勒索软件的制造者会在收款后能给他解密程序呢 —— 所以我估计那个好死不死的搞了别人家Elasticsearch、收了钱、却不给恢复数据的黑客,在圈子内也会被深深的鄙视,毕竟,他这样的行为可能毁掉的不是他一个人,而是一个市场 ……
文章原文链接:https://www.anquanke.com/post/id/86087