成年人在线观看视频免费,国产第2页,人人狠狠综合久久亚洲婷婷,精品伊人久久

我要投稿 投訴建議

勒索病毒案例介紹

時(shí)間:2021-06-17 20:53:22 電腦知識(shí) 我要投稿

勒索病毒案例介紹

  勒索病毒可以導(dǎo)致重要文件無(wú)法讀取,關(guān)鍵數(shù)據(jù)被損壞,給用戶(hù)的正常工作帶來(lái)了極為嚴(yán)重的影響。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密,被感染者一般無(wú)法解密,必須拿到解密的私鑰才有可能破解。下面就是CN人才網(wǎng)為您精心整理的勒索病毒案例介紹,希望可以幫到您。

  勒索病毒案例介紹一

  不斷變換作案手法的敲詐者病毒木馬令用戶(hù)越來(lái)越難以察覺(jué)。近日,騰訊電腦管家安全感知系統(tǒng)發(fā)現(xiàn),備受開(kāi)發(fā)者青睞的網(wǎng)站搭建平臺(tái)WordPress被大范圍攻陷,致使用戶(hù)在Chrome或Chrome內(nèi)核瀏覽器中打開(kāi)部分使用WordPress平臺(tái)搭建的網(wǎng)站時(shí)出現(xiàn)亂碼,并提示需要下載字體更新程序并執(zhí)行后才能正常訪問(wèn)。一旦用戶(hù)點(diǎn)擊下載更新,植入其中的新型敲詐者病毒Spora便會(huì)自動(dòng)運(yùn)行,將所有用戶(hù)文件加密。目前,騰訊電腦管家已經(jīng)可以全面攔截該病毒木馬。

  騰訊電腦管家安全專(zhuān)家在深入分析了被攻陷網(wǎng)站之后,還原了此次病毒作案的始末:此次攻擊系臭名昭著的“EITest”惡意軟件活動(dòng)所為,已發(fā)現(xiàn)不法分子攻陷了Wordpress框架的網(wǎng)站之后,在該網(wǎng)站正常的頁(yè)面代碼末尾添加JavaScript代碼,致使該頁(yè)面在用戶(hù)訪問(wèn)時(shí)出現(xiàn)亂碼,然后提示下載字體更新程序并執(zhí)行后才能正常訪問(wèn)。下面可以看到這個(gè)代碼在源代碼中的樣子。

  當(dāng)訪問(wèn)者訪問(wèn)此頁(yè)面時(shí),腳本將干擾頁(yè)面的文本,使其出現(xiàn)亂碼:

  隨后彈出一個(gè)警告窗口,指出該頁(yè)面因?yàn)槿鄙?ldquo;HoeflerText”字體無(wú)法正確顯示,同時(shí)提示點(diǎn)擊Update按鈕從而下載該Chrome字體包。

  當(dāng)用戶(hù)單擊Update按鈕時(shí),彈出窗口會(huì)自動(dòng)下載名為Chrome Font v1.55.exe的文件并將其保存到默認(rèn)下載文件夾,然后跳轉(zhuǎn)到一個(gè)說(shuō)明頁(yè)面,提示如何找到和運(yùn)行下載的字體更新程序。

  Chrome Font v1.55.exe實(shí)際上是Spora 系列敲詐者病毒。用戶(hù)一旦運(yùn)行該病毒,電腦上所有工作和個(gè)人文件將會(huì)被加密而無(wú)法使用。當(dāng)完成對(duì)文件的加密時(shí),電腦將顯示敲詐頁(yè)面,告知中招者登錄Spora支付網(wǎng)站以確定贖金金額或付款。

  勒索病毒案例介紹二

  一、愈演愈烈的敲詐風(fēng)暴

  只需一封郵件,便能鎖定電腦重要文件進(jìn)行敲詐

  席卷全球的敲詐風(fēng)暴,公司被迫支付贖金

  北京的汪為(化名)周一上班后,和往常一樣開(kāi)始處理手頭的工作。

  汪為所在的公司是一家互聯(lián)網(wǎng)企業(yè),汪為日常的工作是在網(wǎng)上與客戶(hù)進(jìn)行聯(lián)系,維護(hù)產(chǎn)品銷(xiāo)售渠道。最近,公司準(zhǔn)備出國(guó)參加一場(chǎng)展銷(xiāo)會(huì),汪為正跟幾家快遞公司通過(guò)郵件商量宣傳物資的郵遞事宜。汪為在未讀郵件中挑出了與快遞相關(guān)的部分,逐一閱讀并打開(kāi)其中的附件。他不知道的是,在這批郵件中,有一封主題為Delivery Notification的郵件,正悄悄地露出自己猙獰的爪牙。

  一小時(shí)后,汪為看著自己電腦上被改成亂碼無(wú)法打開(kāi)的文件,以及被修改為敲詐內(nèi)容的桌面背景,近乎絕望的心情占據(jù)了整個(gè)內(nèi)心。

  汪為的遭遇并非個(gè)例。自2014年起,陸續(xù)有人在打開(kāi)郵件之后,發(fā)現(xiàn)自己電腦中的文件被修改,其中不乏公司核心數(shù)據(jù)、有重要意義的圖片等內(nèi)容,一旦丟失造成的損失難以估量。同時(shí),這些受害者都發(fā)現(xiàn),在顯著位置上出現(xiàn)的敲詐文字,內(nèi)容不外乎是“文件已被加密,如需恢復(fù)請(qǐng)按如下方式支付贖金……”云云。

  哈勃分析系統(tǒng)是騰訊反病毒實(shí)驗(yàn)室依托多年技術(shù)積累自主研發(fā)的一套樣本安全檢測(cè)系統(tǒng)。憑借每日對(duì)真實(shí)環(huán)境中捕獲的海量樣本進(jìn)行自動(dòng)化分析,哈勃分析系統(tǒng)在第一時(shí)間捕獲到了這類(lèi)木馬。

  據(jù)哈勃分析系統(tǒng)長(zhǎng)時(shí)間跟蹤發(fā)現(xiàn),敲詐木馬最初僅在國(guó)外傳播,后來(lái)逐漸滲透到國(guó)內(nèi),敲詐使用的語(yǔ)言也從單一的英語(yǔ)逐漸發(fā)展到了包括中文在內(nèi)的多種語(yǔ)言。受到木馬影響的公司不乏醫(yī)院、公交公司這樣的大型企業(yè)。更為嚴(yán)重的是,除了一些自身含有漏洞的木馬之外,還有很多木馬并無(wú)有效的解決之道,如果事先防范措施沒(méi)有做好,中招之后除了聯(lián)系不法分子之外無(wú)計(jì)可施。雖然FBI曾經(jīng)提示不要支付贖金,以免木馬制作者嘗到甜頭,繼續(xù)傳播木馬,然而對(duì)于一些重要的數(shù)據(jù)被加密的公司而言,這是無(wú)奈之中最后的辦法,例如好萊塢某醫(yī)院為了恢復(fù)患者病歷,被迫支付了相當(dāng)于數(shù)萬(wàn)美元的贖金。

  二、木馬的傳播渠道

  郵件附件是木馬最常見(jiàn)的傳播渠道

  誘導(dǎo)用戶(hù)開(kāi)啟并運(yùn)行宏是文檔木馬的主要手段

  這些破壞力強(qiáng)大、影響惡劣的木馬,是如何傳播到受害者電腦上的呢?經(jīng)哈勃分析系統(tǒng)的調(diào)查,木馬的常用傳播渠道是通過(guò)郵件進(jìn)行傳播,將木馬偽裝成郵件附件,吸引受害者打開(kāi)。其中,最常見(jiàn)的附件格式是微軟的Office文檔,木馬使用文檔中的宏功能執(zhí)行惡意命令,再?gòu)木W(wǎng)上下載真正的惡意程序,對(duì)受害者電腦進(jìn)行攻擊。

  哈勃分析系統(tǒng)研究發(fā)現(xiàn),在木馬入侵受害者電腦的每一步,都有一些固定的套路和模式。

  在木馬傳播的第一步,即發(fā)送帶木馬的郵件時(shí),不法分子通常會(huì)使用一些正常的公務(wù)主題進(jìn)行偽裝,誘使受害者打開(kāi)附件。此前汪為遇到的假冒郵件,是假稱(chēng)快遞除了問(wèn)題;除此之外,常見(jiàn)的主題還包括發(fā)票、費(fèi)用確認(rèn)等。一個(gè)明顯的現(xiàn)象是,處于財(cái)務(wù)、會(huì)計(jì)、對(duì)外關(guān)系等職位的員工,每日收發(fā)的'同類(lèi)郵件較多,對(duì)于這類(lèi)郵件容易降低警惕心,因此容易成為不法分子發(fā)送郵件的目標(biāo)。

  如果受害者打開(kāi)了帶木馬的宏文檔,由于高版本Office中,默認(rèn)是不開(kāi)啟宏的,所以木馬會(huì)在文檔正文中誘導(dǎo)用戶(hù)啟用宏,使得惡意代碼得以執(zhí)行。

  一個(gè)典型的宏木馬,部分宏代碼如下:

  可以將木馬傳到哈勃分析系統(tǒng),在安全的虛擬環(huán)境中查看木馬將要執(zhí)行的惡意行為:

  可以看出,這個(gè)文檔中的宏偷偷去下載了一個(gè)可執(zhí)行文件并運(yùn)行。除了直接從網(wǎng)絡(luò)上進(jìn)行下載之外,部分木馬也會(huì)通過(guò)其它手法釋放惡意文件,例如下面這個(gè)木馬:

  連起來(lái)看就是,通過(guò)復(fù)雜字符串拼接得到當(dāng)前系統(tǒng)temp目錄的絕對(duì)路徑,再去執(zhí)行系統(tǒng)temp目錄中的sak33.exe這個(gè)文件,但是并沒(méi)有發(fā)現(xiàn)下載或者釋放這個(gè)文件的對(duì)應(yīng)代碼。郵件中只有這么一個(gè)附件,宏中只有拉起這個(gè)exe的操作,那么這個(gè)exe是從哪來(lái)?怎么釋放到這個(gè)位置的呢?

  通過(guò)在不同操作系統(tǒng)和Office版本上進(jìn)行對(duì)比測(cè)試,最終發(fā)現(xiàn)Office文檔中夾帶的其他文件,會(huì)使用OLE Object來(lái)儲(chǔ)存,而在XP和win7兩個(gè)操作系統(tǒng)中OLE Object釋放的方式和路徑不同,該宏病毒寫(xiě)死了win7下釋放的路徑,所以在XP分析環(huán)境上無(wú)法成功執(zhí)行。造成這種情況的原因有兩個(gè)可能,一是作者只使用了win7環(huán)境對(duì)此宏病毒開(kāi)發(fā)測(cè)試,沒(méi)有考慮XP系統(tǒng)的問(wèn)題;二是作者故意為之,來(lái)達(dá)到對(duì)抗目的。

  在惡意可執(zhí)行文件被運(yùn)行起來(lái)之后,不法分子就可以任意操作受害者的電腦。比如下面這個(gè)木馬,在檢測(cè)虛擬機(jī)和兩步注入后,最終在svchost里邊進(jìn)行實(shí)際惡意行為,將可執(zhí)行文件添加至啟動(dòng)項(xiàng)并連接遠(yuǎn)程服務(wù)器:

  在可執(zhí)行程序與黑客的遠(yuǎn)程服務(wù)器保持通信之后,受害者的電腦已經(jīng)被黑客占領(lǐng),最重要的一步已經(jīng)完成。當(dāng)然,這個(gè)例子中木馬的目的是在受害者的電腦中植入后門(mén),不過(guò)同樣的手法,在加密敲詐類(lèi)木馬中已經(jīng)被證明同樣有效。

  除了在郵件附件中放置文檔之外,還有一些其它的文件格式被用于木馬的傳播。這些格式有的是可以直接運(yùn)行的腳本格式,例如Powershell、js、vbs等,有的是格式關(guān)聯(lián)的可執(zhí)行文件具有一定的任意執(zhí)行能力,例如JAR、CHM等。哈勃分析系統(tǒng)此前捕獲的“竊聽(tīng)狂魔”、“冥王”等木馬,都是通過(guò)不同的格式執(zhí)行惡意行為。

  三、木馬背后的威脅情報(bào)

  惡意服務(wù)器位置以美國(guó)和俄羅斯數(shù)量最多

  自建惡意網(wǎng)站或者入侵正規(guī)網(wǎng)站,具有較高的反跟蹤意識(shí)

  既然大部分文檔木馬中的宏運(yùn)行起來(lái)后,會(huì)從網(wǎng)絡(luò)上下載可執(zhí)行文件,那么通過(guò)下載地址是否能找到有關(guān)木馬作者的蛛絲馬跡呢?

  哈勃分析系統(tǒng)抓取了一段時(shí)間自動(dòng)捕獲的木馬數(shù)據(jù),對(duì)木馬以及下載時(shí)用到的網(wǎng)址進(jìn)行了統(tǒng)計(jì)分析。

  下載網(wǎng)址對(duì)應(yīng)的域名,有一些用的是通用域名,其中又以.com域名最多,占全部域名接近一半的比例。還有一些用的是國(guó)家域名,數(shù)量較多的是.cn(中國(guó))和.ru(俄羅斯)。

  同時(shí),通過(guò)下載目標(biāo)的命名可以看出,木馬經(jīng)常將惡意文件偽裝成jpg、gif之類(lèi)的圖片文件,或者是訪問(wèn)php、cgi這樣的動(dòng)態(tài)網(wǎng)頁(yè),不直接提供文件格式信息,以躲避部分安全產(chǎn)品對(duì)exe可執(zhí)行文件的檢查。

【勒索病毒案例介紹】相關(guān)文章:

勒索病毒的傳播途徑-勒索病毒的感染原理05-16

如何應(yīng)對(duì)勒索病毒-勒索病毒的防治指南05-15

勒索病毒的應(yīng)對(duì)方法-如何避免勒索病毒的影響05-15

勒索病毒開(kāi)機(jī)指南05-15

如何應(yīng)對(duì)變種勒索病毒-變異勒索病毒免疫工具下載05-22

如何防范勒索病毒的入侵05-16

什么是蠕蟲(chóng)式勒索病毒05-17

如何應(yīng)對(duì)勒索病毒的感染05-16

如何防御勒索病毒的入侵05-16