3.勒索病毒

索病毒简介

• 简介
  • 勒索病毒，是一种电脑病毒，主要以邮件、程序木马、网页挂马等形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密（90%无法解密），必须拿到解密的私钥才有可能破解；
  • 勒索病毒通常使用非对称和对称加密算法组合的形式来加密文件（https采用这种算法），绝大部分勒索病毒均无法通过技术手段破解，一般无法溯源，危害巨大

常见勒索病毒-WannaCry

• 2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫病毒感染计算机中植入勒索病毒，导致电脑大量文件被加密。受害者被黑客锁定后，病毒会提示支付价值相当于300美元的比特币才可以解锁

• WannaCry（又叫Wanna Decryptor）,一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Swcurity Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。

• Wannacry勒索病毒全球大爆发，至少150个国家、30万用户中招，造成损失达到80亿美元，已经影响到金融、能源、医疗等众多行业、造成严重的危机管理问题

• 常见后缀名：wncry

• 传播方式：“永恒之蓝”漏洞

• 启动时会连接一个不存在的URL，创建系统服务mssecsvc2.0,释放路径为windows目录

常见勒索病毒-Globelmposter

• Globelmposter勒索病毒于2017年5月首次出现，主要通过钓鱼的方式传播
• 自2018年8月21日起，多地发生Globelmposter勒索病毒事件，此次攻击目标主要是开启桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密，暂时无法解密
• 常见后缀名：auchentoshan、动物名+4444 等
• 传播方式：RDP暴力破解、钓鱼邮件、捆绑软件
• 特征：释放在%appdata%或%localappdata%

常见勒索病毒-Crysis/Dharma

• Crysis/Dharma勒索病毒最早出现在2016年，2017年5月在万能密钥被公布之后，消失了一段时间，但在2017年6月开始继续更新。攻击方式通用是通过远程RDP暴力破解的方式，植入用户的服务器进行攻击。由于采取AES+RSA的机密方式，其最新方式无法破解
• 常见后缀：id+勒索邮箱+特定后缀
• 传播方式：RDP暴力破解
• 特征：勒索信位置在startup目录；样本位置在%windir%\System32、startup目录、%appdata%目录

常见勒索病毒-GandCrad

• GandCrad勒索病毒于2018年1月面世以来，一年内历经多次版本更新，目前最新的版本为V5。该病毒利用多种方式对企业网络进行攻击传播，受感染主机上的数据库、文档、图片、压缩包等文件将会被加密，若没用响应的数据和文件备份，将会影响业务的正常运行。
• 病毒采用Sala20和RSA-2048算法对文件进行加密，并修改文件后缀为.GDCB、.GRAB、.KRAB或5-10为随机字母，勒索信息文件为GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、[5-10随机字母]-DECRYPT.html\txt，并将感染主机桌面背景替换为勒索信息图片。
• 常见后缀：随机生成
• 传播方式：RDP暴力破解、钓鱼邮件、捆绑软件、僵尸网络、漏洞传播等
• 特征：样本执行完毕后自动删除，并会修改感染主机桌面背景，有后缀MANUAL.txt、DECRYPT.txt

勒索病毒-解密方法

• 入侵攻击者的服务器，获取非对称加密的私钥，用非对称加密的私钥，解密经过非对称加密公钥加密后的对称加密密钥，进而解密文件数据
• 勒索病毒加密算法存在问题，如在2018年“微信支付”勒索病毒，加密密钥放在本地，所以很快破解
• 暴力破解
• 支付赎金，下载特定的解码器