3、勒索软件分析与防护策略

勒索软件分析与防护策略

1. 勒索软件概述

2016 年 5 月发现的 Petya 勒索软件，会感染硬盘分区表，阻止操作系统启动。受害者会被重定向到一个特殊的启动屏幕，屏幕上以有说服力的字体要求支付赎金。除了覆盖分区表（这对恶意软件来说并非新特性），它还会加密由文件系统驱动程序管理的主文件表（MFT），阻止从实时 CD 恢复文件。据了解，它是首个具备完整离线密码系统设计且处于底层的重要勒索软件，磁盘加密使用流密码 Salsa20，早期版本存在一些密码学缺陷，后来得到了修正。

勒索软件通常根据加密算法和命令与控制（C&C）通信渠道进行分类。传统上，勒索软件使用的加密算法是标准的：RSA 用于元数据加密，AES 用于文件加密。与 C&C 的通信则更为多样化，不同的攻击者可以根据可靠性和机密性的要求选择不同的方式。此外，离线密码系统开始出现，这是犯罪分子减少暴露的一种方式。

2. 基于智能编码的勒索软件防护

2.1 使用 ECB 模式的勒索软件防护

在密码学中，ECB 模式存在一个重大缺陷：相同的明文块会被加密成相同的密文块，因此无法正确隐藏数据模式。利用这一缺点，可以采用智能数据编码来保护数据免受勒索软件攻击。
具体步骤如下：
1. 数据扩展 ：将每个数据字节用 0 字节填充，使其达到块大小 n。以 AES 为例，n = 16。对于大小为 m 字节的数据文件 T：
- (T = B_0, B_1, \cdots B_m)
- 扩展后的数据文件为：(expendedT = B_0, 0 \cdots 0_{n - 1}, B_1, 0 \cdot