为什么一旦感染勒索软件,神仙也难救?

admin 2024年6月12日08:36:30评论19 views字数 1703阅读5分40秒阅读模式

0x00

在近些年来,我们可能很少看到破坏类病毒之类的攻击了, 相对来说勒索软件的攻击案例不断增加。主要原因还是利益的驱使,因为相比于搞个病毒对你的电脑搞搞破坏这种没什么收益的操作,勒索软件能让黑客们通过收取赎金来大把的捞钱,这种方式直接、高效,而且相对难以追踪

勒索病毒软件,一般感染了这类病毒后,你计算机上的所有重要文件全部被加密,无法访问,除非你在指定时间内给攻击者打钱,否则到点直接删除所有文件

比如2017年的WannaCry全球性勒索软件攻击,影响了全球150多个国家的30多万台计算机,大量的政府或公共机构的计算机的数据被加密,总损失高达数十亿美元

为什么一旦感染勒索软件,神仙也难救?

不幸的是,传言即使受害者给了钱,攻击者也没有将加密的数据恢复。

因此专家建议大家都不要给赎金,最终攻击结束后,总交付的赎金只有51比特币

不给赎金是对的,不要和犯罪分子谈判。如果攻击者尝到了甜头,以后这类攻击只会越来越频繁。

0x01

所以为什么会造成这么大的损失?只是加密了数据而已,这么多的政府机构和大企业,都没办法破解吗?没办法自己将攻击者加密的数据进行解密吗?

为什么一旦感染勒索软件,神仙也难救?

答案是还真不能,对于勒索软件,只能以提前预防为主,因为一旦被感染,神仙难救,基本上就可以和被加密的数据说再见了,哦,不对,是再也不见~

WannaCry为例,它的攻击主要分为两个部分:扩散和加密

扩散

在现在这个互联网时代,已经不是10几年前了。一个蠕虫病毒想要完成大规模的自我复制,那必然要依赖某些在大部分计算机上都存在的漏洞,可能是0day漏洞,或者是新鲜出炉的nday漏洞。

WannaCry也不例外,它能如此迅速地扩散,主要是利用了永恒之蓝(EternalBlue)进行传播,一天内就感染了150多个国家20多万台计算机。

永恒之蓝是NSA开发的漏洞利用软件,它基于Windows的一个0day漏洞,传言NSA早2年就发现了这个漏洞,但是一直没有披露给微软,直到这个漏洞被某黑客出售,微软才发现了这个漏洞,并在17年3月份发布了安全补丁。而WannaCry在17年5月份开始扩散,这时候还有大量的计算机并没有更新对应的安全补丁。

加密

在计算机感染了WannaCry之后,它就开始对硬盘中的重要数据进行加密处理了,它的加密模块会扫描Windows上的所有可用的磁盘,比如本地磁盘、可移动磁盘(USB、移动硬盘等)、网络驱动器等等,然后开始对所有重要文件进行加密(主要是文档、多媒体文件这些)。

为什么一旦感染勒索软件,神仙也难救?

加密算法主要使用RSA-2048 + AES 128,整个逻辑也不复杂,简单描述一下:

  1. 1. 攻击者持有一个RSA的私钥,公钥则被硬编码到了勒索软件里面。
  2. 2. 每次感染一台电脑,都生成一个AES-128密钥,用来加密对应的文件。
  3. 3. 同时,还会生成一对RSA-2048密钥,使用他们来加密这个AES-128迷药。
  4. 4. 最后,再使用硬编码到了勒索软件公钥加密这对生成的RSA密钥。

为什么一旦感染勒索软件,神仙也难救?

看不懂没关系,我们只需要知道,如果拿不到密钥,在现在已有的计算机算力基础上,想解密这些数据几乎是不可能的

文件删除

最后,如果在一定的时间内,被害者没有将赎金转到对应的比特币账户上,那么它会自动删除所有的文件,一了百了。

所以基于如此有限的时间,加上极度复杂的加密算法,一旦我们的计算机被感染,那么唯一的选择就是放弃上面的数据了,听天由命,祈祷我们的数据有额外的备份咯。

冷知识,WannaCry仅一天就被安全人员找到弱点关闭它的传播链了。原因是它在运行前,会先请求一个随机的未注册的域名iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如果有响应,则认为自己在沙箱里面,则停止运行。如果没有响应,才进行后续的感染行为。安全人员花费几十刀把这个域名给它注册了,直接断掉了它的传播链。

0x02

对于勒索软件,一旦感染,几乎无药可救。所以,我们只能尽量的预防,及时升级各种系统及应用软件的安全补丁,加强一下安全意识咯,不要随随便便就被人社工了啊,特别是钓鱼邮件?真的是攻击者百试不爽的手段,不要随便乱点乱下载附件啊!!


原文始发于微信公众号(混入安全圈的程序猿):为什么一旦感染勒索软件,神仙也难救?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月12日08:36:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   为什么一旦感染勒索软件,神仙也难救?http://cn-sec.com/archives/2840233.html

发表评论

匿名网友 填写信息