病毒家族再添新丁:勒索软件(Ransomware)的昨天、今天和明天 | ||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2006年08月15日 11:41 太平洋电脑网 | ||||||||||||||||||||||||||||
作者:GonNa 编者按:昨天是历史,今天是现状,明天嘛,病毒和反病毒齐头并进……安全问题不容忽视! 勒索软件(RansomWare)是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统上多种类型的文件,如文档、邮件、数据库、源代码、图片、压缩文件等,进行某种类型的加密操作,使这些文件不可用。勒索软件还可能通过修改系统配置文件,干扰用户正常使用系统的方法使系统的可用性降低。然后,通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。 1.Ransomware的特点 勒索软件在受害用户主机上运行后,会在主机上搜索多种类型的文件,而文件类型是由扩展名标识的。一般搜索具有.txt、.doc、.rtf、.xls、.ppt、.chm、.cpp、.asm、.db、.db1、 (一)将搜索到所有文件压缩为一个带密码保护的zip文件,然后删除源文件; (二)将每个文件都单独加密,然后删除源文件。比如有一个“毕业论文最终版.doc”,勒索软件会生成“已加密_毕业论文最终版.doc”以标志源文件; (三)创建一个隐藏的文件夹,将所有文件移动到该文件夹内,造成文件丢失的假相,这种方法危害最低,最容易找回文件。 勒索软件将文件加密后,一定要以醒目的方式通知到用户,并用详细清晰的文字说明需要用户进行哪些操作才能找回文件。勒索软件一般在被加密文件的相同文件夹内或桌面上生成一个文本文件,或者通过弹出窗口或对话框的方式通知用户。文本文件或窗口会说明已对文件进行的加密操作和详细汇款方法。而且可能会强调4方面的内容: (一)文件已被加密,暴力破解密码软件或反病毒软件均无法解密; (二)按照“用户通知”的指示进行汇款等操作是唯一找回文件的方法; (三)通过报警或通知相关部门等方法都无法解决问题;(四)请及时汇款,文件正在以某个时间间隔被删除。 目前已经发现的汇款方式包括通过Western Union汇款、通过E-Gold汇款、向银行或手机帐户汇款等。 图 “敲诈者”病毒发作 勒索软件一般不会象蠕虫那样传播,因为这样很容易被安全人员获得样本,从而对其进行分析,从而找到解密方法。因此,勒索软件通常采用人工方法挂接在被攻陷的网站上,用户浏览恶意网页时就可能遭到感染。不排除攻击者通过Botnet散发勒索软件的可能。勒索软件为了避免自身被安全人员分析,通常加密用户文件并生成提示用户文本之后就自删除。 相关链接:
2.RansomWare实例介绍 从2006年3月开始,RanWare显著增多。下面列举几种典型的Ransomware功能与对比。
3.RansomWare的应对与防范 1)树立安全意识 RansomWare侵入受害主机的方法与其他恶意软件并没有差别,所以,常规的防范措施仍然适用于RansomWare,如安装防病毒软件、防火墙软件、及时为系统和应用软件升级和打补丁等。 2)预防为主,备份是关键 目前发现的几种Ransomware都可以通过分析找到解密方法,但攻击者稍做努力,就可以使解密文件变为不可能,只有汇款或等待攻击者落入法网才能找回文件,这是Ransomware发展的必然趋势。所以,定期备份重要文件是最关键的。 备份文件并不只是为了预防Ransomware,而是有多种好处,比如预防系统崩溃或硬盘损坏。此外,当文件被加密后,保存源文件有时有助于破解加密算法。如果用户对一个被Ransomware加密的压缩包中的某个文件有备份,那么,利用诸如“Elcomsoft's Advanced ZIP Password Recovery”之类的采用“已知明文攻击”的方法进行密码恢复的工具,可能会解密被压缩的文件。 3)求助解决,不要轻易汇款 用户一旦感染RansomWare,系统上的许多重要文件被加密或隐藏,但不要轻易地按Ransomware的要求进行汇款之类的操作,而是要向网络安全管理部门、执法部门、应急组织或防病毒厂商投诉。这样,一方面可能获得解密或恢复文件的技术支持,另一方面也有利于为相关部门提供寻找攻击者的线索和保护受害者的方法。如果感染此类Ransomware的用户很多,必然得到关注,解密方法也可能获得,从而不必汇款。
相关链接: |