病毒家族再添新丁:勒索软件(Ransomware)的昨天、今天和明天

编者按：昨天是历史，今天是现状，明天嘛，病毒和反病毒齐头并进……安全问题不容忽视！

　　勒索软件（RansomWare）是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统上多种类型的文件，如文档、邮件、数据库、源代码、图片、压缩文件等，进行某种类型的加密操作，使这些文件不可用。勒索软件还可能通过修改系统配置文件，干扰用户正常使用系统的方法使系统的可用性降低。然后，通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。

　　1．Ransomware的特点

　　勒索软件在受害用户主机上运行后，会在主机上搜索多种类型的文件，而文件类型是由扩展名标识的。一般搜索具有.txt、.doc、.rtf、.xls、.ppt、.chm、.cpp、.asm、.db、.db1、
.dbx、.cgi、.dsw、.gzip、.zip、.jpg、.key、.mdb、.pgp、.pdf等。这些文件包含了用户可能用到的大部分重要资料，使用户面临重要信息丢失的风险。然后，勒索软件将对这些搜索到的文件进行加工处理。一般有三种处理策略：

　　（一）将搜索到所有文件压缩为一个带密码保护的zip文件，然后删除源文件；

　　（二）将每个文件都单独加密，然后删除源文件。比如有一个“

　　（三）创建一个隐藏的文件夹，将所有文件移动到该文件夹内，造成文件丢失的假相，这种方法危害最低，最容易找回文件。

　　勒索软件将文件加密后，一定要以醒目的方式通知到用户，并用详细清晰的文字说明需要用户进行哪些操作才能找回文件。勒索软件一般在被加密文件的相同文件夹内或桌面上生成一个文本文件，或者通过弹出窗口或对话框的方式通知用户。文本文件或窗口会说明已对文件进行的加密操作和详细汇款方法。而且可能会强调4方面的内容：

　　（一）文件已被加密，暴力破解密码软件或反病毒软件均无法解密；

　　（二）按照“用户通知”的指示进行汇款等操作是唯一找回文件的方法；

　　（三）通过报警或通知相关部门等方法都无法解决问题；（四）请及时汇款，文件正在以某个时间间隔被删除。

　　目前已经发现的汇款方式包括通过Western Union汇款、通过E-Gold汇款、向银行或手机帐户汇款等。

图 “敲诈者”病毒发作

　　勒索软件一般不会象蠕虫那样传播，因为这样很容易被安全人员获得样本，从而对其进行分析，从而找到解密方法。因此，勒索软件通常采用人工方法挂接在被攻陷的网站上，用户浏览恶意网页时就可能遭到感染。不排除攻击者通过Botnet散发勒索软件的可能。勒索软件为了避免自身被安全人员分析，通常加密用户文件并生成提示用户文本之后就自删除。

相关链接：
徒手实战“敲诈者”病毒实例（图）
利用文档勒索：国内截获首例敲诈病毒（图）

　　2．RansomWare实例介绍

　　从2006年3月开始，RanWare显著增多。下面列举几种典型的Ransomware功能与对比。

名称	发现时间	攻击文件方法	勒索方法
Trojan.Pluder.a（敲诈者）	2006.6.14	将多种类型的文件拷贝到隐藏文件夹中	向指定工商银行帐户汇款￥80左右。
Arhiveus	2006.5.5	将“My Documents"文件夹内的文件连接成一个EncryptedFiles.als文件，将源文件删除。同时在该文件夹下生成文本文件“INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt”，指导用户如何解密文件。解密密码以明文方式存在在恶意代码中。	指示用户从某些个俄罗斯网站购买价值$75左右的药品。用户购买药品后，将购买药品的订单ID通过邮件发送给攻击者，攻击者确认无误后将密码通过邮件回复给受害者。
Trojan.Randsom.A	2006.5.1	用户通知窗口显示在其他窗口之前，干扰用户使用系统；欺骗用户说每隔30分钟删除一个文件，其实并没有删除文件。	通过Western Union汇款$10.99。
Trojan.Cryzip	2006.3.11	将文档、文本文件、数据库文件等多种类型的文件压缩为带密码保护的zip文件。用于生成zip文件的密码以明文的形式存放在Cryzip 文件中。	通知用户将$300汇入指定的E-GOLD帐户。操作方法有非常详细的说明。
Trojan.Cryzip变种	2006.3.22	Cryzip新版本使用的压缩密码从某网站上动态下载。
Trojan.PGPCode	2005.5.23	将用户文件用RSA算法加密。	通知用户使用E-GOLD汇款$200

　　3．RansomWare的应对与防范

　　1）树立安全意识

　　RansomWare侵入受害主机的方法与其他恶意软件并没有差别，所以，常规的防范措施仍然适用于RansomWare,如安装防病毒软件、防火墙软件、及时为系统和应用软件升级和打补丁等。

　　2）预防为主，备份是关键

　　目前发现的几种Ransomware都可以通过分析找到解密方法，但攻击者稍做努力，就可以使解密文件变为不可能，只有汇款或等待攻击者落入法网才能找回文件，这是Ransomware发展的必然趋势。所以，定期备份重要文件是最关键的。

　　备份文件并不只是为了预防Ransomware，而是有多种好处，比如预防系统崩溃或硬盘损坏。此外，当文件被加密后，保存源文件有时有助于破解加密算法。如果用户对一个被Ransomware加密的压缩包中的某个文件有备份，那么，利用诸如“Elcomsoft's Advanced ZIP Password Recovery”之类的采用“已知明文攻击”的方法进行密码恢复的工具，可能会解密被压缩的文件。

　　3）求助解决，不要轻易汇款

　　用户一旦感染RansomWare，系统上的许多重要文件被加密或隐藏，但不要轻易地按Ransomware的要求进行汇款之类的操作，而是要向网络安全管理部门、执法部门、应急组织或防病毒厂商投诉。这样，一方面可能获得解密或恢复文件的技术支持，另一方面也有利于为相关部门提供寻找攻击者的线索和保护受害者的方法。如果感染此类Ransomware的用户很多，必然得到关注，解密方法也可能获得，从而不必汇款。

相关链接：
徒手实战“敲诈者”病毒实例（图）
利用文档勒索：国内截获首例敲诈病毒（图）