WannaCry的前辈们是怎样勒索用户的?

2017年05月16日 12:16 爱活网
微博 微信 空间 分享 添加喜爱

  WannaCry在上周末的爆发,让人们的目光又聚集在了勒索病毒身上,都说人是好了伤疤忘了痛的生物,记性可以差到只有悲剧再次发生才会想起还曾有过前车之鉴。在WannaCry之前,它还有哪些前辈曾经给我们留下过痛苦回忆?

  恐吓和要价:勒索软件的核心战术

  不管采用什么套路,勒索软件的目的只有一个,就是从用户手里拿走赎金。为了让用户服从自己的指令,他们通常会“抓住”用户的设备或是其上所存储的资料,押其为“人质”,然后恐吓用户交出赎金,以换回那些被扣的数据。

  此类恶意软件在最初时,仅仅是简单地锁定用户的系统,让其不能操作,相对来说攻击比较容易被破解,也不会造成太大的实际损害。然而进入新千年以后,随着传统破坏性病毒逐渐退出舞台,勒索软件开始成为一种流行的计算机犯罪形式,它们通常会采用不对称加密策略,对用户电脑上的部分特定文件或是全盘数据实施加密,然后威胁用户必须在指定时间内向指定的账户转账赎金,否则不予解密,用户也就永远无法访问自己的文件了。因为有些资料实在是重要,所以支付赎金的人数量不少,很多黑客也因此非法获利成百上千万的美金。

  这种勒索方式的主动权完全被黑客所掌控,不幸中招的用户很难找到有效的反制手段,强行解密更是极其耗费时间,一般只能任其摆布。而黑客本身则喜欢通过暗网或僵尸网络发动攻击,现在流行的密码学货币比特币又是一种极为隐秘的赎金收取渠道,这使得对黑客进行追踪定位,采取相关措施也变得难如登天。

  有上面这些要素作为基础,勒索软件成为黑客青睐的获利工具也就不足为奇了。我们现在就来点个名,看看是哪几个臭名远扬的家伙被刻在了历史的耻辱柱上。

  万恶之源CryptoLocker

  CryptoLocker发迹于2013年年底,它是第一个近年来在公众视线中名声大噪的勒索病毒,典型传播方式为邮件附件,也有使用ZeuS P2P木马或是僵尸网络传播的案例。病毒把自己的可执行文件伪装为一个PDF电子书,诱骗不明就里的用户点击运行,在被释放后就会把自己植入用户的个人文件夹,并在注册表里写进运行启动的键值。

  接下来它便会展开攻击中最关键的一步,尝试连接黑客网络,一旦取得连接之后,黑客网络上的服务器就会为它生成一对2048位长度的RSA密钥,并把其中的公钥发回给受感染的系统。CryptoLocker将使用这个公钥,对本地硬盘以及映射的网络硬盘上的所有特定文档类型进行加密,包括Office文档,图片以及CAD设计文件。

  最后,它便会在屏幕上显示一条信息,告知受害者文件已被加密,需要他通过预付费卡券或是比特币渠道在3天之内向黑客的秘密账户支付400美元或欧元等值的虚拟货币,否则黑客服务器上用于解密的私钥便会被删除。

  对重要资料的珍视让不少人不得不配合黑客的勒索行为,根据当时的调查,有41%的受害者决定支付赎金;不过在整个攻击被安全业界终结之后,从黑客4个比特币帐号的跟踪显示,黑客在短短两个月内就收集到了时值2700万美元数量的比特币,折算下来实际情况是有1.3%的受害者确实支付了赎金。而黑客有没有按照约定解除他们文件的加密,就不得而知了。据说有支付赎金却并未履行解密约定的案例出现,相信黑客会遵守承诺也是一种无形的风险。

  NAS之灾Synolocker

  CryptoLocker在接下来的一年多时间里出现了很多变种,包括使用P2P渠道传播的变种,以及更加难以防范和破解的2.0版本,这对恶意软件的进化发展来说是很正常的现象,但有个超乎人们预计的情况是,CryptoLocker把魔爪伸向了Windows PC以外的设备,NAS开始成为勒索软件新的生财目标。

  2014年8月,有群晖NAS的用户报告称自己设备上存储的所有文件都被无故加密,这个自称SynoLocker的勒索软件在提示消息里所声称的加密方式,还有要挟的手段,都和去年爆发的CryptoLocker如出一辙。其入侵途径为刺探当时较旧版本的DSM系统漏洞,获得攻击目标后会套取管理员账户的密码,获取并修改对应的权限,然后把NAS上的所有文件全盘加密。

  因为NAS应用在当时仍然集中在一块比较小众的用户群体,所以该勒索软件的实际影响并未得到有效的统计,但是群晖NAS由于操作简单易上手,应用丰富界面友好等优点,拥有不少原厂硬件用户和“黑群晖”自改装用户,后者通常因为版本老旧更容易暴露在这种危险之中。

  而SynoLocker事件并非群晖NAS第一次成为黑客的攻击目标,就在同一年内的早些时候,还有黑客入侵群晖NAS并控制其为自己挖狗币的案例被曝出,可以见得这类软件的触手延伸范围之广已经超乎了人们的想象。

  掌上骗术师Fusob

  移动互联网时代智能手机的地位举足轻重,如此普适的应用程度让它很容易就成为了下一个攻击目标。Fusob和Small这神似两兄弟在过去的一两年里占据了手机端勒索软件的九成版图。

  针对手机端的攻击,大体上和PC端的勒索软件套路相似,都是一个锁定、恐吓和要价的三板斧。不过差异在于Fusob的传播还比较被动,它有点像早期的PC恶意软件,把自己伪装成一个小电影播放器,诱骗受害者下载安装。一旦中招的话,Fusob就会以一种执法人员的口气说你看小黄片被我抓到了,不想有事的话就交个一两百美刀办事,然后在手机屏幕上显示一个倒计时,并时刻占据最前端。

  Fusob有一两个很有意思的地方,一个是它在安装之后首先会执行一次语言检查,如果手机系统是俄文或者其他东欧语系的语言,它便蛰伏不出;否则,Fusob就会跳出来锁住设备并要求支付赎金。第二是黑客居然要求的是等值的iTunes礼品卡……

  因此Fusob的受害者主要都集中在英美语系的国家,这些区域内中招的人数超过总数的50%。当然,中招的设备都是允许安装第三方应用的Android,封闭的生态圈也让苹果用户逃过勒索软件的一劫。

  面对勒索威胁 妥协不是出路

  到今天的WannaCry大爆发,勒索软件借助着密码学货币的流行,在很好地保证了黑客的匿名特性的同时,为幕后黑手提供了一个大敛钱财的方便渠道。不用担心为自己行为付出任何责任的黑客,自然也就不会觉得自己有义务履行为受害者解密文件的服务。

  所以,虽然已经是无数次的老调重弹,面对日益猖獗的恶意威胁,我们个人还是得提升自己的防范意识,时刻关注自己所使用的软硬件的安全升级,并且别忘记保持对重要数据的多次备份,才能在万一中招时把损失降到最低。否则心疼的可就不止是格式化重置设备和重装应用软件的时间了。

 

推荐阅读
聚焦
关闭评论
文章推荐
热门新机
  • 三星 GALAXY S8

    三星 GALAXY S8

    参考价格未上市

    • 超高屏占比
    • 无边款设计
    • Bixby智能助手
    • 不耐摔
    • 价格高
  • nubia Z17 mini

    nubia Z17 mini

    参考价格1699元

    • 骁龙625
    • 后置双摄
    • 时光相机
    • 配置中规中矩
  • 华为 P10

    华为 P10

    参考价格3788元

    • 新配色
    • 升级徕卡镜头
    • 前置莱卡镜头
    • 没有疏油层
  • 小米 5c

    小米 5c

    参考价格1499元

    • 自主芯片
    • 颜值较高
    • 机身轻薄
    • 仅支持移动4G
热门文章
高清美图
策划