查查知识网

网络病毒下载(勒索病毒)

发布者:张悦华
导读几年前,一种以敲诈用户钱财为目的病毒开始流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行被加密文件的解密

几年前,一种以敲诈用户钱财为目的病毒开始流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行被加密文件的解密操作,受害者不得不为此而交付赎金。并且出现有些因为无法联系到病毒作者或者病毒加密文件时出错,进而导致了文件无法解密的情况,用户资料文件因此永久被锁,损失惨重。那么这一类的敲诈者病毒危害几何?咱就来实测一下!如何防范此类病毒,咱也来探讨一下!如何解密这类病毒,咱也来唠叨唠叨!

图1 计算机病毒一直是个让人头疼的问题(图片来源网络)

什么是敲诈者病毒

敲诈者病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种常见文件类型。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,病毒作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金,最终也还是无法还原被加密的文件。

敲诈者病毒实测简介:恐怖的全盘加密

敲诈者病毒的威力到底如何?让我们先来实机测试一下,看看它的破坏力。为了方便测试,本次测试Windows环境采用了Windows XP系统,没有安装任何的杀毒软件,系统为新装,只安装了几款必要软件。

参与测试病毒资料:

病毒病毒名称:Locky 变种

病毒类型:敲诈者病毒(勒索病毒)

作恶手法:使用高强度加密AES或 RSA算法批量加密用户电脑中上百种常见后缀文件,使得用户无法自行解密,病毒将留下勒索信息,勒索受害用户,要求以比特币(bitcoin)形式支付赎金。

传播手段:欺骗性邮件(邮件附件形式)、网站插件劫持、假冒常用软件、Windows及软件漏洞等、恶意网站。

病毒特征:受害者电脑中被病毒加密后,被加密文件扩展名被更改为thor。

病毒感染过程:以各种形式引诱用户运行病毒下载程序(或脚本文件),下载程序被运行后自动从网络中下载最新的病毒本体,成功下载后自动运行病毒,病毒对用户电脑中常见文件类型(视频/音频/文档/压缩/key文件等)进行遍历后进行加密操作,更改用户Windows桌面背景为勒索信图片内容,要求受害者支付比特币赎金以解密文件。

敲诈者病毒实测过程

笔者先在测试电脑中的每个硬盘分区的test文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。

图2 测试文件列表

接下来,运行敲诈者病毒下载器,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。

图3 病毒留下的桌面壁纸“温馨提示”

进入test文件夹中查看测试文件,除EXE类型文件外,所有硬盘分区下test文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为thor。

图4 常用文件格式全军覆没

造成的危害:由于敲诈者病毒大多都加密了常见格式文件,诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。重要的资料文件被病毒所加密,受害者不得不支付赎金以解密文件。

由于敲诈者病毒大多数采用了比特币支付方式,并且有些敲诈者病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些敲诈者病毒所加密的文件在用户支付赎金后依然无法进行解密操作。

细心的网友已经看出图1和图3的时间顺序不对,那是因为小编在测试的时候把测试前截图文件保存到了U盘中,测试时忘记拔出U盘,结果该截图也惨遭加密。SO,只好事后再截取了图1了。这也警告了大家,敲诈者病毒不仅仅会加密本地硬盘文件,连感染时用户所接入电脑的移动存储器里的文件也不会放过。

需要提醒受害者的是,如果你的重要资料文件被敲诈者病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。

来个最新案例:北京一家医院最近遭到病毒侵袭,病历等重要资料被加密成XTBL后缀。经调查,原来是服务器口令太简单,密码被黑客爆破入侵后运行了病毒,该院网管被要求自己去付赎金恢复文件(约1.5万元),如不能恢复文件还将被开除。(转至360微博)

敲诈者病毒变形记 智能手机也不放过

2013年9月出现的CryptoLocker,其以加密用户数据为要挟向用户勒索比特币赎金,这开启了大规模利用受感染网站和邮件附件形式传播勒索软件的先河。有了先例,病毒作者们便竟相的模仿起来,除了上述类型的敲诈者病毒,还出现有许多简化版病毒甚至病毒作者们还把魔爪伸向了智能手机,咱接着往下看。

图5 还有这么一种病毒

先来看看简单版的,最简单的就是直接修改了用户Windows登录密码,然后要求用户支付赎金进行解锁。这种勒索方式由于简单,非高强度加密形式,安全厂商可根据病毒文件分析出登录密码,由于病毒没有加密用户文件,所以危害没有上述敲诈者病毒那么严重。

再来看看进阶一些的,运行病毒后,该病毒篡改用户磁盘主引导记录(MBR),导致用户操作系统无法正常启动,然后通过制造蓝屏,达到强制重启电脑的目的。电脑重启之后,屏幕会显示需要修复磁盘的信息。而无论受害者是否选择修复,都无法避免数据被删除、电脑被绑架敲诈的结果。因为这段信息根本不是系统修复程序,而是木马自己写入的欺骗性提示。对付这种病毒,最好的方法是直接使用PE系统引导启动电脑后,采用DiskGenius等磁盘软件进行磁盘的MBR修复。同样的,由于病毒并没有加密用户文件(部分变种出现加密情况),所以危害也较低,只是修复系统需要一定的计算机能力,普通用户只能求助专业人士。

不管如何,先把重要资料文件从受感染硬盘中备份出来再进行受感染硬盘的恢复操作,以防万一。

图6 病毒引导启动画面(图片来源网络)

图7 DiskGenius

还有一种更具传染性的敲诈者病毒VirLock,病毒会感染DOC、XLS、PDF、PPT、PNG、GIF、BMP、PSD、JPG、MP3、MPG、RAR、ZIP文件,将其变成EXE文件,被感染文件比原始文件扩大500kB左右,并且原文件的版本信息会丢失。用户运行被感染文件后就会中招,硬盘中的文件会被锁定,并弹出提示框,提示用户付费恢复被感染文件,黑客以此向用户实施敲诈。不过被VirLock感染的文件已经可以被某些杀毒软件推出的专杀工具所恢复。

“最近很少用电脑,不关我事!”,然而,黑客们并没有放过目前流行的智能手机。以各种手机应用/游戏破解版,内购破解版的形式引诱用户安装病毒文件,并且以破解为理由要求用户赋予root权限,一旦获取root权限后,设置锁屏密码及弹出提示要求添加敲诈者即时通讯软件以便勒索。如果病毒没有获取ROOT权限,它只是用锁屏效果置顶覆盖桌面。对付这种已经被赋予root权限的病毒,用户可进recovery 进行数据清除操作,但是随之手机中的用户数据(如通讯录,应用数据,部分手机的照片等)也将被清除(记得事先备份)。对付没有被赋予root权限的病毒,则需想方法切换到桌面中然后卸载该病毒,或者可以进入recovery,利用第三方文件管理功能来删除相关病毒文件。

图8 安卓敲诈者

关于root权限的题外话:近日,一种名为“幽灵推”的安卓病毒开始席卷智能手机,并且造成了非常严重的影响。不同于以往手机病毒的是,“幽灵推”能够获得手机的最高控制权限(俗称root),使杀毒软件对其失效,因而被称之为迄今为止最为强悍的安卓手机病毒。

敲诈者病毒所加密文件能自行解密么 有万分之一的可能性么

上边说了,多数敲诈者病毒都采用了高强度加密算法进行加密,如RSA加密,这类加密算法具有极高的安全性,除非拿到密钥,否则几乎无法解密(而且最新的病毒变种已经将加密方式升级为4096位,破解已经绝无可能。)。也就是说,如果受害者不接受黑客的勒索条件,则电脑上的几乎所有重要数据都将无法找回,给受害者带来巨大的损失。

事有意外,由于某个旧版敲诈者病毒作者的“良心发现”,并发布了该系列敲诈者病毒的主解密密钥。主解密密钥能用来解密被敲诈者病毒TeslaCrypt所加密的文件。卡巴斯基实验室的恶意软件分析专家使用该主密钥升级他们的敲诈者病毒解密工具RakhniDecryptor,专用来解密遭多个类型勒索软件加密的文件。(360安全卫士也有类似工具)

如果你被敲诈者病毒加密文件的扩展名变成如下:.xxx、.ttt、.micro、.mp3或原先的扩展名,就可以尝试使用上边的工具进行解密操作。

要想解密您的文件,请按照以下几个简单步骤操作:

1. 下载RakhniDecryptor并安装到您的PC电脑上;

2.运行RakhniDecryptor.exe;

3.点击更改参数按钮;

4.选择你想要扫描的目标文件。通常情况只勾选硬盘,但如果你还接有移动硬盘或开放式网络共享—最好也一起勾选。

5.可以选择在解密后删除被加密文件以清理您的硬盘,但我们并不建议这样做。最好在删除原始文件前100%确定所有文件已被成功解密。然后再点击OK。

6.点击开始扫描按钮。

7.在“指定一个被加密文件的路径”中,选择你需要恢复的一个文件并点击打开。

8.耐心等待RakhniDecryptor恢复文件。这一过程可能需要较长时间。

图9 RakhniDecryptor工具

近期发现的敲诈者病毒又有了新的动作,不仅会加密文件敲诈用户,而且还兼具了盗号的特性,会默默搜集用户电脑里的密码配置文件,如:电子邮箱、聊天工具、网银帐号、比特币钱包等等的密码。

敲诈者病毒能防范么 为了预防我们可做哪些措施

防范措施一:最重要的是定期异地备份

硬盘有价,数据无价。和以前不同,现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。可是许多人却忘记了硬盘会坏,电脑可能被盗,文档可能被误删除,系统可能会被感染病毒,甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见,有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件,可以帮助你自动进行文档的本地及局域网、FTP备份。

而笔者建议的是,至少要用一个移动存储器(如U盘、移动硬盘)来对重要资料进行异地备份。也就是说,备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染。

对于这个用户备份的移动存储器里边的备份文件保密问题,你可以采用Windows BitLocker功能相对该移动存储器进行加密操作。

图10 FileGee同步备份软件

而且还有许多的网盘软件,也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能,更是可以帮你找回文件的旧版本。可惜的是目前国内的网盘相继关停,较适合国内的剩下天翼云和百度云了。还有就是国内宽带的上传速度也限制了用户备份大文件。

图11 天翼云的自动备份功能

防范措施二 安装一款靠谱的杀毒软件

别相信什么裸奔电脑的装酷的传言,还有就是杀毒软件无用论,如果你不是专业人士,至少杀毒软件还能帮你拦截大多数的病毒木马。目前敲诈者病毒已经被各个安全软件公司所关注,当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种,所以安装一款靠谱的杀毒软件还是非常有必要的,还有,记得要升级所安装的杀毒软件病毒库到最新版本。

图12 靠谱的杀毒软件还是有作用的

只是,敲诈者病毒或许还在更新,并且会形成更多的变种以逃避杀毒软件的查杀,所以有了杀毒软件也不能掉以轻心。

还有需要注意的是,如果系统真的中了CTB-Locker,并且重要文档被加密的话,千方不要查杀该病毒,查杀后你无法解密这些文档,因为目前为止,只有支付赎金来获得文档解密这一途径才能解密文档,你把病毒查杀了,也就不能支付赎金了。有重要资料被感染的话,可以尝试下载专杀工具进行查杀及恢复操作。重要的是,先恢复被感染的文档再进行病毒查杀操作。

防范措施三 五个不要

不要轻易的打开陌生人发来的邮件附件及邮件里的链接,当然就算熟悉的人给你发来的邮件,如果没有特别的说明,也不要轻易打开。

不要开启Office宏功能,需要开启宏时,需要确认文件来源是否可信。

不要随便浏览未知网站外,最重要防范措施就是为你的系统打好补丁(Windows Update)和使用新版的浏览器。

不要隐藏文件扩展名,文件扩展名是用户快速分辨文件类型的最佳方式,怎么显示文件的扩展名?以Windows 7为例,打开任意文件夹→菜单栏→组织→文件夹和搜索选项→查看→隐藏已知文件的扩展名(去掉勾)。针对可执行(.EXE(当然程序可以,如果你看到你的文档后缀名变成了exe,那可就千万别再去运行)、.COM、.SCR、.PIF)、脚本(.BAT、.CMD、.JS、.JSE、.VBS、.VBE、.WSF、.WSH、.PS1、.PSC1)等扩展名的文件,不要轻易运行。

不要轻易将手机的root权限授权给陌生应用,尽量不要使用所谓破解版的应用或游戏。

图13 显示扩展名

防范措施四 加密重要资料所在分区

采用Windows BitLocker功能相对重要资料文件所在分区进行加密操作,非用时不要解开加锁驱动器。具体步骤请参考笔者的另一篇文章。

相关文章推荐:BitLocker如何使用

总结

近几年病毒木马似乎变得少了,大家的防范之心慢慢的降低了。其实不然,各种盗号木马还是层出不穷,各种病毒还在不少用户电脑中肆意着。作为普通用户,咱还需多加防范,因为现在大多数人都拥有网银等的网上支付手段及电脑中存储有重要资料或者充满回忆的数码照片视频等内容,因为病毒木马而遭受丢失就不好了。良好的操作习惯、定期的备份,一款靠谱的杀毒软件在关键的时候能帮上你大忙,你可别掉以轻心哦。此外,在智能手机中你也别掉以轻心哦。