V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tnx2014
V2EX  ›  分享发现

恶意软件实验室:警告!勒索软件来袭!

  •  
  •   tnx2014 · 2015-01-29 03:38:29 +08:00 · 3990 次点击
    这是一个创建于 3572 天前的主题,其中的信息可能已经有所发展或是发生改变。
    39 条回复    2015-01-30 08:17:43 +08:00
    yfdyh000
        1
    yfdyh000  
       2015-01-29 03:54:09 +08:00   ❤️ 1
    NeoAtlantis
        2
    NeoAtlantis  
       2015-01-29 05:15:32 +08:00   ❤️ 1
    我觉得这种病毒有个漏洞的……就是它既然在服务器上放了私钥然后电脑上用公钥加密文件……那么私钥如果是在电脑上产生的,传到服务器时就有可能被截获(我不认为他们的服务器有SSL,但是有可能只能通过tor访问; 即使有SSL,如果是服务器自签名的证书或者病毒内部自带对服务器的证书的认证,还是能改掉)。如果是服务器上产生私钥然后公钥下发,那么我们可以用中间人攻击骗骗病毒。不过这些都必须是加密之前搞定的事情。不过也可以骗骗服务器的运行者。

    不过天朝用tor那么容易么……
    20150517
        3
    20150517  
       2015-01-29 06:05:06 +08:00 via Android   ❤️ 1
    @NeoAtlantis 私钥何必在你机器生成?每个人的私钥必不同,这还真无解
    NeoAtlantis
        4
    NeoAtlantis  
       2015-01-29 06:26:55 +08:00
    @20150517 是的,好的设计是不应该在我的机器上生成。但是这样公钥的推导就必然是在服务器上,传给我也是通过网络。但是,传给病毒的公钥如果不是服务器发的呢?
    sNullp
        5
    sNullp  
       2015-01-29 06:37:05 +08:00 via iPhone   ❤️ 1
    @NeoAtlantis 你说的没错,在感染前知道要感染者和病毒了并做好mitm准备确实可以伪造公钥。可是谁知道自己会感染这个病毒?
    20150517
        6
    20150517  
       2015-01-29 06:37:55 +08:00 via Android
    @NeoAtlantis 其实他用的根本不是不对称加密,他直接就是一个aes加密,你发现的时候密码早就已经传出去了,而且是随机的,说什么中间人什么,一点意义也没有
    20150517
        7
    20150517  
       2015-01-29 06:39:19 +08:00 via Android
    @NeoAtlantis 而且如果知道你要被感染了,第一反应应该是马上切断网络吧
    sincway
        8
    sincway  
       2015-01-29 07:04:46 +08:00 via iPhone   ❤️ 1
    我的重要文件本身就是自动备份到 Dropbox 的,还有文件历史功能,云办公还是挺好的~
    tnx2014
        9
    tnx2014  
    OP
       2015-01-29 07:05:36 +08:00
    @NeoAtlantis 这些的确只是理论上的,如果没有事先准备,是不可能做这么多事情的。所以还是要警惕,这种病毒如果真加密了重要文件,就算能解密,中间耽误的时间也足以让你欲哭无泪。
    sincway
        10
    sincway  
       2015-01-29 07:08:04 +08:00 via iPhone
    难道可以绕过 UAC?否则申请管理员权限时就感到不对劲了啊
    tnx2014
        11
    tnx2014  
    OP
       2015-01-29 07:13:10 +08:00
    @sincway 据我所知(至少国内)很多人根本就直接关了UAC,不用绕过,他们看见弹窗就烦,或者直接点是,不过这病毒已经在外国传播了一阵子,想必作者应该是绕过的。
    NeoAtlantis
        12
    NeoAtlantis  
       2015-01-29 07:16:37 +08:00 via Android
    @20150517 据我之前的了解,有用到不对称加密。AES反正是肯定要用的。
    NeoAtlantis
        13
    NeoAtlantis  
       2015-01-29 07:20:24 +08:00 via Android
    @tnx2014 病毒没有Linux版本对我来说就没问题。所以我说的是在虚拟机里调教病毒和病毒作者的想法。
    tnx2014
        14
    tnx2014  
    OP
       2015-01-29 07:25:16 +08:00
    @tnx2014 任何东西都有漏洞,所以才有对抗,就看你愿不愿意花精力去弄了。密码学都说没有绝对安全的密码了。我发这条是给一般人作警示,毕竟真感染了会很麻烦,还是小心一点好。
    tnx2014
        15
    tnx2014  
    OP
       2015-01-29 07:25:50 +08:00
    tnx2014
        16
    tnx2014  
    OP
       2015-01-29 07:27:46 +08:00
    @NeoAtlantis 毕竟一般人也不可能天天做逆向工程分析病毒玩然后调教作者。
    NeoAtlantis
        17
    NeoAtlantis  
       2015-01-29 07:30:31 +08:00 via Android
    @tnx2014 我又没说要用这个思路让大家都调戏作者,别多想了。
    geeklian
        18
    geeklian  
       2015-01-29 07:32:48 +08:00 via iPhone
    @sincway 加密用户文档不需要uac
    tnx2014
        19
    tnx2014  
    OP
       2015-01-29 07:35:17 +08:00
    @geeklian 但是下载可能需要。
    tnx2014
        20
    tnx2014  
    OP
       2015-01-29 07:36:58 +08:00
    @NeoAtlantis 所以我没说你说的不对啊,我只是说我的目的就是提个醒,至于你调不调教是你的自由。
    geeklian
        21
    geeklian  
       2015-01-29 07:37:07 +08:00 via iPhone
    @tnx2014 下载更不需要了...
    sincway
        22
    sincway  
       2015-01-29 07:40:43 +08:00 via iPhone
    @geeklian 原文说的是电脑内所有文件... 可能表述问题吧。用户文件确实不用,我通常将不需更改的归档文件都去掉普通用户的修改权限了
    tnx2014
        23
    tnx2014  
    OP
       2015-01-29 07:42:43 +08:00
    @geeklian 我想到用IE下载去了,当我没说。还是有可能触发的,我觉得还是不要一概而论。
    tnx2014
        24
    tnx2014  
    OP
       2015-01-29 07:48:52 +08:00
    @sincway 其实绕过UAC对“大神”而言不是很困难的事情,很多漏洞应该都行。我看中的是这个病毒反常规,中一般的病毒,文档还有一定几率能恢复,这种病毒真加密了,一般人就只有删除的一种选择了。
    ffffwh
        25
    ffffwh  
       2015-01-29 07:54:38 +08:00
    1. 杀毒软件还是要的,可以平时不开实时保护,但可疑文件一定要手动扫描一遍。话说Mac下建议用啥?
    2. Windows UAC必开。
    2. 备份看来应该放在一个需要root权限的地方。刚刚试了下Time Machine,需要root权限才能改动备份。
    geeklian
        26
    geeklian  
       2015-01-29 08:43:41 +08:00 via iPhone   ❤️ 1
    @tnx2014
    @sincway
    @NeoAtlantis
    你们都从技术角度想太多,太多,太多了。

    这个病毒其实早就有,大概三年前,反正令我对反病毒的认识有了些改观。

    和楼主看到的这个有些不一样:我看到的是一个用autoit这种大家看不上的脚本语言,一小时就能写出来的简单脚本,甚至壳都没加。但逻辑完全一致,针对的就是用户目录下的office文档,用的autoit自带的aes加密,加密密码通过境外服务器获得。

    反倒是因为没用任何什么的高级技术,用的全部都是autoit这个脚本语言自带的常见语法,该病毒至少一年半时间没被杀软杀。

    我们面对的攻击者准备想的很周全,他伪装了发件人地址,全部是我们的东欧客户,而收件人全部是单位环球交易服务部的员工和领导,邮件内容是一些交易信息的核对请求。交易方式也是btc,大概要求数万人民币。

    好在单位有严格的域环境,内外网隔离,同时同事有几个还算警觉,只有一个漫游在家的人中招。在报案并排除自己人犯案后,基本确定是几个东欧客户的信息被盗所致,因为同业也有相关报案。

    反正这事记忆深刻,因为我了解到:
    1. 对于黑客,最最最重要的是前期对目标的选择和目标资料的准备,而不是高深的混淆技术什么的。不过这方面防范技术上没有什么主动应对手段,只能通过内控管理加强。

    2.同时杀软对于特别简单的脚本,基本没有判断能力,我们用的趋势,完全只是针对脚本获取主程序的url进行了特征码。因为脚本其他部分完全是正常大型企业windows运维所需的一个小小子集。
    为此我们通过域策略对exe程序实施基于证书的白名单制度,vbs,批处理等等完全禁止执行。运维脚本则全部打包exe打上数字证书。要求员工尽可能把文档都扔进Sharepoint。
    bobopu
        27
    bobopu  
       2015-01-29 08:45:35 +08:00 via iPhone
    平时把重要文件给网盘备份一份还是很重要的,这要真是中招了欲哭无泪。。
    Oi0Ydz26h9NkGCIz
        28
    Oi0Ydz26h9NkGCIz  
       2015-01-29 09:40:49 +08:00
    @sincway
    @bobopu Dropbox没法用,只能用快盘将就备份了,唉
    @ffffwh mac下也有杀毒软件啊。
    要1万块,这真是……
    googlefans
        29
    googlefans  
       2015-01-29 09:44:07 +08:00
    @ffffwh 不开实时保护 安装杀毒干嘛
    davidyin
        30
    davidyin  
       2015-01-29 10:02:55 +08:00
    有杀毒软件也未必能防到这个。
    半年前,我遇到一台电脑是被这样劫持了,文本文件,office文件,照片,视频等等都被加密了。
    好在全部有云备份,都放在Dropbox了。
    最后是系统恢复出厂设置,等于重装系统。
    ipv66
        31
    ipv66  
       2015-01-29 10:13:52 +08:00   ❤️ 1
    CTB-Locker敲诈者病毒企业网管解决方案出炉,详见: http://www.cgzz.net/administrator/ctb-locker-fang-an/
    NeoAtlantis
        32
    NeoAtlantis  
       2015-01-29 11:35:53 +08:00
    @geeklian 你的经历只能证明:1 这病毒的思路很老 2 你们的技术看起来是有效的。
    但是不能证明,类似的勒索技术没有进步。我确信我看到过用公钥的报道。

    另外你们有没有注意,楼主这链接里面的传真的语言是的德语。传真上还有个收件地址是Cottbus(丫的离我这里不远,刚出萨克森就到了),虽然觉得作者未必那么笨把自己身边的东西放进病毒……但是我有点觉得这病毒是德国产(仔细看里面的英语,有点问题,未必是英语使用者)。
    bitwing
        33
    bitwing  
       2015-01-29 11:40:32 +08:00
    signal
        34
    signal  
       2015-01-29 11:57:12 +08:00
    做坏人要动的脑筋真多
    Draplater
        35
    Draplater  
       2015-01-29 13:52:08 +08:00 via Android
    @tnx2014 密码学家说,一次一密是牢不可破的
    Draplater
        36
    Draplater  
       2015-01-29 13:52:08 +08:00 via Android
    @tnx2014 密码学家说,一次一密是牢不可破的
    tnx2014
        37
    tnx2014  
    OP
       2015-01-29 21:45:49 +08:00
    @geeklian 思路肯定早就有的,不过正如 @NeoAtlantis 说的那样,勒索者肯定也在进步。

    @Draplater 你说的这个是样本容量的问题,对于加密算法,样本越少越难找到破绽,属于统计学问题,和我上面那句不矛盾,任何加密被破解,只是时间问题,解密者付出大于收获,加密就是相对安全的。
    tnx2014
        38
    tnx2014  
    OP
       2015-01-29 21:55:58 +08:00
    @ffffwh 据我所知,很多杀软都有Mac版本,因为我主要用windows,Mac不熟悉,无法给你推荐。但Mac本身恶意威胁相对于win少很多,主要就是多系统的用户要注意别把某些在Mac OS或Linux下不起作用的病毒带入Windows
    NeoAtlantis
        39
    NeoAtlantis  
       2015-01-30 03:25:59 +08:00 via Android
    @Draplater @thx2014 一次一密没啥实用价值,理论价值更大。有助于理解用伪随机数发生器构建加密算法而已。
    benjiam
        40
    benjiam  
       2015-01-30 08:17:43 +08:00 via Android   ❤️ 1
    简单的说这事无解。最多可以防止到时候删除文件。但是怎么恢复呢?跑出密码就不要想了。我是设计者 病毒本身带个RSA公钥 然后在你那里随机算个密钥,然后RSA传回来。你能怎么办。本地应该有那个随机密钥文件的加密备份。因为病毒要防止 加密到一半 重启了或者自己被杀了这种情况。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2861 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 80ms · UTC 02:24 · PVG 10:24 · LAX 18:24 · JFK 21:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.