惊爆:更智能的勒索病毒来了!

释放双眼,带上耳机,听听看~!

关于勒索病毒,你需要知道的几个问题!

    注:不好意思,重新发布,增加了一个问题,修订了原来文章中的一点小错误。 这几天,朋友圈被”永恒之蓝”刷屏了。从央视到省台到市台,无不在关注这个勒索病毒,关于这个病毒的原理和预防方法已经有好多文章在写了,我这里就不做重复的工作了。这里将大家

前一段的铺天盖地的宣传让很多人知道了勒索病毒,最近几天,勒索病毒似乎风头过去了。很多人以为打了补丁了,关闭了端口了,就不会再中勒索病毒了。

勒索病毒过去了吗?

当然没有。

就在今天,我们又收到新的勒索病毒感染的报告。一个合作伙伴告诉我他的一个客户感染了勒索病毒,不是永恒之蓝,我和技术人员马上去找到了最新的病毒样本进行了测试。果然,这是一个最新的样本,刚拿到样本的时候,进行了测试,还有部分的杀毒软件无法识别。卡巴斯基识别的名称为:Trojan-Ransom.Win32.Gen.dzf,还没有见到官方中文命名。



同所有的勒索病毒一样,加密后的文件被添加了一个后缀名,这个后缀是:0x02,在目录下也同样生成了一个README.TXT的文本文件,不过内容比较简单,只有一句话,告诉你去哪个网站可以找到被加密的文件 。


与永恒之蓝不同的是,永恒之蓝感染的时候是要生成一个副本,然后对副本加密,然后再删除原文件,这样就有通过数据恢复软件进行恢复的可能,而这个病毒,不需要副本,直接对原文件加密,杜绝了文件被恢复的可能。

而且从得到的样本看,还有针对MAC和linux的感染部分(我还没有在这两个系统下测试),看来这次MAC和LINUX也不能幸免了。

经过分析发现,这是一个智能的勒索病毒,是对之前传统勒索病毒的一次改良,主要区别如下:

1、动作更少。

2、智能识别诱饵,不重要的文件自动忽略,大幅提高加密速度。

3、自动忽略不重要的目录。

4、加密密钥由机器码计算得出,采用特定算法,避免了被捕捉到私钥的可能性,实际应用时,可以在用户支付赎金后,得到电脑机器码的情况下可以发给用户特制的解密工具。

5、文件加密后保存在原地,避免了被恢复软件恢复的可能性。

经过永恒之蓝,各大媒体铺天盖地的宣传,让大家对勒索病毒有了一个初步的印象,但很多人以为,勒索病毒就是永恒之蓝,只要打了MS17-101补丁,关闭了端口就万事大吉了,勒索病毒似乎也没有那么可怕。

然而事实却并非这么简单,这次的永恒之蓝仅仅是我们遇到了众多勒索病毒中的一个而已,仅我们遇到的就近百种变种了。全球范围内来看,每天都有新的变种出现,爆出来的这个永恒之蓝仅仅是冰山之一角。我们又要如何防范呢?装了杀毒软件一定就能防范勒索病毒吗?


了解杀毒软件的都知道,杀毒软件能查杀病毒的步骤如下:

1、病毒作者制造出来病毒,并开始攻击用户。

2、技术人员将样本提交到杀毒软件公司,或者杀毒软件主动捕获到病毒样本。

2016年中国灾备技术和行业白皮书

版权声明:该白皮书不是我的原创,版权不归我所有,我只是搬运工,去除了里面的涉及广告的部分内容。 欢迎关注大兵说安全。 点击下面的“阅读原文”下载完整版。

3、杀毒软件公司分析病毒样本,并将病毒特征码加入病毒库。

4、用户升级杀毒软件病毒库。就可以查杀和预防该病毒。

从以上步骤中我们可以看出:先有病毒后有反病毒,从病毒问世到杀毒软件可以查杀,是需要一个时间的,这个时间的长短各个杀毒软件公司是不一样的,这也是说各杀毒软件是否专业的一个重要因素:

1、杀毒软件公司如何拿到病毒样本,病毒采集点的多少,直接决定了杀毒软件公司对新病毒的反应能力。有些病毒是从国外率先发现的,国内用户感染是存在时间差的,虽然说现在的互联网时代这个时间差在缩短,但依然是有区别的。一个遍布全球的病毒采集点就可以了第一时间得到样本并让其他地区的用户及时避免感染。

2、拿到样本之后的处理速度。拿到样本之后,技术人员需要进行分析,并将特征码加入病毒库,这个是技术实力的体现。


这是传统的使用病毒特征码进行病毒查杀的杀毒软件的通用做法。为了更好的预防未知病毒,有的杀毒软件采用的主动防御技术,利用病毒的行为进行拦截,可以很好的预防未知病毒,但这种方式存在一定误杀的可能,而且也不能防范所有的未知病毒。


从这个过程中我们要了解到,完全依靠杀毒软件来预防勒索病毒也是不可取的,因为杀毒软件是一个被动的防御措施,没有任何一个杀毒软件厂商敢告诉你说,装上他的产品可以100%预防勒索病毒,如果有,一定是在骗你。只能说专业的杀毒软件可以更快的处理,预防绝大多数的威胁,差一些的杀毒软件用户中毒的机率要大一些。


那么我们应该如何确保数据的安全呢?其实这个问题也说了好多遍,但重要的事情说多少次都不为过:

备份!备份!备份。


这也是国际刑警组织对反勒索病毒的第一条建议。

打补丁、安装杀毒软件都是预防病毒和数据风险的重要防线,但不管你前面用了多少措施,一定牢记:

数据备份是数据安全的最后一道防线


备份时要遵循备份的3-2-1原则,详见下图。

借用世界备份日(每年的3月31日,愚人节前一天)的口号:

Don’t Be An April Fool.Backup Your Data

(备份吧,不要做愚人节的傻瓜)

感谢关注:大兵说安全。一起聊聊安全那些事。

本文源自微信公众号:大兵说安全

CDP 之我见!

针对 CDP 技术的兴起,RPO=0.RTO=0 的宣传资料满天飞,几乎所有的 用户都会欣然接受,这让我想到了一个故事,鲁迅写的血馒头,说人血馒头可 以治疗肺痨,竟然还真有人信?其实这不能怪他,因为他确实真的很需要,在 没有选择的情况下,死马当活吗医还是有一定

人已赞赏
安全工具

有的双活,真的就确保安全了吗?

2019-10-14 17:34:00

安全工具

关于勒索病毒,你需要知道的几个问题!

2019-10-14 17:34:06

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索