预防胜于治疗,勒索软件感染实例解析
ASRC 研究中心主任 高铭钟

ASRC与Softnext守内安曾发布过一种名为“Cryptowall”勒索软件的新闻稿,感染此病毒的除非线上支付赎金,否则你的文件都将被毁于一旦。其已以当仁不让之姿,由欧洲扩散至亚洲,稳居2015年勒索软件榜首。


由Google Trend搜寻Cryptowall关键词,可以看见主要流行的地方,
大致为欧美地区;其新闻关键词的热门度也有越来越高的趋势。

为了让各位看管更清楚勒索软件病菌的传播、感染方式,并能作进一步的预防,ASRC研究中心借由另一个勒索软件——TeslaCrypt作为勒索软件扩散感染流程的案例,以便剖析其本。

传播

如今的勒索软件,与禽流感的传播如出一辙,无特定目标的扩散、繁殖、感染、破坏,只不过勒索软件在“破坏”这个步骤上,留下了一丝被治愈的希望,将完全抹除文档数据,改成了让你可以通过花钱就“有机会”赎回遭到加密的文件。

TeslaCrypt大约在2015年2月开始出现,初期的下手对象主要是在线游戏,但在我们多次分析样本中,其加密文件的范围已扩大了许多。

接下来我们来看看,这个H7N9是如何携带病毒的?简单来说,就是壳中壳的病毒! 而其攻击的发起,是通过恶意邮件为载体发动的。

广泛寄出账款过期未缴的恶意邮件,并在其中携带了一个由zip压缩的.js文档,这个.js文档就是骗过人眼的壳子,试图诱骗受害人执行。


传说中的攻击邮件样本

而壳中呢,有一个恶意.js文档,本身并没有恶意行为,它是一段 Javascript下载描述语法(Downloader),不是常见的PE执行文件,因此很可能躲过部分防病毒软件的侦测,及受害人的戒心。并且,这个Javascript经过混淆处理,直接查看原始语法也很难看出这个Javascript的意图,及其所要下载的文档。


经混淆处理的Javascript恶意代码

感染

当这个壳中壳的Javascript被点击后,会呼叫Windows Script Host执行恶意文档下载,并自动执行下载回来的恶意软件。


解除混淆后可以清楚的看见下载点,及将被下载的恶意软件

当这个恶意软件被执行时,首先它会先使用vssadmin磁盘区阴影复制服务系统管理工具,删除磁盘区阴影复制,让之后的文档加密,无法使用shadow explorer或系统还原的手法救回。而这个动作在Windows 7的环境下,其实操作系统会进行警告,若谨慎留心,则或许有机会终止后续的加密流程。


勒索软件删除磁盘区阴影复制

恶意软件会在很短的时间内, 就将计算机中的文件及重要文档都进行加密! 并且在加密后的文件夹里都留下一份解密的说明文件,也就是俗称的“勒索信”,遭到加密的文件,其扩展名后都会被加上.vvv的结尾,文件内容自然是已经完全看不见的了。


文件及重要文档都被加密,并且在加密后的文档文件夹都留下一份解密的说明文件


文件内容已经完全不可见

既然是留下的勒索信,目标意图自然要明确的让被害人知道。所以,留下的说明文件都是.bmp、.html、.txt三种格式的文本,以便让受害人读取,并能支付解密赎款,以英文撰写的付款流程,并会提醒若不懂内容,可以用Google翻译工具。


html与txt格式的付款解说

预防

要预防此类信息安全风险,必然是预防重于治疗。

以下几点维C,是必须的!
1. 重要数据资料定时做好备份。
2. 尽可能不要共享网络文件,尤其在不需要密码,开放性验证的网络中。
3. 计算机的基本设置中不要隐藏文件扩展名,并关闭用不到的服务,如:Windows ScriptHost。
4. 使用安全的浏览器上网(如,Google Chrome),并开启网页广告过滤功能,保持浏览器补丁更新。
5. 及时更新操作系统、应用软件的安全性。
6. 使用邮件过滤机制与安全上网管理机制的统合防御。(如,Softnext SPAM SQR +Content SQR)


Softnext_DB_Update.jpg,在这个案例,Softnext的Content SQR在先期即可中断内网联机抓取恶意文档的动作

7. 不要点击不明或可以邮件中的超链接和打开附件。
8. 不要下载/安装/执行来路不明的程序和Apps

目前,还看不到任何迹象表明勒索软件有被终结的一天,这是一门无本生意,且巧妙利用了受害者抱有希望的心理,将犯罪与获利结合,甚至开始出现任何人都可以复制勒索软件的“策略联盟”服务。若遭受勒索软件攻击,且文档已经遭到加密,其还原的可能性极低,即便支付了赎金,也并不保证文档一定可以被救回来。这除了攻击者诚信问题之外,也可能文档同时被多重加密,或解密相关信息也被加密而不得解。因此,做好预防才是上上之策!

回到列表