全球专业中文经管百科,由121,994位网友共同编写而成,共计436,034个条目

勒索病毒

用手机看条目

出自 MBA智库百科(https://wiki.mbalib.com/)

目錄

什麼是勒索病毒

  勒索病毒,是一種新型電腦病毒,主要以郵件,程式木馬,網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密演算法對文件進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。

勒索病毒的傳播

  勒索病毒文件一旦進入本地,就會自動運行,同時刪除勒索軟體樣本,以躲避查殺和分析。接下來,勒索病毒利用本地的互聯網訪問許可權連接至黑客的C&C伺服器,進而上傳本機信息並下載加密私鑰與公鑰,利用私鑰和公鑰對文件進行加密。除了病毒開發者本人,其他人是幾乎不可能解密。加密完成後,還會修改壁紙,在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金。且變種類型非常快,對常規的殺毒軟體都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對常規依靠特征檢測的安全產品是一個極大的挑戰[1]

  勒索病毒一般會攻擊任何人,但一部分針對企業用戶(如xtbl,wallet),一部分針對所有用戶。該類型病毒的目標性強,主要以郵件為傳播方式。

  勒索病毒文件一旦被用戶點擊打開,會利用連接至黑客的C&C伺服器,進而上傳本機信息並下載加密公鑰和私鑰。然後,將加密公鑰私鑰寫入到註冊表中,遍歷本地所 有磁碟中的Office 文檔、圖片等文件,對這些文件進行格式篡改和加密;加密完成後,還會在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金。該類型病毒可以導致重要文件無法讀取,關鍵數據被損壞,給用戶的正常工作帶來了極為嚴重的影響。

勒索病毒的分析

  一般勒索病毒,運行流程複雜,且針對關鍵數據以加密函數的方式進行隱藏。以下為APT沙箱分析到樣本載體的關鍵行為

  1、調用加密演算法庫;

  2、通過腳本文件進行Http請求;

  3、通過腳本文件下載文件;

  4、讀取遠程服務器文件;

  5、通過wscript執行文件;

  6、收集電腦信息;

  7、歷文件。

  樣本運行流程

  該樣本主要特點是通過自身的解密函數解密回連伺服器地址,通過HTTP GET 請求訪問加密數據,保存加密數據到TEMP目錄,然後通過解密函數解密出數據保存為DLL,然後再運行DLL (即勒索者主體)。該DLL樣本才是導致對數據加密的關鍵主體,且該主體通過調用系統文件生成秘鑰,進而實現對指定類型的文件進行加密,即無需聯網下載秘鑰即可實現對文件加密。

  同時,在沙箱分析過程中發現了該樣本大量的反調試行為,用於對抗調試器的分析,增加了調試和分析的難度。

勒索病毒的應對方案[2]

  根據勒索病毒的特點可以判斷,其變種通常可以隱藏特征,但卻無法隱藏其關鍵行為,經過總結勒索病毒在運行的過程中的行為主要包含以下幾個方面:

  1、通過腳本文件進行Http請求;

  2、通過腳本文件下載文件;

  3、讀取遠程伺服器文件;

  4、收集電腦信息;

  5、遍歷文件;

  6、調用加密演算法庫。

  量防止用戶感染該類病毒,我們可以從安全技術和安全管理兩方面入手:

  1、不要打開陌生人或來歷不明的郵件,防止通過郵件附件的攻擊;

  2、儘量不要點擊office巨集運行提示,避免來自office組件的病毒感染;

  3、需要的軟體從正規(官網)途徑下載,不要雙擊打開.js、.vbs等尾碼名文件;

  4、升級深信服NGAF到最新的防病毒等安全特征庫;

  5、升級防病毒軟體到最新的防病毒庫,阻止已存在的病毒樣本攻擊;

  6、定期異地備份電腦中重要的數據和文件,萬一中病毒可以進行恢復。

相關條目

參考文獻

本條目對我有幫助2
MBA智库APP

扫一扫,下载MBA智库APP

分享到:
  如果您認為本條目還有待完善,需要補充新內容或修改錯誤內容,請編輯條目投訴舉報

本条目由以下用户参与贡献

LuyinT,上任鹅陈.

評論(共0條)

提示:評論內容為網友針對條目"勒索病毒"展開的討論,與本站觀點立場無關。

發表評論請文明上網,理性發言並遵守有關規定。

打开APP

以上内容根据网友推荐自动排序生成

官方社群
下载APP

闽公网安备 35020302032707号