5.12病毒背后的故事
昨天的文件加密病毒(此处暂不说其宣称的名字),受害者主要是高校和政府部门。已知的情况表明,在校园网范围内,出现该问题的大多数是连接校园网的WIN7系统,没有看到WIN10系统受感染的案例。
——病毒表现——
病毒的外在行为如下:
1. 将所有扩展名在给定扩展名列表中的文件全部加密。扩展名涵盖文档、媒体文件、源码、可执行文件加密方式为现阶段事实上不可能**的非对称加密方式。
2. 在每个文件夹下给出一个帮助文件(英文)和一个“解密程序”,以及一些辅助工具。
3. 在一个窗口显示“你的文件已被加密”,给出多语言的帮助文字,且要求通过比特币支付至指定地址,所见的案例均为价值为300美元的比特币。
4. 将背景设为一张黑底红字图片,内容为帮助文件的前几段。
5. (可选)如果在3天之内未支付,金额翻倍;7天之内未支付,可就撕票了。在窗口中显示倒计时。
——病毒分析——
图1 主函数。如果某个指定域名存在,则直接退出;否则执行Real_main
从主函数的形式可以看出,该病毒只针对Windows系统,其他系统对其免疫。
图2 病毒主函数,分为初始化和查找网络两部分。可以看出其宣称的名称为“Eternal Blue”
初始化包括释放DLL、执行后台程序等操作。
有人也许会问为什么可以自动下载DLL,据查明是利用系统的DoublePulsar漏洞,如果该漏洞不存在或已修复,则利用SMB漏洞进行攻击。SMB是一种远程通信协议,经过精心编写的数据会触发SMB漏洞。
**是随机生成的,本地统一管理。
加密采用RSA+AES的方式进行。对每个文件随机生成一个AES key,用给定的RSA公钥1(不同用户的公钥1不同)加密得文件1,用给定的RSA全局公钥2加密私钥1(公钥1和私钥1为一对)得文件2,私钥2由作者持有。解密需要联系作者并上传文件2,而作者未公开姓名,只公开了比特币的入口地址,以及一个"Contact us"链接。
图3 FileName[268]是什么意思,需要结合具体环境看
图4 可以看出程序尝试连接目的主机的445端口,如果10分钟无法连接则关闭
图5 随机生成IP
图6 如果可以连接,就执行代号为MS17-010的攻击,否则寻找新的目标
不过,最有意思的还是第1步主函数入口。它假定某个域名是不存在的,然后展开攻击。这或许是病毒制作者不想看到全世界就这样受破坏而留下的一条线索,这个域名被注册了,病毒的使命也就完成了。
因此,要防止病毒的传播,这个域名的存在性至关重要。经**得这个域名为www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,看上去像是乱打的。
随后的过程就简单了。有人抢注了这个域名,该病毒不再在世界范围内继续波及。
颇令人感慨的是,www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com中只有一句文本:
sinkhole.tech - where the bots party hard and the researchers harder.
意思是,病毒制作者很不容易,而研究者更不容易。
——防御措施——
但是,如果我们不采取措施防御,黑客换个域名,或许同样的事故会再次发生。
最不需要我们手动操作的防御措施就是开启自动更新。因为软硬件迁移成本等原因,许多企事业单位不愿对其内的计算机进行系统级更新,这就为攻击者提供了可乘之机。可认为这样的计算机一旦连接Internet就是不安全的。不过个人的电脑迁移成本较小,有能力频繁进行系统级更新。
我们可以手动关闭445端口,方法是在Windows防火墙中配置入站规则,将445端口阻止连接。
http://www.tuicool.com/articles/3uIVbuy
http://bobao.360.cn/learning/detail/3853.html
——病毒表现——
病毒的外在行为如下:
1. 将所有扩展名在给定扩展名列表中的文件全部加密。扩展名涵盖文档、媒体文件、源码、可执行文件加密方式为现阶段事实上不可能**的非对称加密方式。
2. 在每个文件夹下给出一个帮助文件(英文)和一个“解密程序”,以及一些辅助工具。
3. 在一个窗口显示“你的文件已被加密”,给出多语言的帮助文字,且要求通过比特币支付至指定地址,所见的案例均为价值为300美元的比特币。
4. 将背景设为一张黑底红字图片,内容为帮助文件的前几段。
5. (可选)如果在3天之内未支付,金额翻倍;7天之内未支付,可就撕票了。在窗口中显示倒计时。
——病毒分析——
图1 主函数。如果某个指定域名存在,则直接退出;否则执行Real_main
从主函数的形式可以看出,该病毒只针对Windows系统,其他系统对其免疫。
图2 病毒主函数,分为初始化和查找网络两部分。可以看出其宣称的名称为“Eternal Blue”
初始化包括释放DLL、执行后台程序等操作。
有人也许会问为什么可以自动下载DLL,据查明是利用系统的DoublePulsar漏洞,如果该漏洞不存在或已修复,则利用SMB漏洞进行攻击。SMB是一种远程通信协议,经过精心编写的数据会触发SMB漏洞。
**是随机生成的,本地统一管理。
加密采用RSA+AES的方式进行。对每个文件随机生成一个AES key,用给定的RSA公钥1(不同用户的公钥1不同)加密得文件1,用给定的RSA全局公钥2加密私钥1(公钥1和私钥1为一对)得文件2,私钥2由作者持有。解密需要联系作者并上传文件2,而作者未公开姓名,只公开了比特币的入口地址,以及一个"Contact us"链接。
图3 FileName[268]是什么意思,需要结合具体环境看
图4 可以看出程序尝试连接目的主机的445端口,如果10分钟无法连接则关闭
图5 随机生成IP
图6 如果可以连接,就执行代号为MS17-010的攻击,否则寻找新的目标
不过,最有意思的还是第1步主函数入口。它假定某个域名是不存在的,然后展开攻击。这或许是病毒制作者不想看到全世界就这样受破坏而留下的一条线索,这个域名被注册了,病毒的使命也就完成了。
因此,要防止病毒的传播,这个域名的存在性至关重要。经**得这个域名为www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,看上去像是乱打的。
随后的过程就简单了。有人抢注了这个域名,该病毒不再在世界范围内继续波及。
颇令人感慨的是,www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com中只有一句文本:
sinkhole.tech - where the bots party hard and the researchers harder.
意思是,病毒制作者很不容易,而研究者更不容易。
——防御措施——
但是,如果我们不采取措施防御,黑客换个域名,或许同样的事故会再次发生。
最不需要我们手动操作的防御措施就是开启自动更新。因为软硬件迁移成本等原因,许多企事业单位不愿对其内的计算机进行系统级更新,这就为攻击者提供了可乘之机。可认为这样的计算机一旦连接Internet就是不安全的。不过个人的电脑迁移成本较小,有能力频繁进行系统级更新。
我们可以手动关闭445端口,方法是在Windows防火墙中配置入站规则,将445端口阻止连接。
这个病毒的手法并不新鲜,所涉及的漏洞在之前均有案例。如果Windows的机器都能主动更新(前提是能够更新)补丁,这样的漏洞利用的案例完全可以避免。然而,升级系统这件事本身就是有门槛、有风险的。我们习惯了受一些_J_S_的摆布(win10给装成win7,就像当年的win7装成xp)或者固守现有的体系,但未来呢?
http://www.tuicool.com/articles/3uIVbuy
http://bobao.360.cn/learning/detail/3853.html