勒索木马也有山寨货?细数那些演砸了的黑客魔术

    

  最近,勒索木马经常占据头条,因为黑客们经常玩出奇异的姿势。例如:

  • 用木马锁住了美国东西海岸的数家大医院的系统,让数万病人的资料和数千万美元的医疗设施处于“封印状态”。
  • 搞瘫了教堂的电脑系统,让虔诚的信众无法愉快地礼拜。逼七十多岁的老牧师学着用地下网络给敲诈者汇款。
  • 供水供电局的员工不小心打开了一个勒索木马,导致其紧急关停了部分网络服务。

作为一个没有道德下限的行当,网络勒索不断集成各种卑劣的技巧。

例如伪装成求职者给公司人力部门发邮件,或者伪装成一个有用的小工具欺骗用户下载。一旦被安装,往往会锁定你的重要文件,然后弹出一个吓人的勒索界面索要赎金,并且配有半个屏幕大小的倒计时时钟。一旦你没有在规定时间内付款,就会把赎金翻倍。例如TeslaCrypt、Locky或者随后出现的变种木马 CTBLocker 和 Filecoder.DG

科技的进步,让勒索的门槛创了新低。看到“老司机”风卷残云般地“挣钱”,很多新手黑客也跃跃欲试,“自主研发”勒索木马。然而,勒索木马需要很强的加密技巧,新手打造的“良莠不齐”的木马经常在安全人员的面前土崩瓦解,让这些人颜面扫地。

最近,著名安全公司 ESET 分享了三个“渣版”勒索木马。理论上来说,如果你被这种木马锁定之后,请不要惊慌,你不用付一分钱就可以拿回心爱的文件,一袋烟的功夫就可以恢复往日的生活。

下面有请三位登场。

偷懒的木马——Petya

【Petya】

Petya,最初被安全公司趋势科技发现。它的标志就是“死亡红屏”。在成功渗透进入 Windows 系统之后,木马会强迫用户重启电脑。而重启之后,电脑就再也进入不了 Windows 了,而是会自动加载一个勒索页面,向受害者索要 0.99 比特币的赎金。

然而,这个时候如果急于支付赎金,就太冤了。

经过分析,安全人员发现了这个木马是由“偷懒的黑客”设计的。它虽然看起来凶恶得无以复加,但实际上只修改了系统的引导记录以及加密了主文件表(主文件表是一个描述所有文件体积、位置和目录结构的东东)。而真正的文件还原封不动地躺在磁盘里。

不得不说,这种提纲挈领,打蛇打七寸的方法还是很有想象力的。客观来说,如果主文件表损坏,想要恢复起来确实要花很大的力气。然而,偷懒的黑客在这里犯了一个致命的错误,留下了一个硕大无朋的逻辑漏洞。这使得安全研究员可以轻松地看到他的加密方法,从而开发出一个简单的解锁工具。由于只需要恢复主文件表,所以这个解锁工具非常轻量级,目前已经能够在网上下载到免费的版本。

这个故事告诉我们,偷懒是天才的专利。一般人还是信奉勤能补拙就好。

过于注重形式的电锯惊魂——Jigsaw

【Jigsaw】

Jigsaw,翻译成中文就是电锯惊魂。制造他的黑客应该是个电锯迷。不得不说,Jigsaw的用户体验非常完美:

中招之后屏幕上会出现一个经典的面具——电锯惊魂。在左上角辅以骇客帝国版本的文字:“I want to play a game...”

这个游戏的玩法是:

用户必须在一个小时之内支付赎金,否则就会自动删除一个用户的文件。以此类推,每过一个小时,木马都会“撕票”一个文件。只是这样还不够刺激,如果你试图逃离游戏——例如重启电脑神马的——黑客会立刻删掉1000个文件以示惩戒。

怎么样?这种兼顾趣味性和勒索功能的木马还真是少见呢。然而,也许是过于注重 UI 的设计,黑客并没有在加密算法方面发力。具体表现在:木马对于它的所有受害者都采用了同意的静态密钥。简单来说,就是用一把钥匙就可以打开所有的锁。

这大概相当于一个非常刺激的密室逃脱,设计了无数精巧的机关。然而最有效的逃脱方式还是——踹门。

雷锋网(公众号:雷锋网)建议这个木马的作者去做游戏开发,也许还能赚得多一点。

东施效颦的山寨货——Autolocky

之前提到,Locky 在勒索界是泰斗级的木马。于是有黑客相信:向经典致敬的最佳方法就是抄袭。Autolocky 就是山寨版的 Locky,它对于 Locky 的模仿可谓达到了登峰造极的地步:

  • 从名字上来看,Autolocky 似乎是 Locky 的“加强版”;
  • Autolocky 在目标文件的选择上和 Locky 完全相同;
  • 连锁定之后的扩展名都采用了和原版一模一样的“.locky”,看起来就是这么专业。

但是,山寨之所以被称为山寨,就是没有掌握“核心科技”,所以他们的宿命往往是:在现实面前遭遇可耻的失败。

Autolocky 费劲心机地生成了一个密钥,却迫于渣到爆的编码水平,把密钥用 IE 明文回传到黑客的服务器上。而黑客可能忘记了,IE 对于数据传输是有历史记录的。

所以安全研究员只要翻翻历史记录,就可以轻易地找到这个密钥。不用麻烦黑客就得到了解锁密码。得知这个“秘密”之后,制作解锁工具甚至不需要五分钟。

勒索木马就像是一个个黑客魔术。然而并不是每个魔术师都是刘谦,对于要面子的黑客来说,勒索这种拼脑力的“技术活”如果演砸了,还是很丢人的。

不可否认,如果没有安全人员为你拔下底裤,这些木马还是有很大杀伤力的。然而每一个魔术被揭穿之后,就是这么无聊和不堪。中了这些可爱的黑客研究的良莠不齐的黑客,也算是不幸之中的万幸吧。

 

  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

时间: 2024-09-09 10:56:36

勒索木马也有山寨货?细数那些演砸了的黑客魔术的相关文章

专家细数网络欺诈“五宗罪”

2010年,我国网上商品零售总额由上一年的2500亿元猛增到超过4000亿元.然而,网络消费领域的欺诈乃至犯罪行为也逐年递增,盗号木马.钓鱼网站.网络游戏诈骗等陷阱不断增加,受骗者日益增多.如何避免落入网络陷阱?记者日前采访了相关部门及权威人士,听他们细数网络欺诈"五宗罪". 购物资金遭打劫 [案例]湖北的顾先生近日在网上购买一款打折的名牌皮包, 卖家通过聊天工具发来一个压缩文件,要求确认款型.顾先生打开压缩文件时看到系统提示"该文件损坏",重新回到购物网站上进行付

中了敲诈者病毒,文件恢复有可能吗?你长着一张被勒索木马敲诈的脸?| 硬创公开课

       熟悉雷锋网的读者可能知道,一个月前,我雷好几个读者爆料: 本来一路心情愉快地去上班,开机却遭遇突发异常状况--昨天下班前电脑还好好的,今天突然开机之后电脑突然很卡,我并没有在意.结果等了一会,突然浏览器自动打开,弹出了一个勒索界面,告诉我所有的文件都已经被加密了,只有点击链接用比特币交付赎金之后才能拿到解密的密钥. 有几个读者反应是这样的: A:赎金要一万多,如果老板逼我,我就准备辞职了(你辞一个试试). B:还是有很多重要资料的,缴纳赎金吧,就当几个月工资喂了狗(无辜的狗狗到底做

2016年的十大勒索木马

本文讲的是2016年的十大勒索木马 一. HadesLocker 近日哈勃分析系统捕获到一类由C#语言编写的新的敲诈勒索木马.之前出现 的C#语言编写的木马只是简单地调用了一些C#库来辅助开发.与之相比这次的变种增加了多层嵌套解密.动态反射调用 等复杂手段外加多种混淆技术提升了分析难度. HadesLocker是10月份新爆发的一个敲诈勒索类木马会加密用户 特定后缀名的文件包括本地驱动器和网络驱动器 加密后文件后缀为.~HL外加5个 随机字符然后生成txthtml.png三种形式的文件来通知用户

“山寨货”的品牌逆袭:一个外贸商人的中国梦

昨天,敦煌网CEO王树彤在其博客上发表了题为<"山寨货"的品牌逆袭:一个外贸商人的中国梦>的文章,介绍了外贸商人谭继华的创业故事.外贸商家在大多数人眼中是个神秘的群体,一直给人以"闷声发大财"的印象.王树彤作为中国外贸电商创业者的代表性人物之一,曾多次撰文分享其对外贸电商的理解和分析以及她的一些创业心得,她曾说过:"绝大多数人,绝大多数时候,人都只能靠自己.没什么背景,没遇到什么贵人,也没读什么好学校,这些都不碍事.关键是,你决心要走哪条路,想

太史公司马迁带你细数中国引领风骚网游

盖西伯拘而演<周易>:仲尼厄而作<春秋>:屈原放逐,乃赋<离骚>:左丘失明,厥有<国语>:孙子膑脚,<兵法>修列:不韦迁蜀,世传<吕览>:韩非囚秦,<说难>.<孤愤>--两千年前,司马迁受腐刑,奋而作<太史公书>,"欲以究天人之际,通古今之变,成一家之言"耳. 果然,千年之前的帝王将相.贩夫走卒,在太史公的笔下穿越重重历史迷雾,让我们窥得真貌.今天,就让我们借太史公史家绝唱之豪气

玩具也豪侈:细数全球富二代最豪华的玩具们

对于大部分人来说,要还上为购买这批玩具而带的款,估计要一辈子不吃不喝,都难以偿还!这些伤不起的豪华玩具,正是最近在富豪圈中颇为流行的奢侈品.当你看到它们之后,你会觉得,原来"'拜金女'口中的大房子.宝马车子.银行票子",真还不算什么.因为,它们加起来的总和,可能还不够,购买人家六一节送给孩子的一样玩具!   在这个疯狂的"六一"到来之际,让我们一起来细数一下,当今全球那些最流行的.伤不起的玩具们.       24K纯金木马 市价:128万美元   这匹24K纯金木

比亚运国足还臭:细数网游中那些找骂玩法

亚运会上,东道主中国国奥队对阵韩国队,遭遇惨败引发白云山足球场万人齐呼解散,球迷面对耻辱失利,倾泻着由来已久的不满和愤怒.而网游中,也有比国足还臭的举动,引发了多数玩家的强烈不满,下面就细数一下网游中那些找骂玩法. 一.<地下城与勇士>PK场一律禁用无色 找骂指数:★★★★★ DNF之中,总有"无色流,猥琐鬼垃圾货"的论调.难道PK场不允许使用无色么.DNF之中每个职业拥有每个职业的特征,不能一概而论, 要求所有的职业都去硬碰硬的与你进行格斗.一些具有连招特性的职业,使用这

“泛冰岛”普洱充斥茶叶市场节前须谨防山寨货

云南勐库冰岛古茶树. 业内提醒春节临近消费者须谨防"山寨"货 上周末,喜欢品茶的市民张女士收到了云南友人寄来的一饼普洱茶.她仔细查阅产品说明后发现,里面提到该茶饼的部分原料来自"冰岛"."冰岛普洱是个什么概念,它的价值真的非常高吗?"据行家介绍,此"冰岛"非彼"冰岛",它指的是云南临沧勐库冰岛村(当地人也称"丙岛")出产的极品古树茶."真正的冰岛普洱纯料非常稀少,较难形成量产,

细数iOS上的那些安全防护

细数iOS上的那些安全防护 作者:龙磊.黑雪.蒸米@阿里巴巴移动安全 0x00 序 随着苹果对iOS系统多年的研发,iOS上的安全防护机制也是越来越多,越来越复杂.这对于刚接触iOS安全的研究人员来说非常不友好,往往不知从何入手.因此,为了让大家能够更加系统性的了解iOS上的安全机制,我们从三个方面着眼:代码签名(CodeSign).沙盒机制(SandBox) 和利用缓解(Exploit Mitigation),对iOS的系统安全机制做了一个总结.希望能够给大家的学习以及研究带来一定的帮助.注意