知道創(chuàng)宇404實(shí)驗(yàn)室宣布破解lucky勒索病毒解密原理

勒索病毒,今年無疑將再次登上年度網(wǎng)絡(luò)安全熱詞Top10榜單,細(xì)數(shù)近兩年來勒索病毒的罪狀,堪稱罄竹難書。就連國(guó)內(nèi)頂級(jí)互聯(lián)網(wǎng)公司,提起花樣繁多的勒索病毒來也十分頭疼。12月初,“微信勒索病毒”、“支付寶勒索病毒”甫一開始傳播,就嚇得微信和支付寶立馬跑出來發(fā)聲明撇清關(guān)系。在年末各國(guó)發(fā)布的網(wǎng)絡(luò)安全白皮書中也都提到,2019年勒索病毒仍然是重災(zāi)區(qū)。面對(duì)如蝗蟲一般不斷來襲的勒索病毒,難道真的只能退避三舍?

從“WannaCry勒索病毒”到“微信勒索病毒”,勒索病毒為何一發(fā)不可收拾?

細(xì)究勒索病毒歷史,最早的勒索病毒出現(xiàn)在1989年,名為“AIDS Trojan”意為艾滋病特洛伊木馬,象征一旦感染了這個(gè)木馬病毒,就如同艾滋病一般幾乎無法治愈。艾滋病特洛伊木馬采用加密文件或是進(jìn)一步威脅公開用戶隱私等方式,惡意利用代碼干擾計(jì)算機(jī)正常使用,而繳納贖金是唯一擺脫它的方式。綁架勒索,賺取贖金向來是社會(huì)惡勢(shì)力分子常用手段,而在互聯(lián)網(wǎng)世界中,勒索病毒更是無往不利。但是歸根結(jié)底,勒索病毒只能點(diǎn)對(duì)點(diǎn)的攻擊單個(gè)目標(biāo)計(jì)算機(jī),并未造成大范圍影響。

但勒索病毒真正肆虐則是在2017年,一個(gè)名為“The Shadow Brokers”的黑客組織入侵了美國(guó)NSA下屬的方程式黑客組織后,公開了方程式組織的大量攻擊工具的開源文件,其中就包含了一個(gè)超級(jí)大殺器——號(hào)稱可以遠(yuǎn)程攻破全球約70%Windows機(jī)器的漏洞利用工具永恒之藍(lán)(Eternal Blue)。永恒之藍(lán)是疑似美國(guó)NSA針對(duì)CVE-2017-(0143~0148)數(shù)個(gè)漏洞開發(fā)的漏洞利用工具,可以通過利用Windows SMB協(xié)議的漏洞來遠(yuǎn)程執(zhí)行代碼,并提升自身至系統(tǒng)權(quán)限。

勒索病毒加密原理

在永恒之藍(lán)的輔助下,只要一個(gè)人不小心打開了包含勒索病毒的文件或是網(wǎng)站,勒索病毒就會(huì)迅速感染他的電腦,進(jìn)而通過永恒之藍(lán)入侵并感染與之有關(guān)的所有電腦,WannaCry病毒就此大規(guī)模爆發(fā)了。據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,在短短數(shù)天內(nèi),100多個(gè)國(guó)家和地區(qū)超過10萬臺(tái)電腦遭到了勒索病毒攻擊、感染,W至少150個(gè)國(guó)家、30萬名用戶中招,造成損失達(dá)80億美元,造成的社會(huì)影響巨大。

除了做好防范措施外,勒索病毒幾乎無解

在勒索病毒大規(guī)模爆發(fā)之后,除了建議用戶備份數(shù)據(jù)及時(shí)打補(bǔ)丁、關(guān)閉能夠感染病毒的端口,以及幫助用戶修復(fù)永恒之藍(lán)系統(tǒng)漏洞外,全球眾多的安全廠商至今還未能拿出能夠行之有效的破解該勒索軟件的方案。用戶主機(jī)一旦被勒索軟件滲透,只能通過重裝操作系統(tǒng)的方式來解除勒索行為,但用戶重要數(shù)據(jù)文件幾乎毫無恢復(fù)的可能。

此后,包括Genasom、Foreign、NotPetya、Doublelocker在內(nèi)的種類繁多的勒索軟件競(jìng)相花式登臺(tái),將用戶的電腦按在地面上反復(fù)摩擦。但同樣的一點(diǎn)是,安全業(yè)內(nèi)對(duì)這些勒索軟件除了幫助用戶修復(fù)可能存在的安全漏洞以外,對(duì)勒索病毒本身仍然無計(jì)可施。

Petya勒索病毒勒索界面

難道勒索病毒就真的所向披靡通殺四方?知道創(chuàng)宇404實(shí)驗(yàn)室:我看未必!

咋勒索病毒四處攻城略地時(shí),國(guó)內(nèi)外眾多安全廠商和安全團(tuán)隊(duì)也都著手對(duì)勒索病毒展開了研究。可以說誰能夠率先破解勒索病毒,誰就能夠贏得用戶的熱情擁躉,獲得極高的聲望。而曾經(jīng)多次為微軟、蘋果、Adobe、BAT等知名廠商提交漏洞的知道創(chuàng)宇404實(shí)驗(yàn)室也在對(duì)勒索病毒保持著密切的關(guān)注。

2018年下半年,一個(gè)名為撒旦“Satan”的勒索病毒異?；钴S,曾多次更新并衍生出變種勒索病毒,對(duì)國(guó)內(nèi)部分服務(wù)器進(jìn)行攻擊。12月1日,一種名為lucky的勒索病毒大肆傳播,該病毒會(huì)將指定文件加密并修改后綴名為 .lucky。

Lucky勒索病毒勒索界面

知道創(chuàng)宇 404 實(shí)驗(yàn)室的煉妖壺蜜罐系統(tǒng)最早于2018年11月10日就捕捉到該勒索病毒的相關(guān)流量,截止到 2018年12月04日,該病毒的 CNC 服務(wù)器依然存活。根據(jù)分析的結(jié)果得知,lucky 勒索病毒幾乎就是 Satan 勒索病毒,整體結(jié)構(gòu)并沒有太大改變,包括 CNC 服務(wù)器也沒有更改。Satan 病毒一度變遷:最開始的勒索獲利的方式變?yōu)橥诘V獲利的方式,而新版本的 lucky 勒索病毒結(jié)合了勒索和挖礦。

lucky 勒索病毒的整體結(jié)構(gòu)圖

在了解該勒索病毒的相關(guān)細(xì)節(jié)后,知道創(chuàng)宇 404 實(shí)驗(yàn)室迅速跟進(jìn)并分析了該勒索病毒。在分析該病毒的加密模塊時(shí),知道創(chuàng)宇404實(shí)驗(yàn)室意外發(fā)現(xiàn)可以利用偽隨機(jī)數(shù)的特性還原加密密鑰,順藤摸瓜找到了該病毒的漏洞,經(jīng)過多次驗(yàn)證,確認(rèn)了該漏洞能夠幫助用戶直接獲取密鑰。而后,知道創(chuàng)宇 404 實(shí)驗(yàn)室對(duì) lucky 勒索病毒進(jìn)行了概要分析,并著重解析了加密流程以及還原密鑰的過程。

目前知道創(chuàng)宇404實(shí)驗(yàn)室已經(jīng)將解密方法轉(zhuǎn)換為了解密工具,并已發(fā)送給其他廠商幫助用戶直接破解lucky的勒索病毒。不幸感染lucky勒索病毒的用戶可以通過各廠商發(fā)布的解密工具自行破解,如有需要也可聯(lián)系知道創(chuàng)宇404實(shí)驗(yàn)室尋求協(xié)助。知道創(chuàng)宇404實(shí)驗(yàn)室提醒,勒索病毒依然在肆掠,用戶應(yīng)該對(duì)此保持警惕,雖然 lucky 勒索病毒在加密環(huán)節(jié)出現(xiàn)了漏洞,但仍然應(yīng)該避免這種情況;針對(duì) lucky 勒索病毒利用多個(gè)應(yīng)用程序的漏洞進(jìn)行傳播的特性,各運(yùn)維人員應(yīng)該及時(shí)對(duì)應(yīng)用程序打上補(bǔ)丁并及時(shí)備份。

? ? ? 知道創(chuàng)宇404實(shí)驗(yàn)室副總監(jiān)隋剛表示,雖然勒索病毒都會(huì)采用加密文件的方式達(dá)到勒索的目的,但是由于各個(gè)勒索病毒的加密算法并不一樣,其他的勒索病毒加密方式還有待破解。不過,此次能夠破解lucky勒索病毒是一個(gè)具有開創(chuàng)性的開端,接下來可以更好的總結(jié)思路,舉一反三研究其他勒索軟件的加密方式,解決“勒索病毒無解”這個(gè)難題。對(duì)普通用戶如何應(yīng)對(duì)勒索病毒的問題,隋剛表示,勒索病毒是一個(gè)完整的程序,會(huì)隨機(jī)產(chǎn)生加密密鑰,密鑰可能還保存在內(nèi)存當(dāng)中。這時(shí)盡量不要慌張而嘗試重啟電腦,重啟電腦會(huì)清空可能存在于內(nèi)存中的加密密鑰,對(duì)進(jìn)一步的分析獲取勒索病毒密鑰造成困難。