恶意软件实验室:警告!勒索软件来袭!

2015-01-29 03:38:29 +08:00
 tnx2014
http://www.mwsl.org.cn/warnning-ransomware/
4010 次点击
所在节点    分享发现
39 条回复
geeklian
2015-01-29 07:37:07 +08:00
@tnx2014 下载更不需要了...
sincway
2015-01-29 07:40:43 +08:00
@geeklian 原文说的是电脑内所有文件... 可能表述问题吧。用户文件确实不用,我通常将不需更改的归档文件都去掉普通用户的修改权限了
tnx2014
2015-01-29 07:42:43 +08:00
@geeklian 我想到用IE下载去了,当我没说。还是有可能触发的,我觉得还是不要一概而论。
tnx2014
2015-01-29 07:48:52 +08:00
@sincway 其实绕过UAC对“大神”而言不是很困难的事情,很多漏洞应该都行。我看中的是这个病毒反常规,中一般的病毒,文档还有一定几率能恢复,这种病毒真加密了,一般人就只有删除的一种选择了。
ffffwh
2015-01-29 07:54:38 +08:00
1. 杀毒软件还是要的,可以平时不开实时保护,但可疑文件一定要手动扫描一遍。话说Mac下建议用啥?
2. Windows UAC必开。
2. 备份看来应该放在一个需要root权限的地方。刚刚试了下Time Machine,需要root权限才能改动备份。
geeklian
2015-01-29 08:43:41 +08:00
@tnx2014
@sincway
@NeoAtlantis
你们都从技术角度想太多,太多,太多了。

这个病毒其实早就有,大概三年前,反正令我对反病毒的认识有了些改观。

和楼主看到的这个有些不一样:我看到的是一个用autoit这种大家看不上的脚本语言,一小时就能写出来的简单脚本,甚至壳都没加。但逻辑完全一致,针对的就是用户目录下的office文档,用的autoit自带的aes加密,加密密码通过境外服务器获得。

反倒是因为没用任何什么的高级技术,用的全部都是autoit这个脚本语言自带的常见语法,该病毒至少一年半时间没被杀软杀。

我们面对的攻击者准备想的很周全,他伪装了发件人地址,全部是我们的东欧客户,而收件人全部是单位环球交易服务部的员工和领导,邮件内容是一些交易信息的核对请求。交易方式也是btc,大概要求数万人民币。

好在单位有严格的域环境,内外网隔离,同时同事有几个还算警觉,只有一个漫游在家的人中招。在报案并排除自己人犯案后,基本确定是几个东欧客户的信息被盗所致,因为同业也有相关报案。

反正这事记忆深刻,因为我了解到:
1. 对于黑客,最最最重要的是前期对目标的选择和目标资料的准备,而不是高深的混淆技术什么的。不过这方面防范技术上没有什么主动应对手段,只能通过内控管理加强。

2.同时杀软对于特别简单的脚本,基本没有判断能力,我们用的趋势,完全只是针对脚本获取主程序的url进行了特征码。因为脚本其他部分完全是正常大型企业windows运维所需的一个小小子集。
为此我们通过域策略对exe程序实施基于证书的白名单制度,vbs,批处理等等完全禁止执行。运维脚本则全部打包exe打上数字证书。要求员工尽可能把文档都扔进Sharepoint。
bobopu
2015-01-29 08:45:35 +08:00
平时把重要文件给网盘备份一份还是很重要的,这要真是中招了欲哭无泪。。
Oi0Ydz26h9NkGCIz
2015-01-29 09:40:49 +08:00
@sincway
@bobopu Dropbox没法用,只能用快盘将就备份了,唉
@ffffwh mac下也有杀毒软件啊。
要1万块,这真是……
googlefans
2015-01-29 09:44:07 +08:00
@ffffwh 不开实时保护 安装杀毒干嘛
davidyin
2015-01-29 10:02:55 +08:00
有杀毒软件也未必能防到这个。
半年前,我遇到一台电脑是被这样劫持了,文本文件,office文件,照片,视频等等都被加密了。
好在全部有云备份,都放在Dropbox了。
最后是系统恢复出厂设置,等于重装系统。
ipv66
2015-01-29 10:13:52 +08:00
CTB-Locker敲诈者病毒企业网管解决方案出炉,详见: http://www.cgzz.net/administrator/ctb-locker-fang-an/
NeoAtlantis
2015-01-29 11:35:53 +08:00
@geeklian 你的经历只能证明:1 这病毒的思路很老 2 你们的技术看起来是有效的。
但是不能证明,类似的勒索技术没有进步。我确信我看到过用公钥的报道。

另外你们有没有注意,楼主这链接里面的传真的语言是的德语。传真上还有个收件地址是Cottbus(丫的离我这里不远,刚出萨克森就到了),虽然觉得作者未必那么笨把自己身边的东西放进病毒……但是我有点觉得这病毒是德国产(仔细看里面的英语,有点问题,未必是英语使用者)。
bitwing
2015-01-29 11:40:32 +08:00
signal
2015-01-29 11:57:12 +08:00
做坏人要动的脑筋真多
Draplater
2015-01-29 13:52:08 +08:00
@tnx2014 密码学家说,一次一密是牢不可破的
Draplater
2015-01-29 13:52:08 +08:00
@tnx2014 密码学家说,一次一密是牢不可破的
tnx2014
2015-01-29 21:45:49 +08:00
@geeklian 思路肯定早就有的,不过正如 @NeoAtlantis 说的那样,勒索者肯定也在进步。

@Draplater 你说的这个是样本容量的问题,对于加密算法,样本越少越难找到破绽,属于统计学问题,和我上面那句不矛盾,任何加密被破解,只是时间问题,解密者付出大于收获,加密就是相对安全的。
tnx2014
2015-01-29 21:55:58 +08:00
@ffffwh 据我所知,很多杀软都有Mac版本,因为我主要用windows,Mac不熟悉,无法给你推荐。但Mac本身恶意威胁相对于win少很多,主要就是多系统的用户要注意别把某些在Mac OS或Linux下不起作用的病毒带入Windows
NeoAtlantis
2015-01-30 03:25:59 +08:00
@Draplater @thx2014 一次一密没啥实用价值,理论价值更大。有助于理解用伪随机数发生器构建加密算法而已。
benjiam
2015-01-30 08:17:43 +08:00
简单的说这事无解。最多可以防止到时候删除文件。但是怎么恢复呢?跑出密码就不要想了。我是设计者 病毒本身带个RSA公钥 然后在你那里随机算个密钥,然后RSA传回来。你能怎么办。本地应该有那个随机密钥文件的加密备份。因为病毒要防止 加密到一半 重启了或者自己被杀了这种情况。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/166365

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX