Ded Cryptor:自带开源root的勒索软件

就在最近,讲英语和俄语国家的用户纷纷遭到一种被称为”Ded Cryptor”的全新勒索软件木马的攻击。该勒索软件显然过于贪婪,竟索要整整2个比特币(约合1300美元)的赎金。不幸的是,目前还未有任何一种解密解决方案能恢复遭Ded Cryptor加密的文件。

就在最近,讲英语和俄语国家的用户纷纷遭到一种被称为”Ded Cryptor”的全新勒索软件木马的攻击。该勒索软件显然过于贪婪,竟索要整整2个比特币(约合1300美元)的赎金。不幸的是,目前还未有任何一种解密解决方案能恢复遭Ded Cryptor加密的文件。

一旦计算机不幸感染了Ded Cryptor,,该恶意软件会立即更改系统壁纸,换成看上去十分邪恶的圣诞老人照片。恐吓图片加上索要赎金—看起来和其他勒索软件没什么差别?但Ded Cryptor的起源显然是一段传奇的故事,不仅惊险刺激,其中还不乏正义与邪恶之间的斗争。可惜因为某些错误导致了如今这个局面。

所有人都能拥有的勒索软件!

故事还得从土耳其安全专家Utku Sen说起,他创建了一种勒索软件并在线公布了代码。任何人都可以从公开且免费的网络资源-GitHub下载,而该资源通常是开发人员用来进行项目合作的平台(但代码很快就被移除;至于原因你不久会知道)。

这显然是一个极具革命性的想法,将源代码免费提供给犯罪分子,后者疑问一定会用来编写自己的cryptor(他们的确也是这么做的)。但白帽黑客Sen的初衷显然并非如此,他是想让所有网络安全专家都能了解网络犯罪分子的想法—以及他们编码的方式。他坚信,这一非常规方式肯定能帮助其他安全专家们更有效地打击网络犯罪分子。

而更早期的项目-Hidden Tear勒索软件项目同样也是Sen试验的杰作。从一开始,Sen的工作就有着极强的教育和科研的目的。不久,他还研发出了一种能离线工作的新型勒索软件。之后,EDA2 —更强大的模型—应运而生。

EDA2的非对称加密能力比Hidden Tear更强。此外,还能与完善的命令与控制服务器进行通讯,并加密传输的密钥。当然还会向受害人展示恐吓照片。

EDA2的源代码同样公布在了GitHub上,Utku Sen因此而引起了极大关注并遭到批判—当然这一切事出有因。由于免费公开了源代码,让不少原本并不会编码的网络犯罪分子能使用Sen的源代码实施敲诈勒索。难道他自己不明白这个道理吗?

他当然清楚这一点:事实上,Sen在其勒索软件中插入了后门,因此只要愿意随时可以得到解密密钥。也就是说,一旦Sen得知自己的勒索软件被用于恶意攻击,他就能立即得到命令与控制服务器的URL地址以提取密钥,然后提供给受害人。但这里有个问题。要想解密文件,受害人需要认识Sen并问他要密钥。而大多数受害人从未听过Utku Sen的大名。

为自己编写的勒索软件支付赎金!

当然,使用Hidden Tear和EDA2源代码编写的第三方加密器不久就问世了。Sen应对最先出现的这类加密器还算成功:他公布了密钥让受害人使用。但随着第二种此类加密器的出现,事情很快就变得一发不可收拾。

基于EDA2编写的Magic勒索软件,乍看上去与原版并无分别,因此起初并没有引起人们的兴趣。当Sen知道后,试图像以往那样(通过后门)提取解密密钥—但却发现根本进不去。网络犯罪分子为自己的命令与控制服务器选择了免费托管。一旦托管提供商收到关于恶意活动的投诉,就能立即删除不法分子的账号及所有文件。加密密钥与所有数据也一起消失得一干二净。

但故事并没有就此完结。Magic的作者找到了Utku Sen,他们间的谈话也成为之后公众争论的话题。Magic作者表示,只要Sen同意将EDA2源代码从公共域移除并支付3个比特币,就主动提供解密密钥。不久,双方同意将赎金从双方的交易中剔除。

双方之间的谈判变得愈加有趣:可能有些读者已经知道这些黑客的政治目的—而他们在听说有人因Magic而失去了自己刚出生儿子的所有照片后,随即公布了密钥。

Ded Cryptor是如何出现的

Ded Cryptor即是此后诸多衍生版本中的一个。采用EDA2源代码,但其命令与控制服务器却在洋葱路由(Tor)内托管,以实现更佳的安全性和匿名性。勒索软件通过 tor2web服务与服务器进行通讯,从而让程序使用没有Tor浏览器的洋葱路由。

从某种程度上说,Ded Cryptor是由公布在GitHub上各种源代码编写而成,最终演变了一个庞然大物。Ded Cryptor作者的代理服务器代码是从另一名GitHub开发人员那儿借用的;而发送请求的代码最初是由第三方开发人员编写的。该勒索软件最不同寻常的地方是,不会直接向服务器发送请求。而是在受感染PC电脑上创建一个代理服务器并加以使用。

我们唯一清楚的是,Ded Cryptor的开发人员是说俄语的人。首先,Ded Cryptor的勒索信只有英语和俄语两个版本。其次,卡巴斯基实验室高级恶意软件分析师Sinitsyn分析出了该勒索软件代码并发现了文件路径

C:UserssergeyDesktopдоделатьeda2-mastereda2eda2binReleaseOutputTrojanSkan.pdb。(顺便提下,上面提到的Magic勒索软件也是由说俄语的犯罪分子编写。)

可惜,我们对DedCryptor的传播方式知之甚少。根据卡巴斯基安全网络的统计,基于EDA2的勒索软件主要活跃于俄罗斯。其次是中国、德国、越南和印度。

同样不幸的是,目前还没有任何办法能解密遭Ded Cryptor加密的文件。受害人可以尝试从操作系统创建的卷影副本恢复数据。但最好的安全保护方法始终是”主动防范” —事先防止计算机感染病毒要比处理已感染的病毒容易得多。

卡巴斯基安全软件能检测所有基于Hidden Tear和EDA2的木马病毒,且一旦发现Trojan-Ransom.MSIL.Tear即会发出警告。此外,还会阻止勒索软件运行和加密文件。

卡巴斯基全方位安全软件除了具备上述这些能力外还具有自动备份功能,因此适用于从勒索软件感染到硬盘突然死机的各种安全问题。

五种最怪异的木马病毒:滑稽、吓人又有些奇怪

回到MS-DOS年代,当时的网络黑客创建恶意软件主要是为了娱乐的目的,因此那那时候出现了许多奇特甚至有趣的计算机病毒。例如,有一种简单的恶意软件会将计算机屏幕上的图片上下颠倒摆放。一种被称为”Madman”的病毒会在计算机屏幕上显示一个红脸疯子双目圆睁的样子,并恐吓受害人有人正在监视,且”没人能救他们”。那个时候,如果不幸看到这样的图片,的确会有种毛骨悚然的感觉。 当然,有些病毒也相当具有危险性。2000年的时候,一名犯罪分子发送了题为”ILoveYou”的电邮,其中含有恶意附件LOVE-LETTER-FOR-YOU.TXT.vbs,实际上并非是文本文件而是VB脚本。这封”爱的邮件”在全球范围感染了超过300万PC电脑用户。该恶意软件最终大获成功:成为了2002年传播最广泛的计算机病毒。 但随着时间的推移:恶意软件显然发生了质变,不再单纯为了娱乐,更多是为了恶意攻击:而开发的目的也很简单—赚取不法收益。尽管如此,但就算现在我们依然能从众多以赚钱为目的的恶意软件中找出一些另类。在本篇博文中,我们就为读者们精心收集了5种怪异且”不合群”的恶意软件。 喜好社交的恶意软件 即便是最简单的恶意软件也能引起受害人的情绪反应。例如,一款典型的Skype木马病毒在受害人的联系人每次上线时,都会向他们发送”嗨”。结果显而易见:受害人的许多好友和熟人几乎都会同步作出回复。对于有些用户而言,这种体验相当可怕,因此他们称其为”内向的人所遇到的最可怕病毒。” 事实上,该病毒在在这一问候消息中添加了网络钓鱼链接,因此向所有人说”嗨”绝不是为了好玩那么简单。但该恶意软件之所以受到广泛关注,是因为每次感染一台PC电脑都引起一场有关无用通讯的”巨大海啸”。 贪婪的应用程序 通过盗用计算机性能挖掘比特比的木马病毒并不少见。就在去年,多款流行安卓应用的开发商决定做同一件事,那就是使用用户的智能手机”挖矿”。他们甚至还设法在一段时间内保守了秘密,原因是多数人没有在移动设备上安装反病毒软件的习惯,但只有在设备连接充电器时才会开始”挖矿”。 但这个想法从一开始就毫无实际性可言。一般来说,人们比特币挖矿使用的是配有昂贵显卡的高性能PC电脑,原因是挖矿需要高负荷的并行运算能力。移动设备的运算能力显然不足以完成这项艰巨的任务:例如,如果你用2015年最新款智能手机(比方说,Galaxy S4)挖一个比特币,整个计算时间需要3.4万年之久。且目前需要更长的时间,原因是比特币变得比过去更加难挖了。因此我们猜测,犯罪分子对比特币及其挖掘方式应该不怎么了解。 纠缠不清的木马病毒 尽管大多数安卓网银木马都努力”低调行事”,但却有一款采用了完全不同的策略:不断触动受害人异常敏感的神经。 该木马病毒起初与其它”同类”并无二异,将自己装扮成有用的应用程序,然后潜入智能手机内。一旦得手后,便会不断纠缠受害人:要求授予其管理员权限。就算用户关闭一个窗口,该木马也会再打开一个新的,周而复始永不消停。停止这一切的唯一方式是关闭电源,然后恢复至出厂设置—或者授予这一烦人的应用所要求的权限(注:显然这不是个好主意。) 有时候,同意总是比拒绝来的更容易些。有些用户因实在不堪烦扰只能授予权限,但仍无法求得”安宁”:该木马采用相同的策略”摇身一变”成为了默认短信应用,并不断要求受害人共享自己的信用卡信息。这份”固执己见”让最固执的孩子也自愧不如。 骑士大人 你甚至还有可能在最新木马病毒中遇到”唐吉坷德式的家伙”。就在去年,一种非常规形式的恶意软件Wifatch被曝光。或者我们应该称其为”goodware”。Wifatch会感染Wi-Fi路由器和其它联网设备并且…为它们打上补丁。 当Wifatch被发现的时候,其网络内包含了成千上万来自中国、巴西和美国的设备。 充满矛盾的木马病毒 Triada作为一款安卓平台上的木马病毒,其行为巧妙掩饰了真实能力。事实上,Triada能力可谓十分强大。该恶意软件能够黑客入侵Google操作系统的”心脏”—Zygote进程—且由于主要躲藏于受感染设备的RAM内,因此检测难度极高。 最重要的是,Triada拥有模块化结构。该结构并不像摩托罗拉的全新智能手机概念,而是为木马病毒提供全新强大功能的软件模块,如此Triada便能在其武器库内挑选最合适的”武器”—然后运用到用户身上。 如果你仍不相信这款手机恶意软件拥有极大危险性,可以看看这个:安全专家表示,Triada与计算机木马病毒相比编写得毫不逊色。千万不要忘了,Windows拥有多年与恶意软件斗争的经验,而这方面手机操作系统才只是新手而已。 总而言之,尽管Triada拥有功能强大的结构,但其行为却又出奇的”天真无邪”。除了窃取网银数据或挟持遭黑客入侵的设备外,只会向受害人显示广告—类似于简单的广告软件。此外,还会假冒浏览器载入的URL地址,并篡改主页和默认搜索引擎。 由于Triada的最终目的是从受感染的用户处盗取资金,因此一旦受害用户在其中几个应用中内购了物品—提升能力的道具、游戏货币及超酷的附加内容等,Trojan就会在同一时刻窃取通过短信发给应用开发商的资金。 我们并非是在怨天尤人,只是不明白为什么犯罪分子创建如此一款强大且复杂的解决方案,却只是为了完成一些简单的任务。除此之外,他们的不法收益也低于传统locker病毒和网银木马。 如你所见,不同寻常甚至怪异的木马病毒仍然比比皆是。但无论这些恶意软件多么有趣,都仍然具有危险性—因为编写它们的唯一目的就是为了窃取资金和个人数据,或者就是为了大肆破坏。 无论你是不希望遇到纠缠不清的木马病毒,不想被喜好社交的Skype恶意软件打扰,还是了解了今年头3个月中检测到1.7亿个恶意解决方案中任何一个,你都需要一款功能强大的安全解决方案。卡巴斯基安全软件多设备版能为您的数字生活保驾护航:无论是PC电脑、Mac电脑还是移动设备,我们都能提供全方位的安全保护。

提示