勒索软件

恶意软件的持续开发以及我们用尽各种方法与之抗争的情节不禁让我们想起了某部电视连续剧：剧中的”主角们”通过获取新的技能，战胜各种艰难困苦并最终取得新的成就。目前看起来’TeslaCrypt电视剧’的第三季即将开播了。

勒索软件之所以说是一种极端恶劣的网络诈骗，原因是被索要赎金的加密文件恰恰还保存在用户自己的计算机内。这种情况常常会让受害人痛苦不已，而且只有得到唯一的加密密钥才能恢复文件。勒索软件显然成为了互联网生活中的一个严重问题，用户应该为此打起十二分精神以防止计算机受感染。10个安全小贴士可助您保护自己的数据免受勒索软件侵扰。

今年9月14日（星期一），荷兰警方在荷兰阿默斯福特成功逮捕了两名年龄分别为18和22岁的年轻人。这两人涉嫌利用CoinVault勒索软件攻击了许多用户的电脑。自2014年6月起，该恶意软件将20多个国家的电脑用户作为攻击目标，锁住受害人电脑并索要恢复文件的赎金。大多数受害人分布在荷兰、德国、美国、法国和英国等国。 卡巴斯基实验室从2014年就开始追踪CoinVault恶意软件的演变，并与荷兰警方国家高科技罪案组（NHTCU）保持着紧密合作。该恶意软件样本的二进制代码中所用的荷兰语几乎没有出现任何错误。由于荷兰语是一种相对难学的语言，特别在书写中要想不出现错误更是难上加难，因此我们的研究专家从一开始就怀疑此恶意软件来自荷兰—事实证明他们是对的！ 2014年11月，卡巴斯基实验室与荷兰警方合作推出了noransom.kaspersky.com-一种能用来恢复被CoinVault勒索软件加密的文件的工具。没有该工具的话，受害人只有两种选择，要么向犯罪分子支付赎金，要么就永远失去自己的重要文件。 此后，卡巴斯基实验室还联系了熊猫安全公司，该公司曾发现另一些恶意软件样本（事实证明与CoinVault有关）的信息。同时有关新发现勒索软件样本的全面分析报告也被提交给了荷兰警方。经过我们共同努力，终于成功抓捕了利用这一勒索软件实施犯罪行为的两名年轻人。 我们很高兴能看到这样的合作方法正在安全业内逐步建立。许多安全专家和反病毒公司通常只是自行开展调查，其中只有一小部分与执法机构合作。 荷兰警方承认，正是有了与多家安全公司的合作，才抓到了越来越多的罪犯。勒索软件”风潮”只是在最近才兴起，主要原因在于大多数用户并未将此类恶意软件视为严重威胁。但没有人能保证自己的电脑永远不会遭到勒索软件的攻击。 相比设法解密被盗文件或支付高昂赎金，预防自己的计算机免遭恶意软件侵扰要容易得多。总是让自己的反病毒解决方案保持最新版本，以及定期在未联网设备上做备份，如此即可高枕无忧。而且请牢记：你支付的赎金将”激励”网络犯罪分子继续从事这一犯罪行为。此外，即便你支付了赎金，也无法保证就一定能恢复被锁文件。  

如今，勒索软件的问题愈加凸显期严重性。近期包括CoinVault和CryptoLocke在内的勒索软件在互联网上兴风作浪、肆意妄为，似乎显露出网络犯罪分子对于此类网络攻击的使用频率不断加大。尽管勒索软件攻击的案例数量与日俱增，但据卡巴斯基实验室的一项调查发现，仅有37%的公司将勒索软件视为严重的网络危害。

网络犯罪分子也会相互学习进步。在卡巴斯基实验室研究人员最近发现的TeslaCrypt 2.0最新版本中，恶意软件作者显然加入了不少新的功能，防止被盗文件遭解密以及隐藏恶意软件的命令与控制服务器的位置。

勒索软件作为恶意软件的一种，专门窃取用户文件并对受害人实施勒索。其中最有效的犯罪手法就是对文件进行加密后以提供解密秘钥之名索要赎金— 这也是为什么该恶意程序也被称为”cryptoware”（文件加密病毒）的原因。

在多数情况下，一旦你不幸成为勒索软件的受害人，对此可以说是完全束手无策。但幸运的是，警察和网络安全公司时常会采取联合行动，关闭勒索软件的命令和控制服务器并从中恢复一些重要信息。这些信息十分有用，因为其有助于编写解密工具并恢复用户的文件。最近，德国网络警察和卡巴斯基实验室联手创建一个解决方案以帮助CoinVault勒索软件受害人恢复文件。 如果你想了解更多有关CoinVault勒索软件的内容，可查阅我们刊登在Securelist网站上的详细报告。如果你也对我们是如何编写该解密解决方案感兴趣的话，在我们的博客文章中有详细的介绍。如果你碰巧正在寻找有关如何清除CoinVault勒索软件并恢复文件的方法的话，请参阅以下操作步骤。 第一步：确定自己的计算机是否真的感染了CoinVault勒索软件。 首先，确定你的文件的确是被CoinVault所盗而非其它勒索软件。确定的方法很简单：如果你的计算机被CoinVault感染的话，你将能看到如下图片： 第二步：获取比特币钱包地址 在CoinVault勒索软件界面的右下角，你将能看到比特币钱包地址（上图中用黑圈标记的地方）。复制并保存这个地址非常重要！ 第三步：获取加密文件清单 在该恶意软件窗口的左上角，你将能看到’查看加密文件清单’按钮（上图中用蓝圈标记的地方）。点击这个按钮并保存为一个文件。 第四步：清除CoinVault 前往https://kas.pr/kismd-cvault并下载卡巴斯基安全软件试用版。安装完成后，该试用版软件将能从你的系统中清除CoinVault。确保已保存了所有从第二步和第三步中所恢复的信息。 第五步：访问https://noransom.kaspersky.com检查 访问https://noransom.kaspersky.com 网站输入在第二步中所获取的比特币钱包地址。如果你的比特币钱包地址已知，则IV（初始化向量）和密钥将会出现在屏幕上。请注意可能会出现多个密钥和IV。保存所有在计算机屏幕上出现的密钥和IV，后面你将需要用到。 第六步：下载解密工具 在https://noransom.kaspersky.com网站下载解密工具并在你的计算机上运行。如果你得到的是错误消息（如下图所示），进行第七步操作。如果没有错误消息，则跳过第七步直接进行第八步操作。 第七步：下载并安装另外的libraries（库） 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779并遵照网站的使用说明。随后安装软件。 第八步：打开解密工具 打开该工具后你将能看到以下窗口： 第九步：测试解密程序是否运行正常 在首次运行该工具时，我们强烈建议您对解密程序进行测试。具体操作步序如下： 在”单文件解密”框内点击”选择文件”按钮，并选择你想解密的一个文件； 将来自网页的IV输入到IV框内； 将来自网页的密钥输入到IV框内； 点击”开始”按钮。 验证新创建的文件是否已正确解密。 第十步：解密所有被CoinVault所盗的文件 如果在第九步中操作一切正常的话，则能立即恢复你的所有文件。选择从第三步中所获取的文件清单，输入IV和密钥并点击开始。你完全可以根据自己的需要选择”对带解密内容的加密文件进行重写”选项。 如果你在输入比特币钱包地址的时候收到多个IV和密钥的话，这时候你就要十分小心了。因为我们无法100%确定比特币钱包的多个IV和密钥的正确来源。一旦出现这种情况，我们强烈建议取消勾选”对带解密内容的加密文件进行重写”的选项。如果在解密时出现错误的话，可以尝试不同的IV+密钥组合直到文件被成功解密为止。 如果你根本没有收到IV和密钥的话，应耐心等待并访问https://noransom.kaspersky.com检查。由于相关调查依然在进行中，我们将不断实时添加新的密钥。

一种”洋葱”勒索软件的新型变体已然问世，尽管大多数时候被称为”CTB-Locker”或”Citroni“。 无论你称它是什么，CTB-Locker就是一种类似于”加密锁”的恶意软件，通过对用户主机上的所有文件进行加密，然后向用户索要解密这些文件的赎金。 CTB-Locker（即Curve Tor Bitcoin Locker）与其它勒索软件有所不同，它很大程度上依靠的是恶意软件命令和控制服务器，即通过使用Tor项目的匿名网络将自身屏蔽。利用Tor（洋葱路由）也有助于其逃避检测和被阻止。为了保护CTB-Locker背后控制者，赎金支付仅接受分散且大部分匿名的加密货币-比特币。 所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在”行业”内可谓数一数二。 “通过在匿名Tor网络隐藏命令和控制服务器很大程度加大了搜索网络犯罪分子的难度，而使用非常规的加密协议使得文件根本无法被解密，就算将在木马和服务器传输过程中的流量拦截也无济于事。”卡巴斯基实验室高级恶意软件分析师Fedor Sinitsyn在去年向《卡巴斯基每日新闻》透露道。”所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在’行业’内可谓数一数二。” 据Sinitsyn 称，新版CTB-Locker—卡巴斯基实验室产品检测到的是Trojan-Ransom.Win32.Onion —包含了一些有趣的更新程序。随着受害人数的不断增加，该勒索软件竟然还向受害人提供了类似于”试用版”的程序，可为用户免费解密5个文件。CTB所加入的一些新功能还能躲避被安全公司研究。另外还增加了3种新语言：德语、荷兰语和意大利语。除了直接连接Tor网络外，还可通过6个web-to-Tor服务进行连接。 防范该勒索软件和其它威胁的最佳方式是永远备份你的电脑（每周都备份一次）。此外，你还需要运行一款强大的反病毒软件以确保你的软件、操作系统以及其它应用程序都已打上最新补丁。一旦不幸被感染，根本没有恢复被CTB-locker所加密文件的可能。当然你可以支付赎金，但随着网络犯罪成为一门专业程度越来越高且以客户服务为导向的生意，你根本无法保证在支付赎金后能收到解密文件的密码。 不管你喜欢与否，勒索软件就是门一本万利的生意，随着我们的日常生活和财产越来越多地连接到所谓的”物联网”，伴随而来的问题将越来越严重。 #防范#该#勒索软件#和其它威胁的最佳方式是永远备份你的电脑。 迄今为止，卡巴斯基安全网络已检测出了大约361次尝试感染，大部分发生在俄罗斯和乌克兰。卡巴斯基实验室产品用户完全可以防范该勒索软件和其它加密恶意软件的感染，除非”系统监控”功能遭禁用。一旦有可疑程序访问用户文件，”系统监视“将立即备份这些文件并进行本地保护。请确保这一组件正常运行。 新闻缩写：卡巴斯基用户只需打开”系统监控”即可受到保护。如果你的电脑不幸被感染，恢复文件的唯一方式是支付赎金，但就算支付了也未必能恢复。现实就是那么残酷。

如果说12月份对安全世界意味着预测来年的话，同时也是对即将结束的一年进行回顾的时候。卡巴斯基实验室全球研究与分析团队为此而特别制作了一份有关《2014年互联网安全行业十大新兴趋势》的清单。 一系列高级持续威胁 2014年，众多APT攻击小组依然没有”停战”的意思。卡巴斯基实验室研究人员公布了至少6个网络攻击小组的研究分析。 “Careto”（西班牙中”面具”的意思）间谍行动于2月份重现互联网，之前已活跃了长达7年之久。Careto依靠易于修改的跨平台恶意软件工具，旨在从全球31个国家的政府机构、大使馆、能源公司、研究机构、私人股权公司以及活动家窃取敏感信息。 而多阶段的Epic Turla网络间谍攻击行动出现在1个月左右后的三月份，通过利用一系列存在于Adobe Acrobat、Windows XP以及Microsoft server 2003的零日漏洞对受害人进行有针对性的攻击，同时还采用了许多水坑式攻击，将存在于Java、Adobe Flash和Internet Explorer的漏洞作为攻击目标。 而到了6月，另一个黑客小组在短短一周的时间内即窃取了50万欧元，作为”Luuuk”木马攻击行动的一部分，他们对一家大型欧洲银行的客户进行了针对性攻击。遗憾的是，卡巴斯基实验室并没有获得该攻击行动中的任何恶意软件样本，但他们猜测该黑客小组通过窃取用户名、密码以及一次性密码，从而查看受害人账户余额并自动执行交易。 在6月末，互联网出现了”MiniDuke”黑客行动的新版本-被称为”CosmicDuke”，将政府、外交机构、能源公司、军事集团以及电信运营商作为攻击目标。奇怪的是，这一黑客行动竟然还攻击了那些参与违禁药品（例如：类固醇和生长激素）交易的犯罪团伙。 #Kaspersky launches a project that chronicles all of the #ATPs the company has investigated https://t.co/9gj6AiRVoo pic.twitter.com/HHbRUDVC0o

探究本周的新闻主题，包括#安卓#勒索软件、一个严重的@TweetDeck bug等。 本周的新闻内容丰富，安卓系统上出现了史上首个加密勒索软件，短暂存在于TweetDeck的严重漏洞，对苹果即将发布的iOS 8的一睹为快，以及可能会泄露Gmail用户地址的缺陷等等。 安卓加密勒索软件 上周，一些有关一个对安卓设备内容进行加密的勒索软件的报道开始浮出水面。本周，卡巴斯基实验室专家Roman Unuchek对此类中的首个手机恶意软件Pletor进行了说明。 Pletor是在大约一个月前被发现的，并且在这一期间已经传播到了13个国家。该款恶意软件已经感染了超过2,000台机器—主要分布在俄罗斯和乌克兰—另外，在欧洲其他国家和亚洲国家也出现了类似的案例。报道称，受感染高峰时间是在5月22日，整个一天有500台机器被感染。这一木马病毒在地下存在非法交易，售价高达5000美元。 若您的智能手机感染了[Pletor]，我们建议您不要向不法分子付款，”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙，可用于解密受影响的文件。” Pletor可感染访问虚假色情网站的设备。木马病毒在这些网站上伪装成观看视频所需的媒体播放器。另外，Pletor正在向游戏和其它安卓应用以及俄罗斯手机论坛蔓延。 “若您的智能手机感染了[Pletor]，我们建议你不要向不法分子付款，”Unuchek说道。”我们见到的所有版本的木马病毒都含有钥匙，可用于解密受影响的文件。” TweetDeck Fiasco 昨天，我们报道了一个存在于TweetDeck的严重安全漏洞。攻击者能够借用用户账户，发推、删除推文或破坏账户。推特非常及时地为这一问题提供了补丁。所以，用户无需担忧。但是，如果你使用该服务的话，如果能更改推特和TweetDeck的密码，则更有安全保障了。如果您遵照我们昨天的建议，撤消了对TweetDeck应用的访问，则重新使用TweetDeck并授权访问您的推特账号应该不会出现什么问题。 有趣的是，昨天出现的TweetDeck问题再次出现，起因是一名澳大利亚少年和本应不该出现在他的Twitter feed上的Unicode heart。访问Threatpost，查看全文。 MAC地址随机化 苹果为果粉们准备了惊喜，在苹果全球开发者大会上揭开了即将发布的iOS 8手机操作系统的真正面纱。此次所发布的iOS 8在原有IOS应用开发环境基础上进行大量的重建，你可以再这里阅读我们对IOS 8看法的完全分析。IOS 8最大的变化苹果决定在接入无线网络时，将媒体访问控制地质随机化。MAC地址是唯一的标识。众所周知，零售商和网络运营商通过追踪MAC地址，了解更多的用户行为。在iOS 8操作系统内，苹果设备在被无线网络扫描时，将生成随机的MAC地址。这一技术举措将悄悄地使零售商无法再追踪店内客户活动和其它行为。 Feedly你在哪儿? 就在昨天，分布式拒绝服务攻击（DDoS）昨天使新闻手机服务应用Feedly及笔记和归档平台Evernote（离线版）陷入瘫痪。Evernote迅速从DDoS攻击中恢复过来，目前用户已经能正常使用了。但不幸的是，截止星期四下午，Feedly依然无法正常运行。 Feedly在星期三下午曾短时间地恢复正常，但其后在受到另一波DDoS攻击后，又很快地陷入瘫痪。 继续注意垃圾邮件 Google在本周早些时候对其服务内的一个非常严重漏洞打了补丁，并封住了一个可能泄露未知数量Gmail用户账户的漏洞。一些报告估计，可能所有账户地址均难以幸免。您可以再Threatpost上了解到此次攻击的技术细节。在未来数天，甚至数周，您应该特别小心垃圾邮件，一旦有人利用了这一bug，Gmail邮箱地址将难以幸免。 其它新闻

还记得我们曾提到过CryptoLocker勒索软件非常危险的新闻吗？现在，勒索软件出现一种全新变体将安卓用户锁定为目标（起码会让人联想到CryptoLocker）。众所周知，CryptoLocker是对用户的关键计算机文件进行加密，然后以解密为条件用户向勒索钱财。考虑到安卓所占的市场份额，还有以安卓设备为目标的恶意程序样本的广泛传播，出现新的变体并不令人意外。 勒索软件是黑客用来锁定被感染计算机，并以此为条件向用户勒索钱财的一类恶意软件。在某些情况下，恶意软件只是让计算机无法使用。但另一些恶意软件，比如CryptoLocker，是加密被感染计算机上的重要文件，然后要求用户缴费来获取解密这些文件的专用密钥。CryptoLocker还算诚实，对自己的意图直言不讳；但还有许多勒索软件则是假冒执法机构向用户发出警告。警告中通常声称在用户计算机上发现了某类非法内容，必须缴纳罚款才能解锁计算机。 对于这种情况，其实是负责不同种类勒索软件的一组犯罪分子（称为Reveton）发布类似于CryptoLocker的恶意软件来感染安卓移动设备。 这种勒索软件到底在多大程度上与令人厌恶的CryptoLocker（以台式机为目标）有关系尚不清楚，但不管制作者是谁，显然是在玩CryptoLocker的旧把戏，这是属于犯罪性质的某类营销骗局。 为”Kafeine”公司工作的一位知名安全研究人员发现了这种新型恶意软件，并在自己的博客Malware don’t need Coffee中记录了此恶意软件的信息。他发现，安卓设备用户连到感染了此恶意软件的域后，即会被重定向到色情站点，该站点中部署了一些社交工程，目的是骗用户进入包含此恶意软件的应用文件。 但好消息是：除非用户实际上亲自安装了此恶意软件，否则不会被感染，这就是为什么我们推荐只安装来自合法Google Play商店的应用。 “锁定程序非常有效，”Kafeine在此恶意软件的说明中写道。”用户可以在主屏幕上继续操作，但所有操作都失效。无论是启动浏览器、调用应用还是执行”列出活动任务”，都会弹出锁定程序。” 这种恶意软件的应用文件伪装成一个色情应用，用户需要下载才会被感染。如果用户启动此应用，随即会显示一个警告屏幕，通知用户被控在手机上浏览或传播色情内容。 此消息还会通知用户，须通过MoneyPak支付300美元的罚款，否则可能会面临5到11年的监禁。 Reveton一伙发布的工具包版本具有多种变体，受害用户遍及30多个国家，包括美国、英国、法国、德国、澳大利亚和西班牙。 这种勒索软件到底在多大程度上与令人厌恶的以台式机为目标的CryptoLocker有关系尚不清楚，但不管制作者是谁，显然是在玩CryptoLocker的旧把戏，这是属于犯罪性质的某类营销骗局。这个情况着实让人感兴趣，因为从中可以看出网络犯罪分子是如何花样百出，利用合法的商业做法来获取最大利润的，当然这得改天再谈了。