揭开勒索软件的真面目

一、前言

2013年9月，戴尔公司的SecureWorks威胁应对部门（CTU）发现了一种名为“CryptoLocker”的勒索软件，它以邮件附件形式分发，感染计算机并加密近百种格式文件（包括电子表格、数据库、图片等），向用户勒索300美元或300欧元。据统计，仅在最初的100天时间内，该勒索软件就感染了20万至25万个系统。[1]

2014年8月，《纽约时 》 道了这样一则消息：一种名为“ScarePackage”的勒索软件在一个月的时间内感染了约90万部Android手机，该软件不仅会访问手机的摄像头、电话功能，还会在手机屏幕弹出消息，指责手机用户传播色情内容，手机用户只有支付了几百美元的“赎金”才能正常使用手机。[2]

对于传统的感染式病毒，未安装反病毒软件的用户会因中毒而导致系统程序和应用程序被感染，不过一般可以通过重新安装操作系统和应用程序解决问题；对于远程控制类木马，用户可以采用临时断开 络的办法，暂时摆脱攻击者的远程控制。但是，如果计算机上的照片被勒索软件加密，用户很可能会彻底失去一段美好的回忆；如果被加密的是急需使用而又没有备份的毕业论文、重要资料，恐怕用户也只好向犯罪分子屈服，乖乖地支付赎金。勒索软件为何如此猖狂是如何向用户进行勒索的们又该如何检测与预防这类威胁文将全面介绍勒索软件的传播手段、攻击流程及防御方法，彻底揭开勒索软件的真面目。

1.1 何谓勒索软件

1.2 主要传播手段

勒索软件的传播手段与常见的木马非常相似，主要包括以下几种：

1. 借助 页木马传播，当用户不小心访问恶意 站时，勒索软件会被浏览器自动下载并在后台运行；
2. 与其他恶意软件捆绑发布；
3. 作为电子邮件附件传播；
4. 借助可移动存储介质传播。

1.3 主要表现形式

一旦用户受到勒索软件的感染，表现形式通常包括以下几种：

1. 锁定计算机或移动终端屏幕；
2. 借杀毒软件之名，假称在用户系统发现了安全威胁，令用户感到恐慌，从而购买所谓的“杀毒软件”；
3. 计算机屏幕弹出如图1所示的提示消息，称用户文件被加密，要求支付赎金。

3 勒索软件的演进史

3.1 几种典型勒索软件家族的出现

• 最早的勒索软件

• 专门仿冒反病毒软件的勒索软件

2001年，专门仿冒反病毒软件的恶意代码家族（Trojan[Ransom]/Win32.FakeAV）出现，并于2008年左右开始在国外流行。该恶意代码家族的界面内容为英文，又因为当时国内部分反病毒厂商已经开始采用免费的价格策略，所以该恶意代码家族在国内不容易得逞，对国内影响相对较小。FakeAV在伪装成反病毒软件欺骗用户的过程中，所使用的窗体标题极具迷惑性。据安天CERT统计，其标题有数百种之多，常用标题如表2所示：

表 2 FakeAV常用标题

图 2移动终端的勒索软件

典型的移动终端勒索软件家族如表3所示：

表 3移动终端的典型勒索软件家族

图 4 Redplus木马主要行为流程

图 6 QiaoZhaz的行为流程图

由于木马添加了注册表启动项和服务，导致每次开机后点击确定后木马就注销系统。去除“文件夹选项”，使用户无法选择“显示所有隐藏文件”并无法去掉“隐藏受保护的系统文件”“隐藏已知文件类型的扩展名”。去除开始菜单中的“搜索”、“运行”项和“关机”项，使用户不能使用搜索、command命令和关机、注销。修改txt文件关联，当用户试图运行txt文件时，则会激活木马，使用同样的方法修改任务管理器关联，当用户打开任务管理器时就会激活木马。木马把屏保时间修改为60秒，在%system32%文件夹下生成木马屏保文件，当用户60秒不操作计算机时，系统会自动运行木马。该木马利用多种方法保护自身，结束指定的反病毒软件或反病毒工具。

QiaoZhaz.d的行为更加恶劣，它除上述与QiaoZhaz.c相似的行为外，还删除非系统盘外的所有文件，使用户必须使用数据恢复软件才能找回原来的数据。同时在每个磁盘根目录下建立一个名为“警告.h”的文件，以此向用户进行敲诈勒索。

安天在2007年3月6日发布了“敲诈者病毒变种专用注册表修复工具”，是专门针对QiaoZhaz的注册表修复工具。

4.3 CryptoLocker

CryptoLocker在2013年9月被首次发现，它可以感染大部分的Windows操作系统，包括：Windows XP、Windows Vista、Windows 7、Windows 8。CryptoLocker通常以邮件附件的方式进行传播，附件执行之后会使用RSA&AES对特定类型的文件进行加密。并弹出勒索窗体，如图7所示：

图 8 CryptoLocker的 络通信

ESET在2013年12月发表了一篇文章，对新出现的Cryptolocker 2.0与Cryptolocker进行了相关技术的对比，如下表[4]：

图 9 CTB-Locker的攻击流程

安天CERT分析人员随机提取了一个样本，该样本执行后，会弹出窗体要求用户向其支付赎金。

图 11 CTB-Locker要求用户安装Tor浏览器

通过分析该样本，可以了解CTB-Locker的一般执行过程，如图12所示。

图 13解密后的CTB-Locker文件扩展名数据

加密部分是整个流程中比较关键的一部分，在这里我们会进行重点说明。

首先样本会将要加密的文件以后缀名为.tmp的形式调用函数MoveFileEx移动到临时目录下面。接着根据文件的时间和和当前系统运行的时间等信息，填充一个缓冲区。然后对这个缓冲区计算SHA256。根据计算的SHA256值作为会话私钥(session private key)使用Elliptic curve Diffie-Hellman（ECDH）算法产生一个会话公钥（sessIonpublickey)。再与配置文件中的一个主公钥（master public key）使用ECDH算法产生一个会话共享密钥(session shared secret)，对会话共享密钥计算SHA256并将这个值作为AES加密的KEY。相关代码如下：

图 14勒索过程示意图

5 防御：我该做什么

5.1 安全建议与部分解决办法

为了避免受到勒索软件的威胁，安天CERT安全工程师针对不同用户给出如下建议：

• PC用户

1. 及时备份重要文件；
2. 及时安装更新补丁，避免一些勒索软件利用漏洞感染计算机；
3. 给信任 站添加书签并通过书签访问；
4. 定期用反病毒软件扫描系统。

• Android平台的移动终端用户

1. 安装手机杀毒软件（比如LBE安全大师、安天AVL Pro等）；
2. 由可靠的安卓市场下载手机应用程序。

• 已经受到勒索软件感染的移动终端用户

1. 如果手机已root并开启USB调度模式，可进入adb shell后直接删除恶意应用；
2. 如果是利用系统密码进行锁屏，部分手机可尝试利用找回密码功能；
3. 进入手机安全模式删除恶意应用程序。主流安卓手机进入安全模式的方式是，按住【电源键】开机，直到屏幕上出现品牌LOGO或运营商画面后，按住【音量减少】键不放。如果进入安全模式成功，锁屏界面的左下角会显示“安全模式”字样。此时可对恶意应用进行正常的卸载处理。

5.2 普通用户的防御方法

通过前面的分析可以看出，采用高强度加密方式绑架用户数据的勒索软件，将对用户的数据安全构成严重威胁，做好安全防御显得极为重要。普通用户可下载专门的防御产品如CryptoMonitor（该程序可以根据行为检测结果，在勒索软件试图加密用户数据时将其阻止[5]）。

5.3 企业用户的防御方法

对于企业用户来说，针对勒索软件类的安全威胁防护可从预警、防御、保护、处置和审计几个步骤来进行有效防御和处理，保护系统免受攻击，安天的企业安全产品即是从这几方面入手进行防御和处理的。

• 首先，将企业用户接触到的未知应用程序自动提交到企业内部的云平台，通过特征检测、虚拟化执行等方式集中鉴定，及时发现恶意程序。
• 其次，企业IT管理人员可将具有重要价值的文件资源的主机设置为重要计算机或受限计算机，一旦勒索软件或其它可疑程序运行时，可以通过可信应用基线（白名单）检测的方式及时将其发现，并予以阻止。
• 再次，可采用安全文档措施保护具有重要价值的文件。
• 最后，通过云端追溯功能来对恶意样本进行全 追查，便于事后审计和定损。

图 15安天企业安全产品工作流程

6 总结

虽然勒索软件的技术含量不高，但却可以对用户的数据安全造成严重危害，其威胁不可小觑。

“希腊战士跳出木马，杀死睡梦中的守军，打开城门。城外隐藏的军队如潮水般涌入特洛伊城，将城市烧成一片灰烬。此时的特洛伊人懊悔没有听从拉奥孔的劝告，但为时已晚……”对于一般的感染式病毒或木马，即使用户在遭受安全威胁之后再安装反病毒软件，依然可以亡羊补牢，让系统重新处于安全状态。但对于绑架用户数据的勒索软件而言，没有可靠的事前防御和检测能力，面对已经被勒索软件加密的用户数据，侧重于保护系统安全的反病毒软件也无能为力。只有安装侧重于保护数据安全的工具或部署针对企业安全特点的安全产品，才能尽量避免给勒索软件以可乘之机。

原文发布时间为：2016-04-25