自勒索病毒被大家官方熟知以來,為了能在這個“有著光明前途的事業”中分一杯羹,越來越多的黑客也是八仙過海各顯神通,儘自己所能的製作自己的勒索病毒。繼之前我們發現的使用PHP、Python等語言編寫勒索病毒之後,近期,另一種簡單易用的腳本語言——AutoIt語言也被發現用於編寫一種名為CryptoWire的勒索病毒。加上前段時間出現的使用AxCrypt加密工具來加密文件進而達到勒索目的的病毒,可以說勒索病毒的“技術准入門檻”越來越低已是大勢所趨。如果說以上這些還算是有“門檻”可言的話,另外一種被稱作RaaS的方式則可以說是完全沒有“門檻”了。所謂RaaS即Ransomware-as-a-Service,如360互聯網安全中心前不久檢測到的Saturn RaaS和Data Keeper RaaS就允許任何人註冊該勒索服務並生成自己的勒索病毒。
會腳本語言就能寫勒索病毒——AutoIt勒索病毒CryptoWire
AutoIt是一種簡單易學的腳本語言,功能強大並且不需要運行系統中安裝特定的運行環境,這都導致了即便是編程0基礎的新手也能快速上手,並且讓自己所編寫的程序順利在他人的機器上正常運行。前文所述的這款CryptoWire勒索病毒就是用AutoIt腳本語言編寫。
該病毒會嘗試加密機器中可訪問的所有位置中的文件,包括網絡驅動器、網絡共享目錄、移動磁盤、外部磁盤、內部磁盤,甚至是雲存儲應用程序中的文件都不會漏過。 CryptoWire使用AES-256算法對文件進行加密操作,會對282種格式的文件進行加密。此外,如果檢測到機器接入到了域中(多為企業內部機器),贖金將會乘4。
282種待加密文件格式
檢測到機器接入域中則贖金乘4
加密完成後的勒索信息
不會腳本語言也能寫勒索病毒——RaaS瞭解下?
所謂RaaS即Ransomware-as-a-Service,可能很多人還不瞭解這套機制。簡單的說,就是病毒作者開發了一款勒索病毒,但並不自己傳播,而是邀請其他人來傳播,並從每次成功贖金付款的抽成。
為了吸引更多的客戶,勒索病毒作者通常還會創建在線管理平臺,以便儘可能輕鬆地部署和跟蹤勒索軟件。
許多RaaS平臺還提供定製選項,類似於勒索金額、加密文件格式、勒索信息語言等均可定製,某些平臺甚至還很貼心的提供了在線的技術支持。
以Data Keeper RaaS為例,在客戶提供了收取勒索贖金用的比特幣錢包地址勒索贖金金額後,會生成勒索病毒本體和對應的解密程序(但不含解密密鑰)。
Data Keeper RaaS在線配置頁面
此外,Data Keeper RaaS允許每個會員選擇要加密的文件類型,這意味著不同版本的Data Keeper所加密的文件類型會有所不同。
Data Keeper RaaS默認提供的待加密文件類型(可自定義)
Saturn RaaS與Data Keeper RaaS情形類似,但提供的自定義項目略少一些:
Saturn RaaS的自定義贖金頁面
Saturn RaaS的自定義病毒行為頁面
傳播也有簡便方法——Exploit Kit的使用
與上述兩款勒索病毒不同,GandCrab勒索病毒雖然也通過RaaS提供服務,但卻並不像公眾開放,而是僅侷限於一個相對較小的圈子中使用。
GandCrab RaaS管理後臺登錄界面
網傳的GandCrab RaaS管理後臺數據統計頁面
雖然GandCrab RaaS並沒有對降低勒索病毒的製作技術門檻,但其傳播方式卻提供了一種降低傳播技術門檻的方法——利用現成的漏洞利用套件(Exploit Kit,簡稱EK)來方便自身的傳播。
GandCrab本身便是利用Rig EK通過Flash Player的CVE-2018-4878漏洞進行大規模傳播的。
RIG EK傳播GandCrab流程圖
而新版的GandGrab勒索病毒,又換用了Magnitude EK以圖更好的傳播:
Magnitude EK傳播新版GandGrab流程圖
從傳播的速度來看,較之去年同期開始爆發的Spora勒索病毒而言,合理利用了EK進行自身“推廣”的GandGrab也必然有著明顯的優勢。
鑑於勒索病毒無論是製作還是傳播,其技術門檻都越來越低,這勢必會造成勒索病毒數量的進一步增長甚至是爆發。所以在此需要提醒廣大用戶注意:
1. 對重要的數據進行備份!備份!備份!
2. 小心使用不明來源的文件,陌生郵件及附件也需謹慎打開
3. 安裝安全防護軟件並保持防護開啟狀態
4. 及時安裝Windows漏洞補丁!同時,也請確保一些常用的軟件保持最新版本,特別是Java,Flash和Adobe Reader等程序,其舊版本經常包含可被惡意軟件作者或傳播者利用的安全漏洞。
5. 為電腦設置較強的密碼——尤其是開啟遠程桌面的電腦。並且不要在多個站點重複使用相同的密碼。
目前360解密大師已支持解密超過100種勒索病毒加密的文件:
閱讀更多 辣評科技界 的文章
