疫情還未結束,黑客紛紛復工。前有利用“冠狀病毒”熱詞攻擊外貿航運的間諜木馬盜取信息,後有利用論壇傳播的”已鎖定“勒索病毒興風作浪,非常時期的網絡安全隱患逐漸浮出水面,網絡犯罪日漸飆升,這個2020年註定不凡。
近日,360安全大腦監測到“已鎖定”勒索病毒再度更新。作為2020年國產勒索病毒的“新星”,該病毒在2020年1月就曾被360安全大腦捕獲解密,其加密用戶文件後會修改後綴名為“已鎖定”,彼時感染了數千用戶。如今,不足月餘的時間,它便攜新版本捲土重來。
“已鎖定”勒索病毒捲土重來
更新變種暗藏巨大危機
圍繞傳播渠道、加密算法等攻擊方式,360安全大腦深度分析了這兩個版本的“已鎖定”勒索病毒。種種跡象表明,V2版本的“已鎖定”經過一輪升級更新之後,攻擊爪牙愈發尖利,正在伺機發起更大規模的勒索病毒攻擊風暴。
在上一版本中,“已鎖定”勒索病毒主要採用網絡代理工具、高鐵採集器廣告傳播,而在本次更新中,它轉而將用戶覆蓋面更廣的論壇廣告作為其主要的擴散陣地,這無疑大大提升了病毒的擴散速度。
更為重要的是,“已鎖定”勒索病毒除了在傳播方式上略有變化之外,在加密算法上也進行了優化。此前它主要採用文件大小作為加密KEY,而在V2版本中,“已鎖定”雖然仍然只對文件前4KB進行加密,但卻使用了更為複雜的密鑰生成算法,使用的KEY也做了很大的修改。
如下圖所示,病毒作者在勒索病毒程序請求服務器列表的時候就已經帶上了留給中招用戶的勒索贖金提示文字。同時,已鎖定勒索病毒還會通過獲取中招設備的機器碼,生成一個“MAC“信息,和生成的密鑰一併POST回服務器。所以一般來講,受害者聯繫黑客之後,病毒作者可以通過機器碼識別到具體的中招用戶以及文件加密密鑰。
生成隨機密鑰後回傳到服務器
更有意思的是,此前“已鎖定“勒索病毒主要通過連接雲端數據庫來決定是否執行加密代碼,而在本次更新中,攻擊者為方便控制本次病毒的潛伏期,會設定程序啟動後每20分鐘發起一次請求,查詢是否需要加密。這樣一來,中招用戶便難以察覺到機器中招的根本原因。
抗疫非常時期,
何為勒索病毒防禦特效藥?
近年來隨著數字化的不斷普及,各行各業的業務連續性也跟數據安全直接畫上了等號,由此而引發的勒索病毒攻擊也越演愈烈,“已鎖定”勒索病毒便是這座灰黑產業大山的縮影。尤其當下疫情防控工作正進行到關鍵時刻,一旦醫療機構及復工企業遭遇勒索病毒攻擊,後果不堪設想。
作為國內最大的網絡安全公司,360發揮自身的強大優勢,在勒索病毒防治領域深耕多年,重磅推出了系列應對舉措,且已取得了顯著成效。
其中之一的勒索病毒解密工具-360解密大師,已成功實現三百餘種勒索病毒及其最新變種的解密,GandCrab(“俠盜”勒索病毒)、Jsworm、x3m等悉數在內。
自“已鎖定“勒索病毒面世以來,360安全大腦嚴密監測其攻擊動向。在其數個版本的更新中,360解密大師均極速響應,完美實現對“已鎖定“勒索病毒全系解密,中招用戶可在360安全衛士中找到“功能大全”,搜索安裝“360解密大師”功能,點擊"立即掃描"恢復被加密文件。
此外,當下復工在即,為避免該勒索病毒攻擊的趨勢進一步蔓延,360安全大腦建議廣大用戶做好以下防禦措施,保護電腦隱私及財產安全:
1、下載安裝360安全衛士,並保證開啟,攔截各類病毒木馬攻擊;
2、對於安全軟件提示病毒的工具,切勿輕易添加信任或退出安全軟件運行;
3、一旦中招勒索病毒,切記不要輕易向病毒作者支付贖金,可前往lesuobingdu.360.cn根據提示操作,查詢識別瞭解病毒詳情,並使用360解密大師恢復被加密文件。
閱讀更多 360安全衛士 的文章
