毕尔巴鄂对阵皇家社会:两支近邻球队将于西甲联赛 “巴斯克德比”中为捍卫荣耀而战贝壳第三季度营收226亿元 经调净利润17.8 亿元 同比下降17.46%AI营销,让科技巨头尝到了大模型商业化的甜头安恒信息范渊在乌镇峰会谈AI:以工具视之、以工具用之、以工具治理之诺基亚与微软再合作,为 Azure 数据中心供货延长五年天岳先进发布业界首款 300mm(12 英寸)N 型碳化硅衬底三星介绍内部安全团队 Project Infinity 攻防演练项目,高效修复 Galaxy 手机平板漏洞上海市将推进低空飞行服务管理能力建设,2027 年底前累计划设相应航线不少于 400 条岁末,海尔给您备好一套“小红花”为什么说Q10K Pro是今年最值得入手的电视?看完这几点就明白了!“小墨方·大不凡”!Brother“小墨方”系列彩喷一体机全新上市黄仁勋:AI智能需求强劲,“物理定律”限制英伟达芯片增长诺基亚与微软再合作,为Azure数据中心供货延长五年国家数据局:到2029年基本建成国家数据基础设施主体结构中国已发展成为全球最大的互联网市场,拥有全球最多的网民和移动互联网用户中国铁塔:计划按照10:1的比例合股美国FCC正式划定5.9GHz频段用于C-V2X技术在AI领域奋起直追!苹果要对Siri大革新 2026年正式发布日本机构公布量子专利榜单:本源量子、国盾量子位居全球第1中国联通:拟向华为、中兴展开5G网络设备竞争性谈判采购
  • 首页 > 延展阅读 > 2017归档

    【档案揭秘】腾讯安全反病毒实验室抗击勒索病毒纪实

    2017年05月23日 10:12:17   来源:中文科技资讯

      2017年5月12日,一个名为“WannaCry”的勒索病毒突然在全球范围内大面积肆虐,大量电脑文件遭加密,只有在规定的时间内缴纳赎金,方能破解。备份、杀毒、恢复成了各类科普文和技术贴的高频词汇。

      在勒索病毒爆发之后,腾讯安全反病毒实验室吹响了抗击勒索病毒的号角,一方面保持对勒索病毒及其变种的高度关注;另一方面,基于自身安全实力持续输出深度研究报告,起底WannaCry勒索病毒的传播方式及最新变种,并推出了一整套包含漏洞免疫工具、文档守护者工具、文件恢复工具、勒索病毒专杀工具等在内的处置措施,帮助用户抵御病毒的侵袭。

      与此同时,腾讯安全反病毒实验室还在解密WannaCry勒索病毒上取得重大突破。国外安全专家Adrien Guinet发现,在XP系统的某些条件下,CryptReleaseContext没有清空保存素数的内存。配合病毒生成的00000000.pky公钥文件,通过在内存中搜索满足条件的素数,可以还原出病毒加密AES密钥所用的RSA公私钥的重要参数,进而生成解密所需的00000000.dky私钥文件。根据此思路,腾讯安全反病毒实验室哈勃分析系统在国内率先开发解密工具,并对用户发布。被感染用户在没有重启电脑前提下,通过该工具成功解密的几率极大。

      WannaCry勒索病毒的爆发让很多用户第一次感受到网络病毒的可怕,但事实上,这并不是勒索病毒的首次“作恶”。近几年来,勒索病毒的数量、影响范围、公众感知度等都有了显著的增长。臭名昭著的勒索病毒会借助成熟的算法,对文件进行高强度的加密处理,给受害者带来巨大的损失,时常会有被敲诈不得不支付赎金的新闻见诸报道,高达数万美元的赎金也屡见不鲜。

      腾讯安全反病毒实验室从很早就开始监测此类勒索病毒的动向,研究加密过程中的漏洞,并努力尝试对加密的文件进行破解,为受害者尽量挽回损失,而这些不懈的努力也取得了一些成效。

      除WannaCry勒索病毒之外,在其它勒索病毒事件发生时,哈勃分析系统也曾经发布过多个针对性的解密工具,包括:

      Petya解密工具

      2016年3月,安全厂商发现一种新的敲诈类木马Petya,此木马的特点是首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,这是第一个将敲诈和修改MBR合二为一的恶意木马。

      随后,安全专家Leo Stone指出了Petya加密代码中存在的问题,并给出了解密思路和代码。在其引导下,哈勃分析系统验证了Petya的加密流程,确认了木马在使用变种Salsa20算法的过程中,对算法进行了很多简化,包括多处将DWORD改用WORD,以及将密钥空间限制在54^8的范围之内,并且明文和密文又都是已知的,这就为暴力破解密钥提供了有利的条件。哈勃分析系统公布了研究成果,同时发布了针对Petya的解密工具,此工具需要配合Leo Stone编写的磁盘读取工具一起使用。

      TeslaCrypt解密工具

      TeslaCrypt木马的相关分析和报道最早可追溯到2015年2月,主要传播方式是网页挂马传播,通过在网页中植入恶意构造的文件,通过Flash播放器、pdf阅读器等各种漏洞,在受害者不知情的情况下下载并执行恶意payload,加密其电脑上的文件。

      2016年5月,TeslaCrypt的作者在暗网上宣布停止木马的开发,并同时给出了解密文件所需要用到的私钥。有了私钥之后,根据木马的加密解密流程,可以将木马加密的文件完整还原。ESET等安全公司迅速跟进并制作了TeslaCrypt木马的解密工具。

      腾讯哈勃分析系统也制作了TeslaCrypt的工具,帮助用户恢复被加密的文件。

      手机锁屏木马解密工具

      哈勃分析系统还发现,在安卓系统上常年存在一类锁屏勒索木马,有愈演愈烈的趋势。这些木马大部分是伪装成各类其它应用,例如工具类应用、刷流量等非法应用、色情类应用等,在小型下载网站、网盘、社交网络中进行传播,诱使受害者下载安装。据腾讯手机管家监测数据显示,此类病毒的日感染量超过8万,病毒传播者会向用户收取5到50元不等的解锁费用,每日收取费用高达80万元。

      尤其是最近,有很多木马会使用多种攻击手段进行组合攻击。它们会首先尝试获取手机root权限,然后请求设备管理器权限并设置系统锁屏密码,接下来再显示自己的的敲诈窗口,将该窗口反复强制置顶,使受害者无法正常使用手机的其它功能,同时在置顶对话框中提出敲诈需求和联系方式。这样的组合攻击很容易给受害者带来多重的伤害,即便其通过尝试解决了其中的一个问题,但是剩下的攻击仍然会使得受害者束手无策。

      针对以上情况,哈勃分析系统针对不同手机勒索木马的特性,利用Google官方的调试工具adb的相关功能,先后推出了多个专杀工具,为用户解决不同的勒索木马问题。用户可以前往下载所需的工具。

      除此之外,2017年春节,腾讯电脑管家也针对此类木马推出了v12.2春节尊享版,此版本中新增安卓手机锁屏敲诈木马专杀功能,让用户实现轻松操作快速查杀,突破安卓系统的局限性,彻底解决手机锁屏问题,拒绝做恶意软件傀儡。腾讯电脑管家下载地址

      不断狙杀各类勒索病毒的过程中,腾讯安全反病毒实验室不仅一次又一次突破技术瓶颈,也锤炼出一支联动哈勃分析系统,腾讯电脑管家的一体化、产品化的安全特别行动队——通过腾讯电脑管家自研TAV引擎能力、安全事件运营、哈勃分析平台的“三剑合璧”,进一步对“安全查杀能力、漏洞监测能力及病毒样本分析”提供了全面、系统、一体化的产品运营式的标准化防护,这不仅进一步强化了腾讯安全守护用户的技术实力,也提振了国内用户对抗勒索病毒下一次攻击的信心。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

    [编号: ]
    分享到微信

    即时

    新闻

    明火炊具市场:三季度健康属性贯穿全类目

    奥维云网(AVC)推总数据显示,2024年1-9月明火炊具线上零售额94.2亿元,同比增加3.1%,其中抖音渠道表现优异,同比有14%的涨幅,传统电商略有下滑,同比降低2.3%。

    企业IT

    重庆创新公积金应用,“区块链+政务服务”显成效

    “以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。

    3C消费

    华硕ProArt创艺27 Pro PA279CRV显示器,高能实力,创

    华硕ProArt创艺27 Pro PA279CRV显示器,凭借其优秀的性能配置和精准的色彩呈现能力,为您的创作工作带来实质性的帮助,双十一期间低至2799元,性价比很高,简直是创作者们的首选。

    研究

    中国信通院罗松:深度解读《工业互联网标识解析体系

    9月14日,2024全球工业互联网大会——工业互联网标识解析专题论坛在沈阳成功举办。