勒索软件真的像您想象的那样恐怖吗?

勒索软件是常见的滋扰。勒索软件感染将您的计算机劫为人质,并要求付费才能释放。在某些情况下,付款无法保护您的文件。个人照片,音乐,电影,作品等被破坏。勒索软件的感染率持续上升-不幸的是,我们还没有达到顶峰-而且其复杂性也在增加。

此规则有很多例外。在某些情况下,安全研究人员已经破解了勒索软件加密。这些事件很少见,通常是在恶意僵尸网络被关闭后才到达的。但是,并非所有勒索软件都像我们想象的那样复杂。

攻击剖析

与某些常见的恶意软件变体不同,勒索软件会尝试尽可能长时间地隐藏。这是为了留出时间来加密您的个人文件。勒索软件旨在为用户保留最大数量的系统资源,以免引起警报。因此,对于许多用户而言,勒索软件感染的第一个迹象是后加密消息,说明发生了什么。

与其他恶意软件相比,勒索软件的感染过程是可以预测的。用户将下载受感染的文件:该文件包含勒索软件有效载荷。执行被感染的文件时,似乎不会立即发生任何事情(取决于感染的类型)。用户仍然不知道勒索软件开始加密其个人文件。

此外,勒索软件攻击还有其他几种不同的行为模式:

  • 不同的勒索软件注意事项。
  • 主机和控制服务器之间的背景数据传输。
  • 文件的熵发生变化。

    • 文件熵可用于识别使用勒索软件加密的文件。罗布·范登布林克(Rob VandenBrink)为互联网风暴中心撰写的文章简要概述了文件的熵和勒索软件:

    在IT行业中,文件的熵是指一种特定的随机性度量,称为“香农熵",以克劳德·香农(Claude Shannon)命名。该值本质上是根据前一个字符(此处为完整详细信息和数学计算)对文件中任何特定字符的可预测性的度量。换句话说,它是对文件中数据“随机性"的一种度量,以1到8的比例进行度量,其中典型的文本文件将具有较低的值,而加密或压缩的文件将具有较高的度量。

    我建议您阅读原始文章,因为它很有趣。

    —马赫怪兽(@osxreverser)2016年4月20日

    与“普通的恶意软件?

    勒索软件和恶意软件有一个共同的目标:保持隐蔽性。如果感染很快被发现,用户将有机会抵抗感染。神奇的词是“加密"。勒索软件因使用加密而臭名昭著,而加密已在恶意软件中使用了很长时间。

    加密有助于恶意软件在防病毒程序的监视下传播通过混淆签名检测。感染没有被忽视,而是看到了可识别的字符串来警告防御屏障,而没有被发现。尽管防病毒套件越来越熟练地注意到这些字符串(通常称为哈希),但是对于许多恶意软件开发人员而言,解决这些问题却微不足道。

    以下是一些更常见的方法混淆:

  • 检测-许多恶意软件变种都可以检测它们是否已在虚拟化环境中使用。这使得恶意软件仅通过拒绝执行或解压缩就可以逃避安全研究人员的注意。反过来,这将停止创建最新的安全签名。
  • 定时-最好的防病毒套件会不断发出警报,以检查是否存在新威胁。不幸的是,常规的防病毒程序无法始终保护系统的各个方面。例如,某些恶意软件将仅在系统重新启动后进行部署,从而逃避(并有可能在进程中禁用)防病毒操作。
  • 通讯-恶意软件将通过电话接收其命令和控制权(C&C)服务器获取说明。并非所有恶意软件都如此。但是,一旦安装了防病毒程序,防病毒程序便可以发现托管C&C服务器已知的特定IP地址,并尝试阻止通信。在这种情况下,恶意软件开发人员只需旋转C&C服务器地址,从而逃避检测。
  • 错误操作-精心制作的伪造程序可能是恶意软件感染的最常见通知之一。不知情的用户会认为这是其操作系统(通常是Windows)的常规部分,因此请严格按照屏幕上的说明进行操作。这些对于不熟练的PC用户来说尤其危险,尽管它们充当友好的前端,但可以允许大量恶意实体访问系统。

    • 此列表并不详尽。但是,它确实涵盖了一些恶意软件用来掩盖PC的最常见方法。

    勒索软件是否简单?

    简单可能是错误的词。勒索软件是不同的。勒索软件变体比其他形式更广泛地使用加密,并且以不同的方式使用。勒索软件感染的作用使其引人注目,并引起先兆:勒索软件令人担忧。

    -Maxime Kozminski(@MaxKozminski)2017年2月20日

    勒索软件使用一些新颖的功能,例如:

  • 加密大量文件。
  • 删除通常允许用户从备份还原的卷影副本。
  • 在远程C&C服务器上创建和存储加密密钥。
  • 要求赎金,通常使用无法追踪的比特币。

    • 传统恶意软件“仅"窃取您的用户凭据勒索软件和密码会直接影响您,从而扰乱您即时的计算环境。此外,其后果非常直观。

    勒索软件的“哇!"因素肯定来自加密的使用。但是,看起来是多么复杂吗? Lastline Labs的联合创始人兼首席架构师Engin Kirda认为不是。他和他的团队(使用Kirda的一名博士生Amin Kharraz进行的研究)完成了一项庞大的勒索软件研究,分析了15个勒索软件家族的1359个样本。他们的分析探索了删除机制,并发现了一些有趣的结果。

    删除机制是什么?数据集中五个最常见的勒索软件系列中约有36%正在删除文件。如果您不付款,则实际上是在删除文件。实际上,大多数删除操作非常简单。

    专业人士将如何做到这一点?他们实际上的目的是擦除磁盘,以使其难以恢复数据。您将覆盖磁盘,然后从磁盘擦除该文件。但是,它们中的大多数当然都是惰性的,它们直接在主文件表条目上工作并将其标记为已删除,但是数据仍保留在磁盘上。

    随后,删除的数据可以可以恢复,并且在许多情况下可以完全恢复。

    另一种经典的勒索软件行为是锁定桌面。这种类型的攻击存在于更基本的变体中。勒索软件没有真正进行加密和删除文件,而是锁定了桌面,迫使用户退出计算机。大多数用户认为这意味着他们的文件已丢失(已加密或完全删除),并且无法恢复。

    勒索软件感染臭名昭著的是显示了赎金记录。通常要求用户付费以安全地返回其文件。除此之外,勒索软件开发人员还会在禁用某些系统功能的同时将用户引导到特定的网页-因此他们无法摆脱页面/图像。这类似于锁定的桌面环境。这并不意味着用户的文件已被加密或删除。

    付款前的思考

    勒索软件感染可能会造成严重破坏。无疑。但是,遭到勒索软件攻击并不意味着您的数据会永远消失。勒索软件开发人员并不都是出色的程序员。如果有一条捷径可立即获得经济利益,则将采取这种措施。出于安全考虑,有些用户会因为直接和直接的威胁而付钱。完全可以理解。

    最佳的勒索软件缓解方法仍然是:定期将文件备份到未联网的驱动器中,保持防病毒套件和Internet浏览器的更新,注意网络钓鱼电子邮件,并明智地进行下载。

    图片来源:andras_csontos通过Shutterstock.com

    标签: