开发者社区> boxti> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

勒索木马也有山寨货?细数那些演砸了的黑客魔术

简介:
+关注继续查看
    
  最近,勒索木马经常占据头条,因为黑客们经常玩出奇异的姿势。例如:
  • 用木马锁住了美国东西海岸的数家大医院的系统,让数万病人的资料和数千万美元的医疗设施处于“封印状态”。

  • 搞瘫了教堂的电脑系统,让虔诚的信众无法愉快地礼拜。逼七十多岁的老牧师学着用地下网络给敲诈者汇款。

  • 供水供电局的员工不小心打开了一个勒索木马,导致其紧急关停了部分网络服务。

作为一个没有道德下限的行当,网络勒索不断集成各种卑劣的技巧。

例如伪装成求职者给公司人力部门发邮件,或者伪装成一个有用的小工具欺骗用户下载。一旦被安装,往往会锁定你的重要文件,然后弹出一个吓人的勒索界面索要赎金,并且配有半个屏幕大小的倒计时时钟。一旦你没有在规定时间内付款,就会把赎金翻倍。例如TeslaCrypt、Locky或者随后出现的变种木马 CTBLocker 和 Filecoder.DG

科技的进步,让勒索的门槛创了新低。看到“老司机”风卷残云般地“挣钱”,很多新手黑客也跃跃欲试,“自主研发”勒索木马。然而,勒索木马需要很强的加密技巧,新手打造的“良莠不齐”的木马经常在安全人员的面前土崩瓦解,让这些人颜面扫地。

最近,著名安全公司 ESET 分享了三个“渣版”勒索木马。理论上来说,如果你被这种木马锁定之后,请不要惊慌,你不用付一分钱就可以拿回心爱的文件,一袋烟的功夫就可以恢复往日的生活。

下面有请三位登场。

偷懒的木马——Petya

勒索木马也有山寨货?细数那些演砸了的黑客魔术

【Petya】

Petya,最初被安全公司趋势科技发现。它的标志就是“死亡红屏”。在成功渗透进入 Windows 系统之后,木马会强迫用户重启电脑。而重启之后,电脑就再也进入不了 Windows 了,而是会自动加载一个勒索页面,向受害者索要 0.99 比特币的赎金。

然而,这个时候如果急于支付赎金,就太冤了。

经过分析,安全人员发现了这个木马是由“偷懒的黑客”设计的。它虽然看起来凶恶得无以复加,但实际上只修改了系统的引导记录以及加密了主文件表(主文件表是一个描述所有文件体积、位置和目录结构的东东)。而真正的文件还原封不动地躺在磁盘里。

不得不说,这种提纲挈领,打蛇打七寸的方法还是很有想象力的。客观来说,如果主文件表损坏,想要恢复起来确实要花很大的力气。然而,偷懒的黑客在这里犯了一个致命的错误,留下了一个硕大无朋的逻辑漏洞。这使得安全研究员可以轻松地看到他的加密方法,从而开发出一个简单的解锁工具。由于只需要恢复主文件表,所以这个解锁工具非常轻量级,目前已经能够在网上下载到免费的版本。

这个故事告诉我们,偷懒是天才的专利。一般人还是信奉勤能补拙就好。

过于注重形式的电锯惊魂——Jigsaw

勒索木马也有山寨货?细数那些演砸了的黑客魔术

Jigsaw】

Jigsaw,翻译成中文就是电锯惊魂。制造他的黑客应该是个电锯迷。不得不说,Jigsaw的用户体验非常完美:

中招之后屏幕上会出现一个经典的面具——电锯惊魂。在左上角辅以骇客帝国版本的文字:“I want to play a game...”

这个游戏的玩法是:

用户必须在一个小时之内支付赎金,否则就会自动删除一个用户的文件。以此类推,每过一个小时,木马都会“撕票”一个文件。只是这样还不够刺激,如果你试图逃离游戏——例如重启电脑神马的——黑客会立刻删掉1000个文件以示惩戒。

勒索木马也有山寨货?细数那些演砸了的黑客魔术

勒索木马也有山寨货?细数那些演砸了的黑客魔术

怎么样?这种兼顾趣味性和勒索功能的木马还真是少见呢。然而,也许是过于注重 UI 的设计,黑客并没有在加密算法方面发力。具体表现在:木马对于它的所有受害者都采用了同意的静态密钥。简单来说,就是用一把钥匙就可以打开所有的锁。

这大概相当于一个非常刺激的密室逃脱,设计了无数精巧的机关。然而最有效的逃脱方式还是——踹门。

雷锋网(公众号:雷锋网)建议这个木马的作者去做游戏开发,也许还能赚得多一点。

东施效颦的山寨货——Autolocky

之前提到,Locky 在勒索界是泰斗级的木马。于是有黑客相信:向经典致敬的最佳方法就是抄袭。Autolocky 就是山寨版的 Locky,它对于 Locky 的模仿可谓达到了登峰造极的地步:

  • 从名字上来看,Autolocky 似乎是 Locky 的“加强版”;

  • Autolocky 在目标文件的选择上和 Locky 完全相同;

  • 连锁定之后的扩展名都采用了和原版一模一样的“.locky”,看起来就是这么专业。

但是,山寨之所以被称为山寨,就是没有掌握“核心科技”,所以他们的宿命往往是:在现实面前遭遇可耻的失败。

Autolocky 费劲心机地生成了一个密钥,却迫于渣到爆的编码水平,把密钥用 IE 明文回传到黑客的服务器上。而黑客可能忘记了,IE 对于数据传输是有历史记录的。

所以安全研究员只要翻翻历史记录,就可以轻易地找到这个密钥。不用麻烦黑客就得到了解锁密码。得知这个“秘密”之后,制作解锁工具甚至不需要五分钟。

勒索木马也有山寨货?细数那些演砸了的黑客魔术

勒索木马就像是一个个黑客魔术。然而并不是每个魔术师都是刘谦,对于要面子的黑客来说,勒索这种拼脑力的“技术活”如果演砸了,还是很丢人的。

不可否认,如果没有安全人员为你拔下底裤,这些木马还是有很大杀伤力的。然而每一个魔术被揭穿之后,就是这么无聊和不堪。中了这些可爱的黑客研究的良莠不齐的黑客,也算是不幸之中的万幸吧。

 
  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
从“盗版”说开去
发行了几年的共享软件“VB源码之友”终于被盗版了,虽然共享软件没有给我带来让人羡慕的财富,但是这几年来也有不少的正版用户群在默默的支持着我继续推出我的软件产品。
184 0
下载站行业乱象:流氓软件和电脑病毒重灾区
本文讲的是下载站行业乱象:流氓软件和电脑病毒重灾区,火绒实验室通过长期研究和跟踪发现,下载网站已经成为目前PC互联网安全威胁的重灾区,不光各种侵害用户权益的事情普遍存在,同时也是电脑病毒的重要传播源头。令人费解的是,这些侵权行为不单单存在某几个下载站,而是目前所有主流下载站的普遍行为。
1842 0
这个小伙因WannaCry勒索软件一夜成名,获得一年免费披萨
本文讲的是这个小伙因WannaCry勒索软件一夜成名,获得一年免费披萨,近日,全球近百个国家和地区遭受WannaCry勒索软件攻击,英国公共卫生体系、法国第二大汽车制造商雷诺集团等均受波及。
1160 0
端午小长假谨防挂马网站 病毒模仿杀软骗取钱财
随着端午小长假的临近,上网人数增加,这段时间的挂马网站和木马病毒都有肆虐的趋势。5月25日,瑞星“云安全”系统就从截获的挂马网站中,发现了一个冒充杀毒软件、企图骗取钱财的广告软件病毒,并命名为“WINPC 广告病毒(Adware.Win32.Agent.Dbj)”。
856 0
卡巴提醒:新型魔兽盗号木马现身 玩家须小心提防
《魔兽世界》作为全球第一大网络游戏,吸引了大批玩家,自然也成为恶意程序攻击的重点对象。针对魔兽的盗号木马、后门程序等一直层出不穷。 卡巴斯基实验室近期检测到一种名为“魔兽猎手”的盗号木马(Trojan-GameThief.Win32.WOW.inn)肆虐网络,造成不少玩家感染,损失惨重。
731 0
反病毒专家:愚人节恶搞网站谨防遭黑客攻击
金山毒霸云安全中心日前发出预警,在近期拦截的大量“挂马”、钓鱼等恶意网页中,与“愚人节”相关的,在近一周数量急剧增加。  愚人节怎么整人好玩?近期许多恶搞网站、相关的网络论坛的流量不断攀升。金山毒霸云安全中心日前发布病毒预警提醒广大网友,恶搞他人的同时,小心成为黑客手中的“肉鸡”,被任意摆弄。
1083 0
3.15曝光“山寨”杀毒软件“杀毒三宗罪”
“山寨”版杀毒软件,不同于其他山寨手机等产品。对于山寨手机,除了需要用户忍受哇哇叫的刺耳铃声,最起码山寨手机在通讯及其他娱乐商务功能上,都可以满足用户需求,不会在产品功效上严重侵犯消费者权益。 而山寨杀软的威胁之处在于,消费者花费了同样的价钱,却得不到相同价值的产品质量保障。
727 0
+关注
boxti
12535
文章
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
打击网络黑产浅见分享
立即下载
比特币谣言粉碎机: 技术的乌托邦还是商业的潘多拉魔盒?
立即下载
地产界的“苹果”是怎样炼成的
立即下载