勒索病毒,今年無(wú)疑將再次登上年度網(wǎng)絡(luò)安全熱詞Top10榜單,細(xì)數(shù)近兩年來(lái)勒索病毒的罪狀,堪稱罄竹難書(shū)。就連國(guó)內(nèi)頂級(jí)互聯(lián)網(wǎng)公司,提起花樣繁多的勒索病毒來(lái)也十分頭疼。12月初,“微信勒索病毒”、“支付寶勒索病毒”甫一開(kāi)始傳播,就嚇得微信和支付寶立馬跑出來(lái)發(fā)聲明撇清關(guān)系。在年末各國(guó)發(fā)布的網(wǎng)絡(luò)安全白皮書(shū)中也都提到,2019年勒索病毒仍然是重災(zāi)區(qū)。面對(duì)如蝗蟲(chóng)一般不斷來(lái)襲的勒索病毒,難道真的只能退避三舍?

從“WannaCry勒索病毒”到“微信勒索病毒”,勒索病毒為何一發(fā)不可收拾?

細(xì)究勒索病毒歷史,最早的勒索病毒出現(xiàn)在1989年,名為“AIDSTrojan”意為艾滋病特洛伊木馬,象征一旦感染了這個(gè)木馬病毒,就如同艾滋病一般幾乎無(wú)法治愈。艾滋病特洛伊木馬采用加密文件或是進(jìn)一步威脅公開(kāi)用戶隱私等方式,惡意利用代碼干擾計(jì)算機(jī)正常使用,而繳納贖金是唯一擺脫它的方式。綁架勒索,賺取贖金向來(lái)是社會(huì)惡勢(shì)力分子常用手段,而在互聯(lián)網(wǎng)世界中,勒索病毒更是無(wú)往不利。但是歸根結(jié)底,勒索病毒只能點(diǎn)對(duì)點(diǎn)的攻擊單個(gè)目標(biāo)計(jì)算機(jī),并未造成大范圍影響。

但勒索病毒真正肆虐則是在2017年,一個(gè)名為“TheShadowBrokers”的黑客組織入侵了美國(guó)NSA下屬的方程式黑客組織后,公開(kāi)了方程式組織的大量攻擊工具的開(kāi)源文件,其中就包含了一個(gè)超級(jí)大殺器——號(hào)稱可以遠(yuǎn)程攻破全球約70%Windows機(jī)器的漏洞利用工具永恒之藍(lán)(EternalBlue)。永恒之藍(lán)是疑似美國(guó)NSA針對(duì)CVE-2017-(0143~0148)數(shù)個(gè)漏洞開(kāi)發(fā)的漏洞利用工具,可以通過(guò)利用WindowsSMB協(xié)議的漏洞來(lái)遠(yuǎn)程執(zhí)行代碼,并提升自身至系統(tǒng)權(quán)限。

勒索病毒加密原理

在永恒之藍(lán)的輔助下,只要一個(gè)人不小心打開(kāi)了包含勒索病毒的文件或是網(wǎng)站,勒索病毒就會(huì)迅速感染他的電腦,進(jìn)而通過(guò)永恒之藍(lán)入侵并感染與之有關(guān)的所有電腦,WannaCry病毒就此大規(guī)模爆發(fā)了。據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,在短短數(shù)天內(nèi),100多個(gè)國(guó)家和地區(qū)超過(guò)10萬(wàn)臺(tái)電腦遭到了勒索病毒攻擊、感染,W至少150個(gè)國(guó)家、30萬(wàn)名用戶中招,造成損失達(dá)80億美元,造成的社會(huì)影響巨大。

除了做好防范措施外,勒索病毒幾乎無(wú)解

在勒索病毒大規(guī)模爆發(fā)之后,除了建議用戶備份數(shù)據(jù)及時(shí)打補(bǔ)丁、關(guān)閉能夠感染病毒的端口,以及幫助用戶修復(fù)永恒之藍(lán)系統(tǒng)漏洞外,全球眾多的安全廠商至今還未能拿出能夠行之有效的破解該勒索軟件的方案。用戶主機(jī)一旦被勒索軟件滲透,只能通過(guò)重裝操作系統(tǒng)的方式來(lái)解除勒索行為,但用戶重要數(shù)據(jù)文件幾乎毫無(wú)恢復(fù)的可能。

此后,包括Genasom、Foreign、NotPetya、Doublelocker在內(nèi)的種類繁多的勒索軟件競(jìng)相花式登臺(tái),將用戶的電腦按在地面上反復(fù)摩擦。但同樣的一點(diǎn)是,安全業(yè)內(nèi)對(duì)這些勒索軟件除了幫助用戶修復(fù)可能存在的安全漏洞以外,對(duì)勒索病毒本身仍然無(wú)計(jì)可施。

Petya勒索病毒勒索界面

難道勒索病毒就真的所向披靡通殺四方?斯福賽特:我看未必!

咋勒索病毒四處攻城略地時(shí),國(guó)內(nèi)外眾多安全廠商和安全團(tuán)隊(duì)也都著手對(duì)勒索病毒展開(kāi)了研究?？梢哉f(shuō)誰(shuí)能夠率先破解勒索病毒,誰(shuí)就能夠贏得用戶的熱情擁躉,獲得極高的聲望。而曾經(jīng)多次為微軟、蘋(píng)果、Adobe、BAT等知名廠商提交漏洞的斯福賽特也在對(duì)勒索病毒保持著密切的關(guān)注。

2018年下半年,一個(gè)名為撒旦“Satan”的勒索病毒異?；钴S,曾多次更新并衍生出變種勒索病毒,對(duì)國(guó)內(nèi)部分服務(wù)器進(jìn)行攻擊。12月1日,一種名為lucky的勒索病毒大肆傳播,該病毒會(huì)將指定文件加密并修改后綴名為.lucky。

Lucky勒索病毒勒索界面

斯福賽特的煉妖壺蜜罐系統(tǒng)最早于2018年11月10日就捕捉到該勒索病毒的相關(guān)流量,截止到2018年12月04日,該病毒的CNC服務(wù)器依然存活。根據(jù)分析的結(jié)果得知,lucky勒索病毒幾乎就是Satan勒索病毒,整體結(jié)構(gòu)并沒(méi)有太大改變,包括CNC服務(wù)器也沒(méi)有更改。Satan病毒一度變遷:最開(kāi)始的勒索獲利的方式變?yōu)橥诘V獲利的方式,而新版本的lucky勒索病毒結(jié)合了勒索和挖礦。

lucky勒索病毒的整體結(jié)構(gòu)圖

在了解該勒索病毒的相關(guān)細(xì)節(jié)后,斯福賽特迅速跟進(jìn)并分析了該勒索病毒。在分析該病毒的加密模塊時(shí),斯福賽特意外發(fā)現(xiàn)可以利用偽隨機(jī)數(shù)的特性還原加密密鑰,順藤摸瓜找到了該病毒的漏洞,經(jīng)過(guò)多次驗(yàn)證,確認(rèn)了該漏洞能夠幫助用戶直接獲取密鑰。而后,斯福賽特對(duì)lucky勒索病毒進(jìn)行了概要分析,并著重解析了加密流程以及還原密鑰的過(guò)程。

目前斯福賽特已經(jīng)將解密方法轉(zhuǎn)換為了解密工具,并已發(fā)送給其他廠商幫助用戶直接破解lucky的勒索病毒。不幸感染lucky勒索病毒的用戶可以通過(guò)各廠商發(fā)布的解密工具自行破解,如有需要也可聯(lián)系斯福賽特尋求協(xié)助。斯福賽特提醒,勒索病毒依然在肆掠,用戶應(yīng)該對(duì)此保持警惕,雖然lucky勒索病毒在加密環(huán)節(jié)出現(xiàn)了漏洞,但仍然應(yīng)該避免這種情況;針對(duì)lucky勒索病毒利用多個(gè)應(yīng)用程序的漏洞進(jìn)行傳播的特性,各運(yùn)維人員應(yīng)該及時(shí)對(duì)應(yīng)用程序打上補(bǔ)丁并及時(shí)備份。

斯福賽特副總監(jiān)隋剛表示,雖然勒索病毒都會(huì)采用加密文件的方式達(dá)到勒索的目的,但是由于各個(gè)勒索病毒的加密算法并不一樣,其他的勒索病毒加密方式還有待破解。不過(guò),此次能夠破解lucky勒索病毒是一個(gè)具有開(kāi)創(chuàng)性的開(kāi)端,接下來(lái)可以更好的總結(jié)思路,舉一反三研究其他勒索軟件的加密方式,解決“勒索病毒無(wú)解”這個(gè)難題。對(duì)普通用戶如何應(yīng)對(duì)勒索病毒的問(wèn)題,隋剛表示,勒索病毒是一個(gè)完整的程序,會(huì)隨機(jī)產(chǎn)生加密密鑰,密鑰可能還保存在內(nèi)存當(dāng)中。這時(shí)盡量不要慌張而嘗試重啟電腦,重啟電腦會(huì)清空可能存在于內(nèi)存中的加密密鑰,對(duì)進(jìn)一步的分析獲取勒索病毒密鑰造成困難。

1、斯福賽特安全解決方案背景

 1.1 斯福賽特系統(tǒng)列產(chǎn)品解決了“人禍”問(wèn)題

     計(jì)算機(jī)信息系統(tǒng)經(jīng)過(guò)幾十年的迅猛發(fā)展，在運(yùn)算速度上呈現(xiàn)幾百上千倍的提升；網(wǎng)絡(luò)帶寬由當(dāng)初的幾十k發(fā)展到現(xiàn)在的千兆光纖入戶企業(yè)萬(wàn)兆接入；服務(wù)器內(nèi)存由640K到TB級(jí)別；硬盤(pán)容量有MB發(fā)展到PB由單一的硬盤(pán)發(fā)展到存儲(chǔ)柜云存儲(chǔ)；體積從龐大笨重到輕巧便攜；網(wǎng)絡(luò)接入由網(wǎng)線、wifi、移動(dòng)信號(hào)3G、4G、5G并且近來(lái)無(wú)線帶寬甚至趕超有線速率；計(jì)算機(jī)應(yīng)用也從軍事、國(guó)防，延伸到交通、能源、教育、金融、電子商務(wù)、衛(wèi)生醫(yī)療、政務(wù)等整個(gè)社會(huì)各個(gè)領(lǐng)域。自電腦問(wèn)世以來(lái)惡意程序、病毒影響一直存在并且愈演愈烈，時(shí)刻威脅著計(jì)算機(jī)運(yùn)行安全，隨著網(wǎng)絡(luò)的普及和發(fā)展為病毒通過(guò)網(wǎng)絡(luò)進(jìn)行傳播插上了翅膀，猶如打開(kāi)了潘多拉的盒子，威脅著互聯(lián)網(wǎng)上所有接入設(shè)備和服務(wù)。病毒一旦發(fā)作將會(huì)對(duì)信息系統(tǒng)的運(yùn)行、正常社會(huì)秩序、國(guó)家安全、工業(yè)生產(chǎn)、金融安全、科研資料帶來(lái)不可估量的損失。2017年的想哭病毒事件中癱瘓了醫(yī)療、石油、教育系統(tǒng)、航運(yùn)、航空秩序。特別是隨著比特幣為代表的數(shù)字貨幣的誕生由于其不可追溯性以及具有經(jīng)濟(jì)價(jià)值，以牟利為目標(biāo)的勒索病毒事件愈演愈烈。2017年后勒索病毒把勒索對(duì)象瞄準(zhǔn)了生產(chǎn)貿(mào)易企業(yè)、醫(yī)療系統(tǒng)、科研機(jī)構(gòu)、甚至政府、以及關(guān)鍵基礎(chǔ)設(shè)施等高價(jià)值目標(biāo)。對(duì)受害目標(biāo)的業(yè)務(wù)運(yùn)轉(zhuǎn)、社會(huì)影響、帶來(lái)經(jīng)濟(jì)上和聲譽(yù)的雙重打擊甚至導(dǎo)致永遠(yuǎn)不可逆的不可估量的損失。

基于以上客觀背景以及市場(chǎng)迫切需求我公司投入巨資經(jīng)過(guò)數(shù)年研發(fā)打磨出了斯福賽特系列產(chǎn)品及服務(wù)。從根本上最大可能的消除了包括勒索病毒在內(nèi)的電腦病毒對(duì)計(jì)算機(jī)信息系統(tǒng)的威脅。斯福賽特產(chǎn)品具有革命性、創(chuàng)新性、易用性。真正實(shí)現(xiàn)了對(duì)計(jì)算機(jī)病毒的可防、可控。

人是系統(tǒng)中最不穩(wěn)定的一環(huán)，人的各種活動(dòng)容易受到外屆環(huán)境的干擾，心情好壞、身體狀態(tài)、溫度、噪音、情緒狀態(tài)、外界環(huán)境、熟練度、經(jīng)驗(yàn)?zāi)芰Φ榷紩?huì)對(duì)操作造成影響。計(jì)算機(jī)畢竟還是機(jī)器還是由人操作。

斯福賽特產(chǎn)品創(chuàng)新性的消除了由人導(dǎo)致的誤操作以及惡意操作操作帶來(lái)的不可逆的影響

2、斯福賽特產(chǎn)品服務(wù)解決什么問(wèn)題

2.1  中病毒所有程序文件被病毒破壞

     計(jì)算機(jī)中病毒后，操作系統(tǒng)被被病毒感染，程序和文件被破壞導(dǎo)致的問(wèn)題，我們軟件均可以恢復(fù)正常。

2.2  對(duì)文件進(jìn)行不可逆操作

     對(duì)文檔進(jìn)行修改后進(jìn)行保存覆蓋，被覆蓋的文件內(nèi)容都能找回。

2.3  磁盤(pán)底層操作災(zāi)難可逆

     用磁盤(pán)工具對(duì)磁盤(pán)區(qū)域進(jìn)行扇區(qū)清零、低級(jí)格式化、文件粉碎多次以后數(shù)據(jù)依然被找回。

2.4  數(shù)據(jù)庫(kù)誤操作

     將數(shù)據(jù)庫(kù)進(jìn)行還原覆蓋、刪除表、刪除庫(kù)、更新字段。被刪除的庫(kù)、被還原的數(shù)據(jù)庫(kù)、被刪除的表、被更新的字段都可以找回。

2.5  白名單

     內(nèi)核級(jí)別進(jìn)程、連接庫(kù)白名單，將惡意程序拒之門外，目前國(guó)內(nèi)最強(qiáng)的進(jìn)程管控。

2.6  軌跡回放取證

          最近N天甚至數(shù)月的運(yùn)行軌跡均可進(jìn)行回放，管理員得到授權(quán)后可以對(duì)N天內(nèi)的數(shù)據(jù)進(jìn)行任意調(diào)閱，取證高可靠 不能被篡改。

3、斯福賽特產(chǎn)品有什么優(yōu)勢(shì)

3.1 革命性

    從來(lái)沒(méi)有一個(gè)產(chǎn)品可以讓計(jì)算機(jī)按照運(yùn)行軌跡使整個(gè)操作系統(tǒng)進(jìn)行任意時(shí)刻數(shù)據(jù)隨時(shí)調(diào)閱。

3.2 顛覆性

    顛覆了傳統(tǒng)安全防護(hù)被突破后任人魚(yú)肉的現(xiàn)狀。使整個(gè)操作系統(tǒng)的安全防線加長(zhǎng)，使多種攻擊帶來(lái)的影響被直接消除！

3.3 具有微軟授權(quán)證書(shū)

    UEFI證書(shū)中國(guó)唯一一家企業(yè)具備得到微軟的認(rèn)可與intel同級(jí)擁有。

3.4 通過(guò)科技部創(chuàng)新認(rèn)證

    產(chǎn)品的創(chuàng)新性被中國(guó)科技部高度評(píng)價(jià)創(chuàng)新性經(jīng)過(guò)了科技部的認(rèn)證！

3.5 客戶群體多 認(rèn)可度高

    在黨政軍、央企、科研院所、企業(yè)具有廣泛應(yīng)用。國(guó)內(nèi)超過(guò)100000臺(tái)次安裝部署。

4、關(guān)于斯福賽特團(tuán)隊(duì)介紹

     斯福賽特運(yùn)營(yíng)團(tuán)隊(duì)在2018年成立，在北京、上海、深圳設(shè)立研發(fā)分中心，其中北京研發(fā)中心600余人，客服中心100人，技術(shù)工程師300余人。在上海、南京、成都、武漢、長(zhǎng)沙、西安、杭州、石家莊、濟(jì)南、南寧、貴陽(yáng)建立辦事處。斯福賽特目前擁有斯福賽特時(shí)光機(jī)、工業(yè)災(zāi)備硬盤(pán)、超級(jí)端口、超級(jí)白名單、災(zāi)備中心團(tuán)隊(duì)精一事，專注做好防勒索病毒，促進(jìn)了工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)連續(xù)性目前在醫(yī)療、教育、能源、軍工、云計(jì)算、貿(mào)易、生產(chǎn)領(lǐng)域服務(wù)器裝機(jī)量達(dá)到100000臺(tái)次。每年抵御勒索事件3000例以上。為客戶挽回停工等經(jīng)濟(jì)損失大于20億。

5、勒索病毒解密業(yè)務(wù)中了病毒安心交給我們

 5.1 公司2020年上線勒索病毒解密業(yè)務(wù)

     公司于2020年上線解密業(yè)務(wù)，公司拿出2億元作為資金池協(xié)助客戶解決勒索軟件問(wèn)題，助力勒索病毒溯源加固客戶網(wǎng)絡(luò)。公司與深信服、綠盟、卡巴斯基、天融信達(dá)成戰(zhàn)略合作威脅情報(bào)共享，如果企業(yè)用戶在沒(méi)有安裝斯福賽特產(chǎn)品的情況下被黑客勒索了，我們公司通過(guò)技術(shù)手段資金手段，將協(xié)助客戶解決解決服務(wù)器被勒索的問(wèn)題。并贈(zèng)送客戶一套斯福賽特安全軟件。

網(wǎng)絡(luò)安全就是國(guó)家安全網(wǎng)絡(luò)安全需要你我的共同守護(hù)。預(yù)防勒索病毒您需要一套斯福賽特產(chǎn)品，如果沒(méi)有安裝斯福賽特產(chǎn)品不幸中了勒索病毒，如果企業(yè)資金或者及時(shí)能力有限，聯(lián)系我斯福賽特用我們資金池協(xié)助您解決。