中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

WannaCry勒索病毒余波未平，有關(guān)新變種的各種報(bào)道再次刺激了行業(yè)神經(jīng)，而黑客組織“影子經(jīng)紀(jì)人”宣稱將從6月開(kāi)始出售更重磅武器的傳聞，更是讓社會(huì)談毒色變。作為抗擊病毒第一線的親歷者，騰訊反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松對(duì)事件演進(jìn)及影響做了復(fù)盤(pán)。馬勁松表示，從捕獲第一個(gè)樣本到騰訊電腦管家快速上線防御方案，騰訊反病毒實(shí)驗(yàn)室對(duì)該病毒進(jìn)行了全面的分析，不但研究了病毒本身的原理，還研究了其前身，以及關(guān)注其持續(xù)的變種。

在病毒爆發(fā)的96小時(shí)內(nèi)，騰訊安全團(tuán)隊(duì)吹響了抗擊勒索病毒的先鋒號(hào)，并且現(xiàn)在對(duì)病毒變種也提供了完善的處理方案。實(shí)際上，WannaCry勒索病毒的實(shí)際破壞性也不像部分廠商描述的那樣可怕。而關(guān)于部分境外團(tuán)隊(duì)及媒體報(bào)道病毒已經(jīng)發(fā)現(xiàn)新變種，馬勁松表示，騰訊反病毒實(shí)驗(yàn)室確實(shí)也捕獲到了變種樣本，但還沒(méi)有掌握其具備大規(guī)模破壞性的證據(jù)，其中大部分也是利用了微軟公司W(wǎng)indows操作系統(tǒng)的SMB服務(wù)漏洞（MS17-010）進(jìn)行傳播感染，只要用戶安裝騰訊電腦管家，按照電腦管家的提示打補(bǔ)丁，病毒就會(huì)被牢牢的鎖在“門(mén)外”。

馬勁松表示，騰訊安全反病毒實(shí)驗(yàn)室也在跟進(jìn)研究，同時(shí)呼吁行業(yè)在捕獲確切證據(jù)之前，不要過(guò)度渲染新病毒變種的危害，以免給用戶造成不必要的恐慌。

（騰訊反病毒實(shí)驗(yàn)室想哭病毒實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)）

1.技術(shù)分析

勒索病毒近兩年的爆發(fā)，很大程度上與加密算法的日益完善有關(guān)。密碼學(xué)及算法的不斷更新保證了我們?nèi)粘＞W(wǎng)絡(luò)中數(shù)據(jù)傳輸和保存的安全性。遺憾的是，勒索病毒的作者也利用了這個(gè)特性，使得我們雖然知道了木馬的算法，但由于不知道作者使用的密鑰，也就沒(méi)有辦法恢復(fù)被惡意加密的文件。

加密算法通常分為對(duì)稱加密算法和非對(duì)稱加密算法兩大類。這兩類算法在勒索病毒中都被使用過(guò)。

對(duì)稱加密算法的加密和解密使用的是完全相同的密鑰，特點(diǎn)是運(yùn)算速度較快，但是單獨(dú)使用此類算法時(shí)，密鑰必須使用某種方法與服務(wù)器進(jìn)行交換，在這個(gè)過(guò)程中存在被記錄和泄漏的風(fēng)險(xiǎn)。勒索病毒常用的對(duì)稱加密算法包括AES算法和RC4算法。

非對(duì)稱加密算法也被稱為公鑰加密算法，它可以使用公開(kāi)的密鑰對(duì)信息進(jìn)行加密，而只有私鑰的所有者才可以解密，因此只要分發(fā)公鑰并保存好私鑰，就可以保證加密后的數(shù)據(jù)不被破解。與對(duì)稱加密相比，非對(duì)稱加密算法的運(yùn)算速度通常較慢。勒索病毒常用的非對(duì)稱加密算法包括RSA算法和ECC算法。

通常，勒索病毒會(huì)將這兩大類加密算法結(jié)合起來(lái)使用，既可以迅速完成對(duì)整個(gè)電腦大量文件的加密，又能保證作者手中的私鑰不被泄漏。

2.爆發(fā)特點(diǎn)

目前爆發(fā)的勒索病毒大部分具有如下共性特點(diǎn)。

通過(guò)郵件的方式，使用大量的非PE載體進(jìn)行傳播。

使用成熟的、高強(qiáng)度的加密算法。

破壞文件恢復(fù)的一些途徑，例如禁用Windows系統(tǒng)的備份和還原機(jī)制，或者在刪除文件之前向其中寫(xiě)入無(wú)意義數(shù)據(jù)，阻止一些數(shù)據(jù)恢復(fù)軟件從已刪除的扇區(qū)中恢復(fù)文件，進(jìn)一步增加木馬的破壞性，使得用戶不得不支付贖金。

展示的贖金支付說(shuō)明指向Tor等暗網(wǎng)中的頁(yè)面。

要求受害者使用比特幣支付贖金。比特幣的一個(gè)很重要的特點(diǎn)就是它的使用者具有匿名性，通過(guò)比特幣收款地址很難追蹤到對(duì)應(yīng)的擁有者。

家族和歷史

CryptoLocker與CryptoWall

CryptoLocker就算不是最早的勒索病毒，也是較早引起人們關(guān)注的勒索病毒之一了。早在2013年，就有報(bào)道稱其已經(jīng)入侵了超過(guò)25萬(wàn)臺(tái)電腦。很快，在2014年，由美國(guó)司法部、FBI等部門(mén)聯(lián)合發(fā)起的國(guó)際執(zhí)法安全行動(dòng)Operation Tovar（有媒體音譯為托瓦爾行動(dòng)）中，此木馬及其傳播工具被破獲，并且有安全公司拿到了部分解密密鑰，為此前已經(jīng)被加密的受害者提供文件解密服務(wù)。然而這次行動(dòng)并未成為勒索病毒覆滅的喪鐘，相反卻是今后此類木馬愈演愈烈的起點(diǎn)。

CryptoLocker使用隨機(jī)生成的AES密鑰加密文件，然后使用RSA算法加密AES密鑰，這樣能夠提高文件加密的速度。

CTB-Locker

圖1．CTB-Locker木馬敲詐界面

CTB-Locker大概是最早在國(guó)內(nèi)產(chǎn)生反響的勒索病毒。該木馬最早的捕獲時(shí)間可追溯到2014年7月，主要通過(guò)郵件附件傳播，大概在2015年初的時(shí)候，有一部分郵件流入了國(guó)內(nèi)，導(dǎo)致一批受害者被此木馬敲詐，引起了媒體的跟進(jìn)。

最初版本的CTB-Locker木馬加密文件后，會(huì)給文件加上.ctbl的擴(kuò)展名，不過(guò)新版本的木馬已經(jīng)無(wú)此限制。

TeslaCrypt

TeslaCrypt木馬的相關(guān)分析和報(bào)道最早可追溯到2015年2月，木馬最初的目的可能是要對(duì)游戲玩家進(jìn)行敲詐，不過(guò)在后期的更新中，TeslaCrypt也會(huì)對(duì)其它常見(jiàn)的文檔文件進(jìn)行加密。

TeslaCrypt的主要傳播方式是網(wǎng)頁(yè)掛馬傳播，通過(guò)在網(wǎng)頁(yè)中植入惡意構(gòu)造的文件，通過(guò)Flash播放器、pdf閱讀器等各種漏洞，在受害者不知情的情況下下載并執(zhí)行惡意payload，加密其電腦上的文件。

2016年5月的某一天，TeslaCrypt的作者在暗網(wǎng)上宣布停止木馬的開(kāi)發(fā)，并同時(shí)給出了解密文件所需要用到的私鑰。

圖2．TeslaCrypt木馬被停止的網(wǎng)頁(yè)，截圖來(lái)自bleepingcomputer.com

騰訊哈勃分析系統(tǒng)也制作了TeslaCrypt的工具，幫助用戶恢復(fù)被加密的文件。

圖3．騰訊哈勃分析系統(tǒng)制作的TeslaCrypt解密工具

Locky

Locky是2016年2月被捕獲到的一類勒索病毒。Locky會(huì)采用不同的傳播載體，一開(kāi)始依然是使用Office宏執(zhí)行下載代碼，后期的版本會(huì)使用js、wsf等多種類型的腳本文件。同時(shí)，被加密的文件也會(huì)被添加.locky、.zepto、.odin、.thor等多種不同的擴(kuò)展名。

Locky在使用AES加RSA對(duì)文件進(jìn)行加密后，會(huì)根據(jù)操作系統(tǒng)語(yǔ)言的不同，向服務(wù)器請(qǐng)求不同語(yǔ)言的敲詐文本并進(jìn)行展示。值得注意的是，在Locky的敲詐界面上，很快出現(xiàn)了繁體中文和簡(jiǎn)體中文的敲詐內(nèi)容。

圖4．某版本Locky木馬敲詐說(shuō)明，在中文Windows下會(huì)顯示繁體中文內(nèi)容

Petya

圖5．Petya木馬發(fā)作界面

Petya木馬在2016年3月被安全廠商捕獲。與其它勒索病毒不同的是，此木馬首先修改系統(tǒng)MBR引導(dǎo)扇區(qū)，強(qiáng)制重啟后執(zhí)行引導(dǎo)扇區(qū)中的惡意代碼，加密硬盤(pán)數(shù)據(jù)后顯示敲詐信息，是第一個(gè)將敲詐和修改MBR合二為一的惡意木馬。

值得一提的是，早期的Petya木馬在算法的使用上有一些問(wèn)題，可用的密鑰的復(fù)雜度偏低，導(dǎo)致可以通過(guò)暴力破解的辦法枚舉并找到密鑰，并還原被加密的磁盤(pán)。騰訊哈勃分析系統(tǒng)也據(jù)此制作了相關(guān)的解密工具。

圖6．騰訊哈勃分析系統(tǒng)制作的Petya解密工具

Cerber

Cerber也是最近比較常見(jiàn)的一類木馬，以其給加密后的文件添加.cerber*系列后綴而得名。Cerber主要通過(guò)網(wǎng)絡(luò)掛馬傳播，至今已升級(jí)到第五代，作者使用公開(kāi)的黑客工具包能夠覆蓋大量的已知漏洞，通過(guò)滲透網(wǎng)站、投放惡意廣告等方式進(jìn)行掛馬。

圖7．Cerber木馬敲詐界面

四、總結(jié)

通過(guò)以上的分析可以發(fā)現(xiàn)，勒索病毒這兩年的爆發(fā)，與密碼學(xué)、暗網(wǎng)、比特幣等多種技術(shù)的發(fā)展都是密不可分的?！凹夹g(shù)是把雙刃劍”，這句老生常談在此處依然有價(jià)值。技術(shù)被恰當(dāng)?shù)乩?，可以保護(hù)用戶的安全；而到了不法分子手中，也有可能成為受害者面前無(wú)法逾越的高山。

對(duì)于這些勒索病毒，事前的預(yù)防遠(yuǎn)比事后的補(bǔ)救來(lái)得重要。用戶需要養(yǎng)成良好的安全意識(shí)，不隨意打開(kāi)不明來(lái)源的附件或鏈接，也不要隨意下載運(yùn)行小網(wǎng)站和網(wǎng)盤(pán)上分享的電腦軟件或手機(jī)應(yīng)用。日常生活中，建議使用騰訊電腦管家、騰訊手機(jī)管家等安全類產(chǎn)品，實(shí)時(shí)保護(hù)電腦和手機(jī)的安全。遇到不確定的文件，也可以上傳到哈勃分析系統(tǒng)（請(qǐng)戳鏈接）檢查是否安全。