欢迎来到天天文库
浏览记录
ID:56482375
大小:631.13 KB
页数:9页
时间:2020-06-24
《勒索病毒深度分析报告.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、“勒索病毒”深度分析报告火绒博锐(北京)科技有限公司RANSOMWAREHUORONGBORUI(BEIJING)TECHNOLOGYCO.,LTD.目录1.概述.........................................................................................................................................32.病毒的传播..................................
2、...........................................................................................43.预防和查杀.............................................................................................................................54.案例分析.............................
3、....................................................................................................5附录.................................................................................................................................................9RANSOMWAREH
4、UORONGBORUI(BEIJING)TECHNOLOGYCO.,LTD.1.概述纵观2015年各家安全厂商的报告,“勒索病毒”频繁被提及。从2013年下半年的CryptoLocker病毒,到最近活跃的Tescrypt病毒。“勒索病毒”正在快速迭代并迅速传播,随着互联网的发展和成熟,病毒的地域化差距被拉近,“外来”病毒在国内产生的安全事件日渐频仍。“勒索病毒”的泛滥,主要基于以下几点原因:1)从用户角度上来说,数据的价值越来越重要,“勒索病毒”可以直击用户痛点,相比其他病毒有更加暴力的“盈利”方式;2)从病毒制造
5、者角度来看,高强度加密算法随手可得,病毒编写门槛极低;3)病毒产业的黑色“生态链”完善,勒索事件频发的背后,依靠的都一套完整的原始病毒制造、病毒批量变形、病毒传播、最终变现的黑色“生态链”。随着病毒制造门槛的降低、代码变形和混淆技术的成熟、病毒传播手段的丰富、变现模式的“优化”(例如:虚拟货币的出现),此类安全问题仍会持续上演。原始病毒制造变现病毒批量变形(流量劫持、勒索等)(通过病毒混淆器)病毒传播图1、病毒产业的黑色“生态链”RANSOMWAREHUORONGBORUI(BEIJING)TECHNOLOGYCO
6、.,LTD.2.病毒的传播[1]病毒制造者通过病毒混淆器(Obfuscator),在云端服务器批量生成病毒的不同变种,并通过以下手段进行传播:1)漏洞类传播a.通过操作系统、浏览器或其第三方应用程序的漏洞进行传播并激活;2)诱骗类传播a.伪装成流行应用或者与其他恶意软件捆绑打包,欺骗用户运行激活病毒;b.通过聊天软件发送,并有针对性地通过诱导性的文件名诱骗接收者运行激活病毒;c.通过电子邮件群发带有病毒附件的垃圾邮件,并配以诱导性的说明和附件名,诱骗接收者运行激活病毒;图2、病毒的生成和传播RANSOMWAREHU
7、ORONGBORUI(BEIJING)TECHNOLOGYCO.,LTD.这种批量生成变形病毒变种的模式,与传统的感染型病毒具有非常大的相似性,对[2]“云查杀“有天然的免疫,其批量变形并传播的周期远远短于安全软件的”收集、分析、识别“的响应周期。所以在国内”云查杀“覆盖率如此高的情况下,此类病毒仍然可以持续泛滥。所以,提高安全软件核心技术(如启发式扫描、行为沙盒等)仍然是解决此类问题的核心手段。3.预防和查杀由于“勒索病毒”均采用高强度非对称加密算法对文件进行加密,且在被加密的文件中并不存储解密密钥,所以如果文件
8、被“勒索病毒”加密,还原的可能性非常低。所以,对于“勒索病毒”应采取预防的策略,我们建议:1)安装合格的安全软件,开启自动更新,保证防护处于打开状态;2)及时给操作系统和流行软件打补丁;3)不要点开来源不明的邮件附件,条件允许的话可以交给安全厂商分析附件内容;4.案例分析下面以近期我们根据用户反馈和现场收集到的“勒索病毒”HVM:Ransom/Tescryp
此文档下载收益归作者所有