付了钱也不解锁:进化为勒索软件的KillDisk越来越流氓了

安全
勒索软件不是什么新鲜事物,不过最近出现了越来越多“调皮”的勒索软件,比如说帮忙传播两个用户就能解锁文件的,还有近期阅读有关勒索软件的文章就能解锁文件的。这两天有一款“传奇式”的勒索软件问世的,不仅在于其索要赎金21.8万美元,更在于就算你付了这么多钱,人家也不帮你解锁!

付了钱也不解锁:进化为勒索软件的KillDisk越来越流氓了
Windows版KillDisk的勒索信息

其实勒索软件不是什么新鲜事物,不过最近出现了越来越多“调皮”的勒索软件,比如说帮忙传播两个用户就能解锁文件的,还有近期阅读有关勒索软件的文章就能解锁文件的。这两天有一款“传奇式”的勒索软件问世的,不仅在于其索要赎金21.8万美元,更在于就算你付了这么多钱,人家也不帮你解锁!

FBI先前就教育我们说:如果你没有备份文件却感染了勒索程序的话,就乖乖支付赎金要回文件吧。研究人员发现的最新勒索软件KillDisk却能彻底颠覆你的想法!

KillDisk的演变

KillDisk是一款恶意软件,但它原本并不从事勒索,而专司数据擦除。2015年乌克兰电网遭到黑客数次攻击,导致数百户家庭供电被迫中断,事件中有一款名叫Black Energy的恶意软件——KillDisk正是其中的一个组件。2015年11月,它被用来攻击乌克兰的主流通讯社。去年12月初,研究人员检测到有人利用KillDisk对乌克兰金融部门展开了网络破坏。随后的整个12月,KillDisk都被用来攻击乌克兰的海运部门。

根据ESET安全人员的研究,KillDisk近期又开始活跃了,新的样本能够对Windows和Linux展开攻击,最新版的KillDisk形态是勒索软件:它会像传统勒索软件一样加密文件,随后索要巨额的赎金,赎金高达218,000美元(222比特币)。

技术细节

虽然KillDisk针对Windows和Linux两个操作系统平台的勒索信息基本一致,但技术细节显然还是有区别的。

Windows版本的KillDisk会使用AES算法加密文件,其中256位的密钥由CryptGenRandom生成,而对称AES加密密钥会用1024位RSA算法加密,为了区分已加密文件和未加密文件,KillDisk会在所有已加密文件后面加上以下后缀:DoN0t0uch7h!$CrYpteDfilE(不要碰这个加密的文件)。

Linux用户感染病毒后,KillDisk会递归加密以下目录:

 

  1. /boot  
  2. /bin  
  3. /sbin  
  4. /lib/security  
  5. /lib64/security  
  6. /usr/local/etc  
  7. /etc  
  8. /mnt  
  9. /share  
  10. /media  
  11. /home  
  12. /usr  
  13. /tmp  
  14. /opt  
  15. /var  
  16. /root 

KillDisk会使用三重DES加密每4096字节的文件块,而每台机器上所使用的64位加密密钥是不同的。

付了钱也不解锁:进化为勒索软件的KillDisk越来越流氓了

重启之后用户的系统就无法进入了。

千万不要支付赎金

在加密磁盘后,KillDisk会修改GRUB引导记录,然后把勒索信息写在引导记录处,要求受害者支付222比特币。

 

付了钱也不解锁:进化为勒索软件的KillDisk越来越流氓了

Linux版KillDisk的勒索信息

KillDisk不仅开创了在GRUB引导中写入勒索信息的先河,也开创了勒索软件不守信的先河。

所以即使你是个土豪很有钱,也不要支付赎金,因为就算向犯罪分子支付了赎金,文件还是回不来,因为KillDisk根本不会将解密密钥存储在磁盘或者C&C服务器上。

“KillDisk的例子再次说明为什么不应该选择向犯罪分子支付赎金。犯罪分子并不能保证恢复你的数据,在本案中罪犯明显没有打算要兑现承诺,”ESET高级研究员Robert Lipovský说道。

幸运的是ESET的研究人员已经找到了Linux KillDisk加密协议中的一个漏洞,利用这个漏洞,用户可能可以恢复加密的文件,尽管难度非常大。不过这个漏洞在Windows版的KillDisk软件中没有。

当前并不清楚KillDisk的作者为什么要这么做,国外媒体推测说或许KillDisk存在的价值还是和从前一样,就是为了擦除数据。至于为何加上勒索软件的属性,大抵是因为在破坏数据的前提下,还有机会赚点儿钱,实在是破坏勒索软件江湖规矩的好软件…

防御措施

随着勒索软件近几年的火爆,类似的事件越来越多,Freebuf也有不少案例。对付这类勒索木马,只能通过预防。

  • 一是要养成备份的习惯,特别是重要文件要经常备份;
  • 二是养成良好的操作习惯,这类勒索软件大都通过邮件附件传播,因此不要点击不明来源的链接或附件;操作系统和杀毒软件也要及时更新。
责任编辑:未丽燕 来源: FreeBuf
相关推荐

2021-04-15 13:48:08

视频监控视频分析智能安防

2020-07-20 00:47:57

网络保险勒索软件网络攻击

2020-07-20 07:40:21

网络安全保险技术

2023-02-21 09:29:57

ChatGPT人工智能

2021-05-18 15:12:06

开源软件云服务

2021-08-24 00:14:10

手机工具游戏

2017-12-26 15:34:55

2021-10-10 21:31:09

手机数据体积

2022-03-22 16:48:04

云技术开源应用云服务

2011-12-01 09:33:17

Google微软

2012-05-21 22:01:09

iOS

2020-07-09 13:53:11

机器学习技术工具

2022-05-17 09:17:45

JS 代码越来越难读

2024-02-21 09:44:33

Rust前端

2021-08-03 11:09:41

智能手机功能技术

2017-10-27 12:28:14

云端迁移云计算

2022-05-27 11:44:53

JS代码

2022-07-19 10:14:53

勒索软件网络攻击

2022-12-13 11:13:34

数据传感器

2020-09-08 12:16:29

物联网勒索软件物联网安全
点赞
收藏

51CTO技术栈公众号