腾讯反病毒实验室：揭秘WannaCry勒索病毒的前世今生

本文摘要：WannaCry勒索病毒余波未平，有关新的变种的各种报导再度性刺激了行业神经，而黑客的组织“影子经纪人”声称将从6月开始出售更加重磅武器的传闻，堪称让社会谈毒色变。作为抗击病毒第一线的亲历者，腾讯反病毒实验室负责人马劲松对事件演变及影响做到了复盘。马劲松回应，从捕捉第一个样本到腾讯电脑管家较慢上线防卫方案，腾讯反病毒实验室对该病毒展开了全面的分析，不但研究了病毒本身的原理，还研究了其前身，以及注目其持续的变种。

WannaCry勒索病毒余波未平，有关新的变种的各种报导再度性刺激了行业神经，而黑客的组织“影子经纪人”声称将从6月开始出售更加重磅武器的传闻，堪称让社会谈毒色变。作为抗击病毒第一线的亲历者，腾讯反病毒实验室负责人马劲松对事件演变及影响做到了复盘。马劲松回应，从捕捉第一个样本到腾讯电脑管家较慢上线防卫方案，腾讯反病毒实验室对该病毒展开了全面的分析，不但研究了病毒本身的原理，还研究了其前身，以及注目其持续的变种。在病毒愈演愈烈的96小时内，腾讯安全性团队吹响了抗击勒索病毒的先锋号，并且现在对病毒变种也获取了完备的处置方案。

实质上，WannaCry勒索病毒的实际破坏性也不像部分厂商叙述的那样可怕。而关于部分境外团队及媒体报道病毒早已找到新的变种，马劲松回应，腾讯反病毒实验室显然也捕捉到了变种样本，但还没掌控其不具备大规模破坏性的证据，其中大部分也是利用了微软公司Windows操作系统的SMB服务漏洞（MS17-010）展开传播病毒感染，只要用户加装腾讯电脑管家，按照电脑管家的提醒打补丁，病毒就不会被牢牢地的锁住在“门外”。

马劲松回应，腾讯安全性反病毒实验室也在第一时间研究，同时敦促行业在捕捉清楚证据之前，不要过度图形新病毒变种的危害，以免给用户导致不必要的混乱。（腾讯反病毒实验室想哭病毒动态监控数据）1.技术分析勒索病毒近两年的愈演愈烈，相当大程度上与加密算法的日益完善有关。

密码学及算法的不断更新确保了我们日常网络中数据传输和留存的安全性。失望的是，勒索病毒的作者也利用了这个特性，使得我们虽然告诉了木马的算法，但由于不告诉作者用于的密钥，也就没办法完全恢复被蓄意加密的文件。加密算法一般来说分成平面加密算法和非对称加密算法两大类。

这两类算法在勒索病毒中都被用于过。平面加密算法的加密和解密用于的是完全相同的密钥，特点是运算速度较慢，但是分开用于此类算法时，密钥必需用于某种方法与服务器进行互相交换，在这个过程中不存在被记录和外泄的风险。

勒索病毒常用的平面加密算法还包括AES算法和RC4算法。非对称加密算法也被称作公钥加密算法，它可以用于公开发表的密钥对信息展开加密，而只有私钥的所有者才可以解密，因此只要发给公钥并留存好私钥，就可以确保加密后的数据不被密码。与平面加密比起，非对称加密算法的运算速度一般来说较快。

勒索病毒常用的非对称加密算法还包括RSA算法和ECC算法。一般来说，勒索病毒不会将这两大类加密算法融合一起用于，既可以很快已完成对整个电脑大量文件的加密，又能确保作者手中的私钥不被外泄。2.愈演愈烈特点目前愈演愈烈的勒索病毒大部分具备如下共性特点。

通过邮件的方式，用于大量的非PE载体展开传播。用于成熟期的、高强度的加密算法。毁坏文件完全恢复的一些途径，例如停止使用Windows系统的备份和还原成机制，或者在移除文件之前向其中载入无意义数据，制止一些数据恢复软件从已移除的扇区中完全恢复文件，更进一步减少木马的破坏性，使得用户被迫缴纳赎金。

展出的赎金缴纳解释指向Tor等亮网中的页面。拒绝受害者用于比特币缴纳赎金。比特币的一个很最重要的特点就是它的使用者具备匿名性，通过比特币收款地址很难跟踪到对应的拥有者。

家族和历史CryptoLocker与CryptoWallCryptoLocker就算不是最先的勒索病毒，也是较早于引发人们注目的勒索病毒之一了。早在2013年，就有报导称之为其早已侵略了多达25万台电脑。

迅速，在2014年，由美国司法部、FBI等部门牵头发动的国际执法人员安全性行动Operation Tovar（有媒体音译为托瓦尔行动）中，此木马及其传播工具被侦破，并且有安全性公司获得了部分解密密钥，为此前早已被加密的受害者获取文件解密服务。然而这次行动未沦为勒索病毒灭亡的丧钟，忽略毕竟今后此类木马愈演愈烈的起点。

CryptoLocker用于随机分解的AES密钥加密文件，然后用于RSA算法加密AES密钥，这样需要提升文件加密的速度。CTB-Locker图1．CTB-Locker木马诈骗界面CTB-Locker大约是最先在国内产生反响的勒索病毒。该木马最先的捕捉时间可追溯到2014年7月，主要通过邮件附件传播，大约在2015年初的时候，有一部分邮件流向了国内，造成一批受害者被此木马诈骗，引发了媒体的第一时间。

最初版本的CTB-Locker木马加密文件后，不会给文件再加.ctbl的扩展名，不过新版本的木马早已无此容许。TeslaCryptTeslaCrypt木马的涉及分析和报导最先可追溯到2015年2月，木马最初的目的有可能是要对游戏玩家展开诈骗，不过在后期的改版中，TeslaCrypt也不会对其它少见的文档文件展开加密。TeslaCrypt的主要传播方式是网页挂马传播，通过在网页中植入蓄意结构的文件，通过Flash播放器、pdf阅读器等各种漏洞，在受害者不知情的情况下iTunes并继续执行蓄意payload，加密其电脑上的文件。2016年5月的某一天，TeslaCrypt的作者在暗网上宣告暂停木马的研发，并同时得出了解密文件所必须中用的私钥。

图2．TeslaCrypt木马被暂停的网页，图片来自bleepingcomputer.com腾讯哈勃分析系统也制作了TeslaCrypt的工具，协助用户完全恢复被加密的文件。图3．腾讯哈勃分析系统制作的TeslaCrypt解密工具LockyLocky是2016年2月被捕捉到的一类勒索病毒。Locky不会使用有所不同的传播载体，一开始仍然是用于Office宏继续执行iTunes代码，后期的版本不会用于js、wsf等多种类型的脚本文件。

同时，被加密的文件也不会被加到.locky、.zepto、.odin、.thor等多种不同的扩展名。Locky在用于AES特RSA对文件展开加密后，不会根据操作系统语言的有所不同，向服务器催促有所不同语言的诈骗文本并展开展出。

值得注意的是，在Locky的诈骗界面上，迅速经常出现了繁体中文和简体中文的诈骗内容。图4．某版本Locky木马诈骗解释，在中文Windows持续性表明繁体中文内容Petya图5．Petya木马发作界面Petya木马在2016年3月被安全性厂商捕捉。

与其它勒索病毒有所不同的是，此木马首先改动系统MBR引领扇区，强迫重新启动后继续执行引领扇区中的恶意代码，加密硬盘数据后表明诈骗信息，是第一个将诈骗和改动MBR合二为一的蓄意木马。值得一提的是，早期的Petya木马在算法的用于上有一些问题，能用的密钥的复杂度偏高，造成可以通过暴力破解的办法枚举并寻找密钥，并还原成被加密的磁盘。腾讯哈勃分析系统也据此制作了涉及的解密工具。

图6．腾讯哈勃分析系统制作的Petya解密工具CerberCerber也是最近较为少见的一类木马，以其给加密后的文件加到.cerber*系列后缀而故名。Cerber主要通过网络挂马传播，至今已升级到第五代，作者用于公开发表的黑客工具包在需要覆盖面积大量的未知漏洞，通过渗入网站、投入蓄意广告等方式展开挂马。图7．Cerber木马诈骗界面四、总结通过以上的分析可以找到，勒索病毒这两年的愈演愈烈，与密码学、暗网、比特币等多种技术的发展都是密不可分的。“技术是把双刃剑”，这句老生常谈在此处仍然有价值。

技术被合理地利用，可以维护用户的安全性；而到了不法分子手中，也有可能沦为受害者面前无法容忍的高山。对于这些勒索病毒，事前的防治远比事后的解决问题远比最重要。用户必须教导较好的安全意识，不随便关上未知来源的附件或链接，也不要随便iTunes运营小网站和网盘上共享的电脑软件或手机应用于。

日常生活中，建议用于腾讯电脑管家、腾讯手机管家等安全类产品，动态维护电脑和手机的安全性。遇上不确认的文件，也可以上传遍哈勃分析系统（请求砍链接）检查否安全性。

原创文章，予以许可禁令刊登。下文闻刊登须知。

本文关键词：腾讯,反,病毒,实验室,揭秘,WannaCry,开云app官网,勒索,的

本文来源：开云app官网-www.sdrensheng.com