勒索软件正成为一大严重问题

目前勒索软件的出现正呈上升趋势，而由卡巴斯基实验室在上周五的季度报告中，对于恶意软件工业的部分中提到，勒索软件使用的加密算法正越来越复杂和保险。卡巴斯基实验室说，从2004年出现之后，勒索软件的影响在2006年第二季度达到一个顶峰。

最开始，这些软件使用简单加密算法来劫持文件，达到勒索目的。而随着最近RSA加密算法的出现，黑客正采用越来越复杂的密码保护方式和隐藏被破坏的文件。卡巴斯基实验室说，攻击者和反恶意软件公司现在是在玩猫捉老鼠的游戏，研究者破解编码，攻击者则相应地回敬更复杂的方式。

最近的多宗Gpcode勒索病毒展示了一个660位的密钥，据研究者称，这可能需要30年的时候，用2.2 GHz的计算机才能破解。然而，基于过去的研究，卡巴斯基现在能够破解这些代码，并且将保护加入到它的反病毒文件中去。

“我将不会在这里公布更多细节，对于这个特殊的解密方式已经说得够多了，这将会是一个计算机病毒学的里程碑，”高级病毒分析员 Alexander Gostev 这样写道。同时，Alexander Gostev 警告说，新的变种随时都可能出现。

当卡巴斯基实验室能够破解这些代码的时候，研究者称，这种加密算法已经达到了现代密码学的极限。将来的勒索程序代码可能是不可破解的，而文件被感染的人们将被迫向勒索者支付足够的费用，来解锁他们的文件。Alexander Gostev 呼吁反病毒公司能够提前行动，以保护他们的用户。

那些已经创立了Cryzip和Krotten——最常用的勒索软件技术的人们，至今还未被逮捕。然而，即使他们被捕，他们的工作仍就可以通过别的攻击者在他们先前的基础上继续。

“勒索软件无疑将是反病毒产业上最头痛的问题，至少是在不久的将来”，Gostev 说道。

(by yanyan，编译自Betanews)

目前,互联网上的勒索软件开始引起注意,这种绑架用户数据的方法使目前的反病毒模式毫无效果.我们先来了解一下什么叫作勒索软件.

勒索软件(RansomWare)是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件.勒索软件通常会将用户系统上多种类型的文件,如文档、邮件、数据库、源代码、图片、压缩文件等,进行某种类型的加密操作,使这些文件不可用.勒索软件还可能通过修改系统配置文件,干扰用户正常使用系统的方法使系统的可用性降低.然后,通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法.

举例说明,目前最强的一款勒索软件居然包含660位密码,用2.2GHz的机器进行破解,将需要至少30年时间,获取其算法的成功率更是微乎其微,而且此类软件还会不断改变算法,目前的安全解决方案对这类软件毫无办法.

目前卡巴斯基实验室已经开始分析这类软件,并且研究一种方法使勒索软件侵害数据之前就将数据保护或者转移,以确保用户不受损失.

以下是CNCERT的一些资料,有助于我们了解勒索软件并有效防范.

Ransomware的特点

　　勒索软件在受害用户主机上运行后,会在主机上搜索多种类型的文件,而文件类型是由扩展名标识的.一般搜索具有.txt、.doc、.rtf、. xls、.ppt、.chm、.cpp、.asm、.db、.db1、.dbx、.cgi、.dsw、.gzip、.zip、.jpg、.key、. mdb、.pgp、.pdf等.这些文件包含了用户可能用到的大部分重要资料,使用户面临重要信息丢失的风险.然后,勒索软件将对这些搜索到的文件进行加工处理.一般有三种处理策略一)将搜索到所有文件压缩为一个带密码保护的zip文件,然后删除源文件;(二)将每个文件都单独加密,然后删除源文件.比如有一个“毕业论文最终版.doc”,勒索软件会生成“已加密_毕业论文最终版.doc”以标志源文件;(三)创建一个隐藏的文件夹,将所有文件移动到该文件夹内,造成文件丢失的假相,这种方法危害最低,最容易找回文件.

　　勒索软件将文件加密后,一定要以醒目的方式通知到用户,并用详细清晰的文字说明需要用户进行哪些操作才能找回文件.勒索软件一般在被加密文件的相同文件夹内或桌面上生成一个文本文件,或者通过弹出窗口或对话框的方式通知用户.文本文件或窗口会说明已对文件进行的加密操作和详细汇款方法.而且可能会强调4方面的内容一)文件已被加密,暴力破解密码软件或反病毒软件均无法解密;(二)按照“用户通知”的指示进行汇款等操作是唯一找回文件的方法;(三)通过报警或通知相关部门等方法都无法解决问题;(四)请及时汇款,文件正在以某个时间间隔被删除.

　　目前已经发现的汇款方式包括通过西联汇款、通过E-Gold汇款、向银行或手机帐户汇款等.

　　勒索软件一般不会象蠕虫那样传播,因为这样很容易被安全人员获得样本,从而对其进行分析,从而找到解密方法.因此,勒索软件通常采用人工方法挂接在被攻陷的网站上,用户浏览恶意网页时就可能遭到感染.不排除攻击者通过Botnet散发勒索软件的可能.勒索软件为了避免自身被安全人员分析,通常加密用户文件并生成提示用户文本之后就自删除.

RansomWare的应对与防范

1)树立安全意识

　　 RansomWare侵入受害主机的方法与其他恶意软件并没有差别,所以,常规的防范措施仍然适用于RansomWare,如安装防病毒软件、防火墙软件、及时为系统和应用软件升级和打补丁等.

2)预防为主,备份是关键

　　 目前发现的几种Ransomware都可以通过分析找到解密方法,但攻击者稍做努力,就可以使解密文件变为不可能,只有汇款或等待攻击者落入法网才能找回文件,这是Ransomware发展的必然趋势.所以,定期备份重要文件是最关键的.

　　备份文件并不只是为了预防Ransomware,而是有多种好处,比如预防系统崩溃或硬盘损坏.此外,当文件被加密后,保存源文件有时有助于破解加密算法.如果用户对一个被Ransomware加密的压缩包中的某个文件有备份,那么,利用诸如“Elcomsoft's Advanced ZIP Password Recovery”之类的采用“已知明文攻击”的方法进行密码恢复的工具,可能会解密被压缩的文件.

3)求助解决,不要轻易汇款

　　用户一旦感染RansomWare,系统上的许多重要文件被加密或隐藏,但不要轻易地按Ransomware的要求进行汇款之类的操作,而是要向网络安全管理部门、执法部门、应急组织或防病毒厂商投诉.这样,一方面可能获得解密或恢复文件的技术支持,另一方面也有利于为相关部门提供寻找攻击者的线索和保护受害者的方法.如果感染此类Ransomware的用户很多,必然得到关注,解密方法也可能获得,从而不必汇款.

6月14日，广州市公安局网监分局接到群众报警，称其在“新曦数据库”网站下载企业资料后，其个人电脑即中了病毒。

    个案：

    下载资料中“毒”还被敲诈

    据报警者称，电脑中了病毒以后，硬盘内的公司资料全部丢失，重启电脑后桌面出现了一名为“拯救硬盘”的TXT文件，执行该文件后出现界面，要求用户通过银行柜员机转账91元，然后通过手机编发短信发送至特定号码，根据回复短信中的序列号即可修复硬盘资料。

    而在随后的短短几天内，该分局又陆续接到多名事主报案，称电脑中病毒后被敲诈，报案内容如出一辙，均是在“新曦数据库”网站下载企业资料后中招，并被对方以恢复硬盘数据为名敲诈50元至99元不等。经警方调查，多名事主电脑均中了一种新的木马病毒——“敲诈者”，该病毒短期内即发展出七个变种。

    发展：

    同一病毒“生出”七个变种

    就在这款名为“敲诈者”的木马病毒逐渐在中国网络掀起“骇人”风暴的时候，被怀疑为“敲诈者”病毒炮制者的“俊曦”在MSN上称，“敲诈者”病毒是他在2006年6月6日制作并传播的，而这一天正是西方国家的魔鬼日。他说他事先并不知道这一特定日期，并十分自得地称“如有神助”。据西方国家传说，每个世纪第一个第6年的6月6日为魔鬼日，这一天魔鬼会大爆发，世界末日即将到来。“俊曦”同时在MSN上留言称“这一天有很多小鬼跑出来”。

    “俊曦”的留言很快成真，6月21日，有反病毒公司宣称，“敲诈者”已经释放出了七只“小鬼”（七个变种），而大鬼“敲诈者”病毒仍然挂在一名为新曦数据库(www.sunhay.com)的网站上传播。

    根据公布的新变种资料，“敲诈者”的变种伪装成新曦数据库演示文档，诱导用户点击“打开”，点击后即从该网站下载一压缩包，解压后出现一名为“点击这里打开”的EXE文件，运行后弹出一文本文档，内容为“由于受到电磁流干扰，网络下载无法运行”的文本文档，而实际上病毒已经开始运行。病毒运行后，首先结束除系统外的所有进程，然后开始搜集电脑中所有的压缩文件和OFFICE文件，并将其隐藏到名为“控制面板”的文件夹。截至当日，全国已经有两百多用户中招，各方投入的破解力量更难以计算。

    影响：

    染毒者近千遍及全国

    “敲诈者”的所作所为无疑在网络社会激起了众怒。众多受害者贴出了“敲诈者”提供的银行卡账号和手机号码，为破案提供了线索。据业内人士估计，虽然公开的受害报告仅有数百例，但实际受害者则以千数计，损失比较严重的地方有北京、上海、广州、浙江等地。虽然“敲诈者”带来人们的损失巨大，但根据广州警方披露的信息，“鬼爸”欧阳××被抓获时，其全部获利也不过四千多元。

据国家计算机病毒应急及处理中心反映，至6月29日为止，共接到“敲诈者”病毒感染报告450例，传播范围遍及全国。案件引起了公安部及省公安厅领导的高度重视，要求广州警方尽快破案。

    抓捕：

    警方网上“套”出幕后黑手

    经过大量细致的侦查工作，专案组民警根据作案者在互联网留下的蛛丝马迹，初步摸清了病毒制造者的真实身份。7月3日，专案组民警决定采取收网行动，兵分两路在人民北路及白云区某住宅小区守候。当晚9时许，当犯罪嫌疑人欧阳××在人民北路露面时，民警迅速将其抓获。同时，民警在欧阳××位于白云区某住宅小区的房间内当场查获作案工具计算机2台，以及手机卡及银行卡一批。

    经审讯查明，欧阳××今年34岁，广州人，1999年从广州某大学金融证券专业毕业，先后在一些电脑公司担任过网络技术员、技术总监，2003年至今是自由职业者。他平时爱好电脑编程，并在互联网上开设有个人网站。今年以来，他因经济上入不敷出，于是产生利用病毒程序赚钱的想法。他自己制作计算机病毒程序，并于今年6月7日至6月24日期间，放置病毒程序在其个人网站“新曦数据库”公布的企业信息中，该病毒被运行后，可恶意隐藏计算机用户系统中的文档。欧阳××便以恢复隐藏数据为名向下载者勒索50元至99元人民币不等，至今已非法获利4000元人民币。

    目前，犯罪嫌疑人欧阳××已被警方刑事拘留，此案仍在进一步审理中。

    警示：

    “精彩网址”多暗藏陷阱

    广州市公安局网监分局负责人指出，互联网在给人们的生活带来极大便利的同时，网络安全的脆弱性也不容忽视。

    该负责人提醒，网络使用单位要不断提高安全技术防范措施，增强防病毒侵袭、黑客攻击的能力。广大网民不要轻易登录来自不明人员发来的电子邮件或手机短信息中提供的“精彩网址”，这或许就是各类骗子向用户的计算机嵌入木马程序（黑客软件）的阴谋，以此盗取用户的个人资料或信息。同时，计算机的有关密码要经常改换，不要随意泄漏。机密信息不要轻易存入计算机，涉密计算机不要上网。

    最后，要注意利用防火墙，并升级杀毒软件，提高物理安全性，防止有关信息数据在网上被窃取或变更。如发现有人在互联网恶意传播病毒等违法行为的，请立即向公安机关报警。

    曾经的金融证券高材生，因为一时入不敷出制作“敲诈者”木马病毒上网传播，并专门“留言”敲诈。该病毒在短期内发展出七个变种，最终引发了全国范围的“敲诈者”网络侵袭。

    始作俑者最终落入法网。昨日，记者从广州市公安局了解到，广州市公安局公共信息网络安全监察分局（以下简称网监分局）近日成功侦破了全国首例制作计算机病毒并实施敲诈的案件，抓获犯罪嫌疑人欧阳××（男，34岁，广州人），缴获作案工具计算机2台，以及手机卡及银行卡等一批。