编者按

数字化浪潮蓬勃兴起,企业面临的安全挑战亦日益严峻。

腾讯安全近期将复盘2022年典型的攻击事件,帮助企业深入了解攻击手法和应对措施,完善自身安全防御体系。

本篇是第四期,复盘了一次勒索病毒的紧急应对事件。一旦染上勒索病毒相当于宣判了重要文件被囚禁在了数字监狱,似乎除了缴纳赎金别无他法。但如果面对的是一个有缺陷的勒索病毒呢?这是建筑工程设计师老张和安全专家zhipeng的72小时竞赛故事。

“如果您在72小时内与我们联系,可以享受50%的折扣”。

一辈子没中过大奖的工程师老张,看到这句话几乎晕厥了。

是心爱之物离自己越来越远的心悸引发的生理晕厥。

因为这不是限时优惠的促销通知,而是一则勒索留言。

勒索筹码是老张电脑中被加密的工程设计图纸,包含了老张建筑工程设计生涯近20年的图纸底稿文件。

无论老张如何操作,电脑中他熟悉的一个个设计图纸文件均无法打开,老张慌了神。

但“贴心的”黑客在“勒索信”上告诉了老张拿回图纸的唯一办法——

“请注意,您永远不会在不付款的情况下恢复您的数据”。

老张赶忙盘算了下家底,要全部赎回文件的话,50%的赎金是他能接受的范围。

这也意味着,老张要在72小时内做出选择。

“我就是下载了一个软件”

老张起初并不知道这是勒索病毒,当他发现电脑桌面不正常,文件格式都变成了像是乱码的后缀时,他本能的关机重启。

只是再次亮起的电脑屏幕依然是那些陌生的图标和无法点击的文件,老张才意识到,可能是电脑出了故障,这一次他没有丝毫犹豫就按了关机。

和周围的朋友咨询后,老张知道了这叫勒索病毒,知道了这是当今最臭名昭著的病毒,也知道了这是一种无法解决的网络病毒。但老张更想知道,如何才能解救染毒的图纸。

几番推荐和介绍后,腾讯安全云鼎实验室的专家zhipeng介入了这次事件。“面对勒索病毒整个业界都没有很好的解决方案,目前能解密的勒索基本都是使用公开的密钥进行解密恢复”,zhipeng对这次挑战并不是信心满满。无法直接分析可能是这次解题的一大难点。彼时由于疫情隔离,zhipeng只能先进行远程分析。

如同探究每一道安全难题一样,定位析因是zhipeng的第一步——弄明白老张是如何中招的。这一步并不难,通过对最近几次的电脑操作复盘后,zhipeng很快就发现这是一次典型的“水坑攻击”——在受害者必经之路上制作陷阱,守株待兔。

软件下载站就是那条“必经之路”,相比直接通过漏洞入侵到个人电脑这种费时的攻击方式,将病毒直接嵌入在各种用户经常下载的软件站里,等待受害者自动上门这种以逸待劳的方式更具效率。

至此,攻击链条基本浮出水面——老张在非官方软件下载站下载了一个软件,结果该软件被植入了勒索病毒。病毒程序在电脑本地下载安装后就开始运行,迅速加密电脑中的文件。“优先寻找的基本是带有Word、PPT、PDF这种典型的工作类型文件”,zhipeng的解释进一步回答了老张为什么打不开设计图纸文件。

不过遗憾的是,找不到敌人。“水坑攻击”+瞄准软件站投毒的“供应链攻击”并非定向对工程师发起的安全攻击,而是一种“广撒网”式的手段,本质上是黑客为了提升入侵成功率和病毒影响面。

想通过找到凶手拿回图纸的路子基本被封死了。

幸运的是文件副本被加密

时间已经过去了24小时,老张和zhipeng想对病毒再做更深入的研究。于是电脑上存着核心资产的硬盘被拆下寄往zhipeng所在地。

除去快递时间,如果zhipeng在12小时内没找到解决办法,赎金价格将超出老张的承受范围,而他收藏的设计图纸可能将永远的被囚禁在数字监狱。

zhipeng和老张的选择是一场赌博,但天平已经有所倾斜:

第一,腾讯安全云鼎实验室这一年中已经发现了多起类似手段的勒索病毒感染事件,其中不乏在业内有成功恢复案例。

第二,老张及时的关机动作,让文件恢复有理论可能——病毒也算是一个程序,需要运行。及时的关机动作,导致病毒可能尚未完全将电脑文件加密。

第三,还是病毒的运行效率——老张的电脑型号陈旧,电脑的操作系统、运行内存等配置相对落后,病毒运行速度有一定程度折损。

猜想得到了验证!

zhipeng拿到硬盘后的分析发现了有未被加密的文件。同时,他还发现了“勒索病毒无法解密”这一死刑宣告的漏洞。

zhipeng根据该勒索加密样本与源文件对比分析,病毒对一个文件的加密并非是百分百字节加密。可能是出于效率和成本的考虑,该病毒的加密机制只对部分字节起作用。用专业的数据恢复工具,就可以将部分数据恢复。

(以单个文件为例,本次事件中的勒索病毒加密机制示意)

但这种方式有局限性。zhipeng说,这种方式对于大文件有效,尤其是文本视频压缩数据文件有很大恢复的可能性。但通过这种方式会丢失文件前150kb的数据,一些小文件是没办法恢复。

但这次的勒索病毒还有第二个加密特点——删除了文件。

如果是标准的勒索病毒加密,它的原理是将受害者电脑中文件直接加密。这一次案例中的加密原理则是,病毒运行后,先对电脑中的文件复制一个副本,对副本进行加密,再将原来的文件删除。

而删除的动作,就给设计图纸恢复留下了一个窗口——磁盘修复——类似于普通用户在电脑使用中删除(包括清空了“垃圾桶”)了本地文件后的数据恢复场景,通过专业的数据恢复工具,有几率恢复成功。

最终,在发现加密机制缺陷后,zhipeng尝试了多种数据恢复工具,恢复了大概六到七成的被加密数据,老张也得以找回大部分的设计图纸文件。

有用的“无用功”

本次事件中,其实还有第三种数据恢复方式,也是完美的数据恢复方式——百分百恢复——解密器恢复。“该家族的勒索病毒有非常多的后缀。这次案件的勒索病毒是其中一种,目前该病毒的密钥未公开暂时不可用,可能未来一段时间会更新。所以最好先做好备份,未来有完全恢复的可能性” ,zhipeng说。

这并非是遥不可及,zhipeng说现在已经有国外安全人员在持续收集这个家族的密钥,并更新勒索解密工具,帮助受害者免受勒索之苦。

这背后不仅是正义与邪恶的较量,更是全球安全从业者面对挑战时的态度,没有绝对安全的系统,也没有绝对无解的威胁。

可能未来很长一段时间,人类仍将处于勒索病毒无解的支配中,但总有人在无解的题上孜孜不倦的求解。

另外,也不要给勒索病毒可乘之机,对于普通用户而言提高警惕能避免绝大多数的勒索病毒,就像最后zhipeng告诉老张的:“不随意打开陌生链接、邮件,不在不正规的网站下载软件”。

但这仍然不够。企业和社会关键基础设施才是勒索病毒肆虐的主战场。

当下一次,一个没有缺陷的勒索病毒利用水坑攻击、侵入供应链等手段悄无声息的潜入了一家企业的员工电脑时,被加密的可能就不仅仅是设计图纸了。

被勒索后的72 小时“生死时速”相关推荐

  1. 72小时灵感冲刺,创意就该这么玩 | LigaAI Hackathon特别策划

    2023 年 1 月 9 日至 12 日,LigaAI 团队全员出逃:放下迭代,暂缓需求,处处充斥着「可以摸鱼➕卷死他们」的矛盾又欢乐的气息.职场和远程的伙伴们无一不在热烈讨论.积极组队.抢占会议室. ...

  2. 隐秘的角落——一个CIO的惊魂72小时

    摘要:200万,赎回你的前途. 关键词: CIO 刘庆宇 200万,赎回你的前途. 虽然已经确认无数次, 我仍然忍不住盯着手机发愣. 置身于一场注定的败局是什么感觉? 无法阻止,任人宰割. 深呼吸,我 ...

  3. 阿里新财报霸道惨了!菜鸟加速全球72小时必达,世界都沸腾!

    2月1日,阿里巴巴将公布2018财年第三季度财报.在新零售战略持续推进下,收入同比大增56%达830.28亿元(127.61亿美元).其中,新零售给业绩表现和业务增长带来全面爆发的推动力,物流行业更是 ...

  4. “我用 72 小时复刻了一个 ClubHouse”

    作者 | 白宦成 出品 | CSDN(ID:CSDNnews) 2021,新社交软件的第一"战",Clubhouse 火爆海外. 这款语音社交 App 迅速走红的背后,科技圈大佬. ...

  5. 深度学习机器72小时自学国际象棋达到大师水平

    chess Photo by Maarten van den Heuvel on Unsplash 本文在腾讯云+社区人工智能专栏首发, 为原创翻译文章. 文章正文部分以注释格式给出正文 导读 英文原 ...

  6. 让我们谈一场72小时就分手的恋爱,不问结果,无关物质。

    你上一次喜欢一个人是什么时候? 距离上一次心动有多久了? 不知道从何时开始,谈一场恋爱变成了一件奢侈的事情. 那么...你想不想,谈一场72小时就分手的恋爱,不问结果,无关物质. 时间不多不少,三天正 ...

  7. 5万人在阿里数学大赛比高下,6道题开卷考72小时,连小学生都来了

    水木番 明敏 发自 凹非寺 量子位 报道 | 公众号 QbitAI 72小时6道题,5万人在线烧脑. 今天早上8点,阿里达摩院举办的第三届全球数学竞赛预选赛完赛. 今年的比赛依旧是线上进行.没有学历限 ...

  8. 【经验】Ceph对象存储运维的惊魂72小时

    总结: 1.避免一个bucket写入太多的对象,对新建bucket,限制存储对象的最大数量 2.使用比较新的版本0.94以上修复单bucket索引对象过大问题,在Ceph的0.94版本中,已经支持了b ...

  9. 视觉中国携手远景X3主办72小时挑战魔鬼天路活动圆满收官

    -征服独库公路 极限挑战鉴真质 北京2018年8月29日电 /美通社/ -- 8月24日,视觉中国500px摄影社区携手吉利远景X3联合开展的"72小时挑战魔鬼天路"活动,历经三天 ...

最新文章

  1. 浅谈Python flask框架浅析
  2. 2020年余丙森概率统计强化笔记-第一章 随机事件及其概率-第二章 一维随机变量及其分布
  3. vsftp配置文件详解
  4. 《软件需求模式》阅读笔记01
  5. 运行时数据区内部结构
  6. 七夕(情人节)表白女朋友,程序员应该如何装一波13
  7. 如何避免_如何避免变频器受负载冲击
  8. 送你一个Python 数据排序的好方法
  9. linux是不是显示不了中文版,Linux为什么OpenOffice下不能显示中文
  10. tomcatserver管理界面username和password忘记
  11. Spark-Unit1-spark概述与安装部署
  12. Python3中一维数组和二维数组的输入
  13. 计算机应用基础辅导资料,《计算机应用基础》辅导资料三
  14. Veritas Backup Exec 21.4 Multilingual (Windows) 下载
  15. java native2ascii的用法介绍
  16. 小米id锁状态查询_怎么通过序列号查询苹果手机真伪
  17. Ubuntu 数字小键盘不能用解决方法
  18. 嘿~全流程带你基于Pytorch手撸图片分类“框架“--HuClassify
  19. DoDataExchange(CDataExchange* pDX)没有执行到原因
  20. JAVA 开发基础【JSON相关】

热门文章

  1. Halcon 深度学习(三):缺陷检测
  2. 大量影视博主被腾讯起诉
  3. [附源码]JSP+ssm计算机毕业设计无糖主义甜点店进销存系统382ys【源码、数据库、LW、部署】
  4. 前端监控与前端埋点方案
  5. 学习笔记22—PS小技巧
  6. ubuntu18 增加删除用户和组命令
  7. 微信小程序复杂条件判断按钮显示隐藏
  8. 计算机一级渐变线,计算机一级PS强化试题(有答案)(3)
  9. 机器学习:fit,transform,fit_transform区别(附代码)
  10. 计算机型号win7,新买的计算机最近3个月发生了10次蓝屏,HP的型号HPE-035CN预装WIN7家庭高级版的。请大家看看是什么原 - Microsoft Community...