编者按
数字化浪潮蓬勃衰亡,企业面临的平安挑战亦日益严厉。
腾讯平安近期将复盘 2022 年典型的攻打事件,帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。
本篇是第四期,复盘了一次勒索病毒的紧急应答事件。一旦染上勒索病毒相当于宣判了重要文件被囚禁在了数字监狱,仿佛除了缴纳赎金别无他法。但如果面对的是一个有缺点的勒索病毒呢?这是建筑工程设计师老张和平安专家 zhipeng 的 72 小时比赛故事。
“如果您在 72 小时内与咱们分割,能够享受 50% 的折扣”。
一辈子没中过大奖的工程师老张,看到这句话简直晕厥了。
是可爱之物离本人越来越远的心悸引发的生理晕厥。
因为这不是限时优惠的促销告诉,而是一则勒索留言。
勒索筹码是老张电脑中被加密的工程设计图纸,蕴含了老张建筑工程设计生涯近 20 年的图纸底稿文件。
无论老张如何操作,电脑中他相熟的一个个设计图纸文件均无奈关上,老张慌了神。
但“贴心的”黑客在“勒索信”上通知了老张拿回图纸的惟一方法——
“请留神,您永远不会在不付款的状况下复原您的数据”。
老张赶紧盘算了下家底,要全副赎回文件的话,50% 的赎金是他能承受的范畴。
这也意味着,老张要在 72 小时内做出抉择。
“我就是下载了一个软件”
老张起初并不知道这是勒索病毒,当他发现电脑桌面不失常,文件格式都变成了像是乱码的后缀时,他本能的关机重启。
只是再次亮起的电脑屏幕仍然是那些生疏的图标和无奈点击的文件,老张才意识到,可能是电脑出了故障,这一次他没有丝毫犹豫就按了关机。
和四周的敌人征询后, 老张晓得了这叫勒索病毒,晓得了这是当今最臭名远扬的病毒,也晓得了这是一种无奈解决的网络病毒。但老张更想晓得,如何能力拯救染毒的图纸。
几番举荐和介绍后,腾讯平安云鼎实验室的专家 zhipeng 染指了这次事件。“面对勒索病毒整个业界都没有很好的解决方案,目前能解密的勒索根本都是应用公开的密钥进行解密复原”,zhipeng 对这次挑战并不是信念满满。无奈间接剖析可能是这次解题的一大难点。彼时因为疫情隔离,zhipeng 只能先进行近程剖析。
如同探索每一道平安难题一样,定位析因是 zhipeng 的第一步——弄明确老张是如何中招的。这一步并不难,通过对最近几次的电脑操作复盘后,zhipeng 很快就发现这是一次典型的“水坑攻打”——在受害者必经之路上制作陷阱,刻舟求剑。
软件下载站就是那条“必经之路”,相比间接通过破绽入侵到个人电脑这种费时的攻击方式,将病毒间接嵌入在各种用户常常下载的软件站里,期待受害者主动上门这种一张一弛的形式更具效率。
至此,攻打链条根本浮出水面——老张在非官方软件下载站下载了一个软件,后果该软件被植入了勒索病毒。病毒程序在电脑本地下载装置后就开始运行,迅速加密电脑中的文件。“优先寻找的根本是带有 Word、PPT、PDF 这种典型的工作类型文件”,zhipeng 的解释进一步答复了老张为什么打不开设计图纸文件。
不过遗憾的是,找不到敌人。“水坑攻打”+ 瞄准软件站投毒的“供应链攻打”并非定向对工程师发动的平安攻打,而是一种“广撒网”式的伎俩,实质上是黑客为了晋升入侵成功率和病毒影响面。
想通过找到凶手拿回图纸的路子根本被封死了。
侥幸的是文件正本被加密
工夫曾经过来了 24 小时,老张和 zhipeng 想对病毒再做更深刻的钻研。于是电脑上存着外围资产的硬盘被拆下寄往 zhipeng 所在地。
除去快递工夫,如果 zhipeng 在 12 小时内没找到解决办法,赎金价格将超出老张的接受范畴,而他珍藏的设计图纸可能将永远的被囚禁在数字监狱。
zhipeng 和老张的抉择是一场赌博,但天平曾经有所歪斜:
第一,腾讯平安云鼎实验室这一年中曾经发现了多起相似伎俩的勒索病毒感染事件,其中不乏在业内有胜利复原案例。
第二,老张及时的关机动作,让文件复原有实践可能——病毒也算是一个程序,须要运行。及时的关机动作,导致病毒可能尚未齐全将电脑文件加密。
第三,还是病毒的运行效率——老张的电脑型号古老,电脑的操作系统、运行内存等配置绝对落后,病毒运行速度有肯定水平折损。
猜测失去了验证!
zhipeng 拿到硬盘后的剖析发现了有未被加密的文件。同时,他还发现了“勒索病毒无奈解密”这一死刑宣告的破绽。
zhipeng 依据该勒索加密样本与源文件比照剖析,病毒对一个文件的加密并非是百分百字节加密。可能是出于效率和老本的思考,该病毒的加密机制只对局部字节起作用。用业余的数据恢复工具,就能够将局部数据恢复。
(以单个文件为例,本次事件中的勒索病毒加密机制示意)
但这种形式有局限性。zhipeng 说,这种形式对于大文件无效,尤其是文本视频压缩数据文件有很大复原的可能性。但通过这种形式会失落文件前 150kb 的数据,一些小文件是没方法复原。
但这次的勒索病毒还有第二个加密特点——删除了文件。
如果是规范的勒索病毒加密,它的原理是将受害者电脑中文件间接加密。这一次案例中的加密原理则是,病毒运行后,先对电脑中的文件复制一个正本,对正本进行加密,再将原来的文件删除。
而删除的动作,就给设计图纸复原留下了一个窗口——磁盘修复——相似于普通用户在电脑应用中删除(包含清空了“垃圾桶”)了本地文件后的数据恢复场景,通过业余的数据恢复工具,有几率复原胜利。
最终,在发现加密机制缺点后,zhipeng 尝试了多种数据恢复工具,复原了大略六到七成的被加密数据,老张也得以找回大部分的设计图纸文件。
有用的“无用功”
本次事件中,其实还有第三种数据恢复形式,也是完满的数据恢复形式——百分百复原——解密器复原。“该家族的勒索病毒有十分多的后缀。这次案件的勒索病毒是其中一种,目前该病毒的密钥未公开临时不可用,可能将来一段时间会更新。所以最好先做好备份,将来有完全恢复的可能性”,zhipeng 说。
这并非是遥不可及,zhipeng 说当初曾经有国外平安人员在继续收集这个家族的密钥,并更新勒索解密工具,帮忙受害者免受勒索之苦。
这背地不仅是正义与邪恶的较量,更是寰球平安从业者面对挑战时的态度,没有相对平安的零碎,也没有相对无解的威逼。
可能将来很长一段时间,人类仍将处于勒索病毒无解的摆布中,但总有人在无解的题上手不释卷的求解。
另外,也不要给勒索病毒可乘之机,对于普通用户而言提高警惕能防止绝大多数的勒索病毒,就像最初 zhipeng 通知老张的:“不随便关上生疏链接、邮件,不在不正规的网站下载软件”。
但这依然不够。企业和社会要害基础设施才是勒索病毒肆虐的主战场。
当下一次,一个没有缺点的勒索病毒利用水坑攻打、侵入供应链等伎俩悄无声息的潜入了一家企业的员工电脑时,被加密的可能就不仅仅是设计图纸了。