知道创宇404实验室宣布破解lucky勒索病毒解密原理

勒索病毒,今年无疑将再次登上年度网络安全热词Top10榜单,细数近两年来勒索病毒的罪状,堪称罄竹难书。就连国内顶级互联网公司,提起花样繁多的勒索病毒来也十分头疼。12月初,“微信勒索病毒”、“支付宝勒索病毒”甫一开始传播,就吓得微信和支付宝立马跑出来发声明撇清关系。在年末各国发布的网络安全白皮书中也都提到,2019年勒索病毒仍然是重灾区。面对如蝗虫一般不断来袭的勒索病毒,难道真的只能退避三舍?

  从“WannaCry勒索病毒”到“微信勒索病毒”,勒索病毒为何一发不可收拾?

细究勒索病毒历史,最早的勒索病毒出现在1989年,名为“AIDS Trojan”意为艾滋病特洛伊木马,象征一旦感染了这个木马病毒,就如同艾滋病一般几乎无法治愈。艾滋病特洛伊木马采用加密文件或是进一步威胁公开用户隐私等方式,恶意利用代码干扰计算机正常使用,而缴纳赎金是唯一摆脱它的方式。绑架勒索,赚取赎金向来是社会恶势力分子常用手段,而在互联网世界中,勒索病毒更是无往不利。但是归根结底,勒索病毒只能点对点的攻击单个目标计算机,并未造成大范围影响。

 

image.png
  但勒索病毒真正肆虐则是在2017年,一个名为“The Shadow Brokers”的黑客组织入侵了美国NSA下属的方程式黑客组织后,公开了方程式组织的大量攻击工具的开源文件,其中就包含了一个超级大杀器——号称可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝(Eternal Blue)。永恒之蓝是疑似美国NSA针对CVE-2017-(0143~0148)数个漏洞开发的漏洞利用工具,可以通过利用Windows SMB协议的漏洞来远程执行代码,并提升自身至系统权限。

 

image.png
  勒索病毒加密原理

在永恒之蓝的辅助下,只要一个人不小心打开了包含勒索病毒的文件或是网站,勒索病毒就会迅速感染他的电脑,进而通过永恒之蓝入侵并感染与之有关的所有电脑,WannaCry病毒就此大规模爆发了。据统计数据显示,在短短数天内,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染,W至少150个国家、30万名用户中招,造成损失达80亿美元,造成的社会影响巨大。

  除了做好防范措施外,勒索病毒几乎无解

在勒索病毒大规模爆发之后,除了建议用户备份数据及时打补丁、关闭能够感染病毒的端口,以及帮助用户修复永恒之蓝系统漏洞外,全球众多的安全厂商至今还未能拿出能够行之有效的破解该勒索软件的方案。用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件几乎毫无恢复的可能。

此后,包括Genasom、Foreign、NotPetya、Doublelocker在内的种类繁多的勒索软件竞相花式登台,将用户的电脑按在地面上反复摩擦。但同样的一点是,安全业内对这些勒索软件除了帮助用户修复可能存在的安全漏洞以外,对勒索病毒本身仍然无计可施。

 

image.png
  Petya勒索病毒勒索界面

难道勒索病毒就真的所向披靡通杀四方?知道创宇404实验室:我看未必!

咋勒索病毒四处攻城略地时,国内外众多安全厂商和安全团队也都着手对勒索病毒展开了研究。可以说谁能够率先破解勒索病毒,谁就能够赢得用户的热情拥趸,获得极高的声望。而曾经多次为微软、苹果、Adobe、BAT等知名厂商提交漏洞的知道创宇404实验室也在对勒索病毒保持着密切的关注。

2018年下半年,一个名为撒旦“Satan”的勒索病毒异常活跃,曾多次更新并衍生出变种勒索病毒,对国内部分服务器进行攻击。12月1日,一种名为lucky的勒索病毒大肆传播,该病毒会将指定文件加密并修改后缀名为 .lucky。

 

image.png
  Lucky勒索病毒勒索界面

知道创宇 404 实验室的炼妖壶蜜罐系统最早于2018年11月10日就捕捉到该勒索病毒的相关流量,截止到 2018年12月04日,该病毒的 CNC 服务器依然存活。根据分析的结果得知,lucky 勒索病毒几乎就是 Satan 勒索病毒,整体结构并没有太大改变,包括 CNC 服务器也没有更改。Satan 病毒一度变迁:最开始的勒索获利的方式变为挖矿获利的方式,而新版本的 lucky 勒索病毒结合了勒索和挖矿。

 

image.png
  lucky 勒索病毒的整体结构图

在了解该勒索病毒的相关细节后,知道创宇 404 实验室迅速跟进并分析了该勒索病毒。在分析该病毒的加密模块时,知道创宇404实验室意外发现可以利用伪随机数的特性还原加密密钥,顺藤摸瓜找到了该病毒的漏洞,经过多次验证,确认了该漏洞能够帮助用户直接获取密钥。而后,知道创宇 404 实验室对 lucky 勒索病毒进行了概要分析,并着重解析了加密流程以及还原密钥的过程。

目前知道创宇404实验室已经将解密方法转换为了解密工具,并已发送给其他厂商帮助用户直接破解lucky的勒索病毒。不幸感染lucky勒索病毒的用户可以通过各厂商发布的解密工具自行破解,如有需要也可联系知道创宇404实验室寻求协助。知道创宇404实验室提醒,勒索病毒依然在肆掠,用户应该对此保持警惕,虽然 lucky 勒索病毒在加密环节出现了漏洞,但仍然应该避免这种情况;针对 lucky 勒索病毒利用多个应用程序的漏洞进行传播的特性,各运维人员应该及时对应用程序打上补丁并及时备份。

      知道创宇404实验室副总监隋刚表示,虽然勒索病毒都会采用加密文件的方式达到勒索的目的,但是由于各个勒索病毒的加密算法并不一样,其他的勒索病毒加密方式还有待破解。不过,此次能够破解lucky勒索病毒是一个具有开创性的开端,接下来可以更好的总结思路,举一反三研究其他勒索软件的加密方式,解决“勒索病毒无解”这个难题。对普通用户如何应对勒索病毒的问题,隋刚表示,勒索病毒是一个完整的程序,会随机产生加密密钥,密钥可能还保存在内存当中。这时尽量不要慌张而尝试重启电脑,重启电脑会清空可能存在于内存中的加密密钥,对进一步的分析获取勒索病毒密钥造成困难。