勒索木馬也有山寨貨?細數那些演砸了的黑客魔術

雷鋒網 於 03/05/2016 發表 收藏文章
最近,勒索木馬經常佔據頭條,因為黑客們經常玩出奇異的姿勢。例如:

引用
  • 用木馬鎖住了美國東西海岸的數家大醫院的系統,讓數萬病人的資料和數千萬美元的醫療設施處於“封印狀態”。
  • 搞癱了教堂的電腦系統,讓虔誠的信眾無法愉快地禮拜。逼七十多歲的老牧師學着用地下網絡給敲詐者匯款。
  • 供水供電局的員工不小心打開了一個勒索木馬,導致其緊急關停了部分網絡服務。

作為一個沒有道德下限的行當,網絡勒索不斷集成各種卑劣的技巧。

例如偽裝成求職者給公司人力部門發郵件,或者偽裝成一個有用的小工具欺騙用户下載。一旦被安裝,往往會鎖定你的重要文件,然後彈出一個嚇人的勒索界面索要贖金,並且配有半個屏幕大小的倒計時時鐘。一旦你沒有在規定時間內付款,就會把贖金翻倍。例如TeslaCrypt、Locky或者隨後出現的變種木馬 CTBLocker 和 Filecoder.DG

科技的進步,讓勒索的門檻創了新低。看到“老司機”風捲殘雲般地“掙錢”,很多新手黑客也躍躍欲試,“自主研發”勒索木馬。然而,勒索木馬需要很強的加密技巧,新手打造的“良莠不齊”的木馬經常在安全人員的面前土崩瓦解,讓這些人顏面掃地。

最近,著名安全公司 ESET 分享了三個“渣版”勒索木馬。理論上來説,如果你被這種木馬鎖定之後,請不要驚慌,你不用付一分錢就可以拿回心愛的文件,一袋煙的功夫就可以恢復往日的生活。

下面有請三位登場。

偷懶的木馬——Petya


【Petya】

Petya,最初被安全公司趨勢科技發現。它的標誌就是“死亡紅屏”。在成功滲透進入 Windows 系統之後,木馬會強迫用户重啟電腦。而重啟之後,電腦就再也進入不了 Windows 了,而是會自動加載一個勒索頁面,向受害者索要 0.99 比特幣的贖金。

然而,這個時候如果急於支付贖金,就太冤了。

經過分析,安全人員發現了這個木馬是由“偷懶的黑客”設計的。它雖然看起來兇惡得無以復加,但實際上只修改了系統的引導記錄以及加密了主文件表(主文件表是一個描述所有文件體積、位置和目錄結構的東東)。而真正的文件還原封不動地躺在磁盤裏。

不得不説,這種提綱挈領,打蛇打七寸的方法還是很有想象力的。客觀來説,如果主文件表損壞,想要恢復起來確實要花很大的力氣。然而,偷懶的黑客在這裏犯了一個致命的錯誤,留下了一個碩大無朋的邏輯漏洞。這使得安全研究員可以輕鬆地看到他的加密方法,從而開發出一個簡單的解鎖工具。由於只需要恢復主文件表,所以這個解鎖工具非常輕量級,目前已經能夠在網上下載到免費的版本。

這個故事告訴我們,偷懶是天才的專利。一般人還是信奉勤能補拙就好。

過於注重形式的電鋸殺人狂——Jigsaw


【Jigsaw】

Jigsaw,翻譯成中文就是德州電鋸殺人狂。製造他的黑客應該是個電鋸迷。不得不説,Jigsaw的用户體驗非常完美:

中招之後屏幕上會出現一個經典的面具——電鋸殺人狂。在左上角輔以駭客帝國版本的文字:“I want to play a game...”

這個遊戲的玩法是:

引用用户必須在一個小時之內支付贖金,否則就會自動刪除一個用户的文件。以此類推,每過一個小時,木馬都會“撕票”一個文件。只是這樣還不夠刺激,如果你試圖逃離遊戲——例如重啟電腦神馬的——黑客會立刻刪掉1000個文件以示懲戒。


怎麼樣?這種兼顧趣味性和勒索功能的木馬還真是少見呢。然而,也許是過於注重 UI 的設計,黑客並沒有在加密算法方面發力。具體表現在:木馬對於它的所有受害者都採用了同意的靜態密鑰。簡單來説,就是用一把鑰匙就可以打開所有的鎖。

這大概相當於一個非常刺激的密室逃脱,設計了無數精巧的機關。然而最有效的逃脱方式還是——踹門。

雷鋒網(搜索“雷鋒網”公眾號關注)建議這個木馬的作者去做遊戲開發,也許還能賺得多一點。

東施效顰的山寨貨——Autolocky

之前提到,Locky 在勒索界是泰斗級的木馬。於是有黑客相信:向經典致敬的最佳方法就是抄襲。Autolocky 就是山寨版的 Locky,它對於 Locky 的模仿可謂達到了登峰造極的地步:

引用
  • 從名字上來看,Autolocky 似乎是 Locky 的“加強版”;
  • Autolocky 在目標文件的選擇上和 Locky 完全相同;
  • 連鎖定之後的擴展名都採用了和原版一模一樣的“.locky”,看起來就是這麼專業。

但是,山寨之所以被稱為山寨,就是沒有掌握“核心科技”,所以他們的宿命往往是:在現實面前遭遇可恥的失敗。

Autolocky 費勁心機地生成了一個密鑰,卻迫於渣到爆的編碼水平,把密鑰用 IE 明文回傳到黑客的服務器上。而黑客可能忘記了,IE 對於數據傳輸是有歷史記錄的。

所以安全研究員只要翻翻歷史記錄,就可以輕易地找到這個密鑰。不用麻煩黑客就得到了解鎖密碼。得知這個“祕密”之後,製作解鎖工具甚至不需要五分鐘。


勒索木馬就像是一個個黑客魔術。然而並不是每個魔術師都是劉謙,對於要面子的黑客來説,勒索這種拼腦力的“技術活”如果演砸了,還是很丟人的。

不可否認,如果沒有安全人員為你拔下底褲,這些木馬還是有很大殺傷力的。然而每一個魔術被揭穿之後,就是這麼無聊和不堪。中了這些可愛的黑客研究的良莠不齊的黑客,也算是不幸之中的萬幸吧。


資料來源:雷鋒網
作者/編輯:史中·方槍槍

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→