勒索软件发展趋势及其防护策略

勒索行为在生活中屡见不鲜,作为物理世界的映射-计算机世界自然也难以幸免.随着计算机网络的发展.信息资产,信息货币的产生和发展使得互联网勒索变为可能.在最近几年里,勒索软件问题逐渐凸显.

今天我们借助对最近涌现出的典型样本的深入分析.从原理,交易,防护等四个方面一探勒索软件内幕,接着试图从宏观上归纳该类恶意程序的发展趋势.最后我们探讨了遏制之道.

运作核心

从我们掌握的样本(列表见下)中不难得出归纳出勒索软件依赖以下两点进行运作:

1. 黑客对用户信息筹码的掌控.
2. 密钥与金钱的交易.

传统的筹码包含了恐吓.在一些案例中:
黑客通过先行攻击网络站点或者网吧.接着推销服务或者直接以再次攻击威胁受害者.
以上的行为归为传统互联网攻击攻击勒索.不在本文进行讨论.

在勒索软件攻击案例中,筹码往往为被勒索者的信息资源及其使用权限进行限定.使用户很难在不借助攻击者提供的某些信息和资源下正常工作以及维持信息的安全性和可利用性.

黑客的目的自然是利字当头.维持一个畅通地安全地与被勒索者交易的途径通常为敲诈者首先考虑.

以下三款勒索软件:

勒索程序名称 勒索货币 密钥形式 沟通渠道 沟通方式 易语言开机锁敲诈 Q币 固定密码 QQ号码 面谈 CryptoWall 3.0 比特币 AES I2P 强匿名交易自动化 开源勒索软件Hidden Tear 比特币 AES 服务器 交易自动化

趋势:

1. 文件加密算法.
   向着更难解密的加密方式发展.除却固定密钥加密,面对密码学难题安全厂商也是束手无策,例如CryptoWall 3.0使用的AES256 基本无法通过逆向分析进行破解..即使安全厂商已经获得某个密钥也难以与受害者进行即时沟通,这都在一定程度上迫使被勒索者为重要文件交出赎金.

2. 与被勒索者互动.
   一些勒索软件(如CryptoWall)的制作者尝试满足不同语言操作系统使用者的差别,并为这些受害者制作了单独语言的勒索信息,以期”帮助”更多被害者修复文件.
   Hidden Tear则使用了一种国际流行的方式,通过将动态加密密钥存放在服务器上.以期进行自动处理.
   而开机秘密敲诈程序,通过QQ号码进行敲诈的小黑客可谓”胆大心细”.在小学生计算机上进行普法教育引导非常重要.现在的社会氛围是崇拜搞破坏的黑客的.

3. 对黑客身份的隐蔽.
   易语言开机锁敲诈,使用QQ号大部分使用的是小黑客自己的QQ号码,不要开玩笑好吗?很容易找出软件制作者.
   开源勒索软件使用的是服务器,毕竟服务器需要注册.这就给寻找黑客身份带来可能.虚假身份注册可能会使你永远找不到勒索者.
   CryptoWall 3.0这是一款非常隐蔽的勒索程序,关键在于它使用I2P网络进行通讯.这种网络的匿名性质决定了即使是美国总统的私人文件被加密也没办法找到密钥拥有着.

4. 国内外差别
   由于国内对匿名数字货币货币的扼制和在国内普及度不高等原因,致使国内黑客通常期望被勒索者通过Q币等虚拟货币与之进行交易.但未来匿名货币勒索是一个趋势.

防护策略

个人电脑:

1. 不要运行邮件里的不明程序.在你明确网友身份之前,不要运行网友发给你的程序.
2. 你需要明确的你的重要信息是什么,无论是珍贵的照片,并将它们备份.在备份前检查它们的有效性.

安全厂商:

1. 加密算法检测
   从二进制流中挖掘算法的踪迹.

2. 行为监测.
   对于绝大多数用户,增加开机密令等行为应当是界面操作而非命令行操作.此外格式化,调试,等命令行命令,应当进行拦截询问.防止恶意程序对用户数据造成破坏.
   根据勒索软件加密覆盖原程序的特征,对于大面积操作用户数据的行为进行监控,识别,和拦截提示!甚至截获其密钥.

维护用户信息安全,任重而道远.各大安全厂商作为用户数据的第一警卫,消减扼制互联网勒索行为势头当仁不让.希望完善针对互联网敲诈程序的检测,拦截策略.

如果您觉得此文不错,请点: