萌口组 Kou.moe
  •    导航
Staff
组织结构
入会
关于
新闻

第一期:不要再乱传勒索软件的谣言啦!!(〃>目<)

黑猫长 发布于 2017-05-14 + 3375 次浏览 + 1 条评论

呀,大家好ヾ(o◕∀◕)ノ我是萌口组的紫苑寺白。平时最大的爱好就是研究一切和计算机以及数码相关的事情o(*≧▽≦)ツ最近我们组长一直唠叨着要扩大我们萌口组的影响力,每个人都要根据自己的特长做点宣传贡献。所以呢,在有栖川姐姐的建议下,我就开始给我们组的网站写文章了。我的目标是和大家分享各种各样的我觉得重要、有趣或者新奇的话题,也欢迎大家和我讨论交流,互动研究~

还请多多指教哦(= ̄ω ̄=)

那么,言归正传,我们第一期要讲的话题,就是这两天闹得沸沸扬扬的恶意勒索软件——WannaCry。大家从各种新闻渠道应该也了解到了不少相关的消息吧?但是呢,我发现很多人都极不负责地发布了一些毫无根据的言论,像“这个病毒只感染Windows 10”、“病毒的加密就是小儿科”、“全世界黑客在联合人肉作者”等等等等。对于这些说法,我是很生气的——不懂能不能不要乱说啊(ノ`Д´)ノ

所以,为了不让更多人被误导,下面就由本小姐来亲自为大家一一解惑,说一说WannaCry到底是什么来头:


1、这个勒索病毒到底是个什么东西?



1494753968884.jpg

思科Talos团队做的图很棒啊~



严格来说,WannaCry(或者叫做WannaDecrypt0r)不是一个电脑病毒,而是一个蠕虫——是蠕虫,不叫蠕虫病毒 (#`皿´)!!因为它会在网络上自我复制和传播,这是计算机蠕虫最重要的特性。它利用了最近新曝光的Windows操作系统漏洞入侵计算机,加密受感染者电脑磁盘上的文件,然后以比特币的形式索取赎金。这赎金还不便宜——我测试的样本要价600刀!!简直是暴利的生意啊(⊙ˍ⊙)


2、这事和美国国家安全局(NSA)有什么关系?


TIM截图20170514172933.jpg


大家还记得去年8月份“影子经纪人”(Shadow Brokers)曝光NSA“方程式”小组(Equation Group)的网络武器的事情吗?当时“影子经纪人”公开的网络武器分收费和免费两部分,收费部分公然要价100个(还是一百万个来着?(─.─||))比特币。这么贵的价格当然就没有什么人愿意买啦~所以眼看就要淡出公众视线的“影子经纪人”在今年3月份索性直接公开了收费文件的密钥。安全专家们解开这个文件之后发现,其中包含很多针对Windows系统的漏洞利用工具。其中影响范围最广的,就是代号为“永恒之蓝”(Eternal Blue)的MS17-010漏洞。这一漏洞存在于Windows系统主要用于文件共享的SMBv1协议中,攻击者可以利用现成的工具,远程获取到目标计算机的控制权限。

而WannaCry蠕虫在感染目标计算机之后,一方面会遍历这台电脑上存储的所有远程桌面连接并自我复制运行,尝试通过这种最简单的方式来感染其他电脑;另一方面则会释放“Doublepulsar”工具,利用上面所说的“永恒之蓝”漏洞入侵局域网内的其他计算机。因为这个漏洞几乎对所有主流Windows操作系统都是有效的,而针对它的补丁今年3月才正式发布,所以很多陈旧的系统就都遭了殃。

有人说这是NSA的阴谋,然后脑补出了各种各样骇人听闻的故事,呃......╮( ̄▽ ̄)╭


3、感染了这个蠕虫会怎么样?


china-global-cyberatt_kuma-11.jpg自带28国翻译,比某些游戏良心多了( ̄y▽ ̄)~*


你的电脑中除了几个关键目录和exe程序之外,常见的大部分文件类型都会被高强度加密。接着你的桌面就会被替换成黑底红字的警告,并且自动打开一个详细说明情况和交付赎金方式的窗口。蠕虫为了证明其本身具有解密能力,会允许受害者免费解开一部分文件的加密。想要完全解密,就需要把指定数额的比特币转到在窗口下方列出的作者的账户上。这个窗口的界面上还有个倒计时,倒计时归零之后被加密的文件就都会被删除掉(这条推特是这么说的)。

所以,感染了这个蠕虫,确实很让人头疼啊(>д<)


4、感染了蠕虫之后,有办法自己解密吗?


encryption-on-paper-with-key.jpg


很遗憾,目前不能。根据现有的公开分析,我们大概可以知道,蠕虫的加密技术细节如下:


  • 蠕虫针对每一台感染的计算机都会生成一个不重复的RSA-2048密钥对

  • 每个被感染文件都是由AES-128-CBC算法加密的,其中每个文件的密钥都是不同的

  • 上面所说的每个AES密钥都是由CryptGenRandom生成的

  • AES密钥通过使用上面的RSA密钥的RSA-2048加密后,存到文件中

(具体内容可以参见Freebuf上的这篇文章


嗯......不严谨地说,就是每个文件都是用一个不同的密码加密的,而这些密码又都用一个强度高得多的密码加密过。而且更麻烦的是,对文件的加密,也就是AES加密算法,是对称加密,加解密的密钥是相同的;但是加密密钥用的RSA密钥,是非对称的——加密用的是公开在外的公钥,但是解密只能用只有作者才知道的私钥。这些密钥和我们平时使用的密码可不是一个概念,比如说RSA-2048中的2048,就是指计算时使用的“模数”是2048位的——这个数字很恐怖啊(°□°;)

据说银行采用的也正是这一加密标准,所以,你觉得我们有多大的概率自己解开呢......(︶︿︶)

但是,我们还有一线希望。著名的卡巴斯基实验室,还有像AVG这样的安全厂商,都在针对各种流行的加密勒索软件开发相应的解密程序,但是这些程序究竟是基于何种原理,具体效果又如何就不得而知了。

有需要的同学可以去看看:卡巴斯基免费解密软件AVG的免费解密工具

今天360发布了一个号称可以用来解密的软件,但是经过我的测试效果非常一般。至少,我在测试电脑的桌面上创建的一堆文档图片,一个都没有出现在恢复列表里(TAT)......


2345截图20170514172750.jpg

知道是不是因为只敢放虚拟机的缘故......



5、付钱给蠕虫作者,文件真的会解密吗?



shutterstock_423850699-680x400.jpg

Cryptowall肆虐的时代,有不少人都毫无办法,只能付钱



不知道(+_+)实际上,勒索软件对于计算机安全行业来说已经不是什么新鲜事了,只不过还没有哪个勒索软件闹得这么凶。而免费解文件证明解密能力、详细指引比特币支付方式的这一套说辞,对于安全研究者来说也是老生常谈了。有很多人在社交媒体上表示付了钱文件也没给解密,赔了夫人又折兵;也有很多人表示付了钱黑客真的就按约定给解密了,可以说是众说纷纭,口径不一。但总的来说,勒索软件千千万,我们不能保证每个做这种事情的人都是守约的君子(毕竟,钱都拿到手了为什么还要给你解密(* ̄∇ ̄*));另一方面,要是大家都因为没有好的解决方法去交钱,那这只会越来越助长这样的恶人的气焰。

反正我是肯定不会付钱的( ̄3 ̄)a


6、我还没感染这个蠕虫,要怎么预防?



update2-970x546.jpg

微软现在已经形成了每月定期的“Patch Tuesday”机制



首先,最根本的解决办法是打上操作系统补丁。本来,MS17-010漏洞的修复范围只涵盖到Windows 7和Windows Server 2008 R2之后的系统,并且不包含已经淘汰的Windows 8。但是由于事态愈演愈烈,微软不得已在昨天破例放出了Windows XP、Windows Server 2003、Windows Vista等等早已停止了升级支持的系统的相关补丁。

所以,使用Windows 7/Server 2008 R2或更新版本操作系统的同学,更新到最新版本就可以彻底免疫;而还在使用XP之类系统的同学,可以使用360这样的第三方工具,或者到微软的补丁目录手动下载补丁安装。

其次,养成良好的习惯是非常关键的。及时安装系统更新,经常使用杀毒软件扫描,不随便打开可疑的链接和来历不明的邮件,这些东西看似老生常谈,但在预防安全隐患方面确实非常有效。毕竟,系统补丁和杀毒软件能实现的大多都是马后炮式的免疫和查杀,而现代的黑客也越来越多地利用社会工程学等等手段来攻击一些人本身而不是系统的弱点,所以,小心总是好的。

还有,就是机房的管理员们需要引起特别的注意:这次的蠕虫之所以在高校肆虐,正是由于以高校为代表的计算机内网长期不更新系统、关闭防火墙导致的。希望有了这次教训之后,管理员们能不辞辛苦,认真加固一下系统安全,及时更新系统补丁。就算防不了对0 day漏洞利用,但至少用已知工具作恶的黑客是不会得逞的<( ̄︶ ̄)>

最后,Windows 10真的很好,我手头所有的电脑都安装了创造者更新,不是一般好用(微软的大大们不考虑给一笔广告费么? (>▽<))


▍|▍▍||▍| ▍|▍▍||▍| ▍|▍▍| ▍|▍▍||▍| ▍|▍(,,• ₃ •,,) 奇怪的分割线 (,,• ₃ •,,) ▍|▍▍||▍| ▍|▍▍||▍| ▍|▍▍| ▍|▍▍||▍| ▍|


以上的内容,算是背景知识。下面是关于一些盛传的误解的说明:


7、听说这个蠕虫专门攻击Windows 10,是真的吗?

听说这个蠕虫只有Windows 10才防的住,是真的吗?

听说这个蠕虫还会感染Mac OS,是真的吗?

...........................


Windows-10-logo.jpg

Windows 10迄今为止已经经历过三次大型更新


到底是谁这么说的啦!!!!(╯‵□′)╯︵┻━┻

就像第二条回答中说的一样,这个蠕虫传播利用的是MS17-010漏洞,所有没有打过这个漏洞补丁的主流Windows操作系统都受影响。这个补丁是什么时候发布的呢?今年的3月14日。也就是说,理论上没有打上3月14日补丁的Windows,哪怕是Windows 10 1607版也无法幸免于难。所以,Win 10并没有被针对,也不存在绝对的安全性。

但是呢,目前我能确定的,也只是理论上会有这样的影响——实际上,我自己也只是在Windows 7和2008 R2上成功复现过Eternal Blue,连XP和Server 2003都没能正常攻击。而且,我也没时间在不同的系统上一一测试。等什么时候有时间了,我再来具体测试一下,嗯<( ̄3 ̄)>

想要了解补丁的详细信息的同学可以到微软的问题发布页看一看。

至于Mac OS,从根本上来将,它是基于UNIX内核的操作系统,而现代Windows则是基于NT内核的操作系统。连内核都不一样,这个蠕虫肯定不可能感染了啊~( ̄▽ ̄)"


8、作者都把自己的钱包亮出来了,难道还没法抓到他吗?


TIM截图20170514172840.jpg

听起来挺玄,但是早年去“挖矿”的人确实都赚了不少


确实,目前甚至我们可以在网上直接看到蠕虫作者使用的三个收款账户的交易记录:

但是虽然听起来有些荒唐,但就算如此,我们也暂时拿他没办法。首先,比特币相比传统货币的一大优势就是匿名性——就算你知道了钱包地址,你也没有办法追查到钱包主人,除非他自己主动说出来。比特币的地址是由用户的公钥经过 SHA-256 散列运算后,再通过 RIPEMD-160 散列运算得出。我们之前已经说过,公私钥搭配的非对称加密运算安全性很高,而这里提到的散列运算又有不可逆的特征。所以,就算是警察蜀黍,也不能像现实的银行账户一样,去追查出作者的身份。

而另一方面,这个蠕虫的通信、控制,都是通过Tor网络,也就是人们常说的“暗网”的核心技术完成的。这样的网络中的每一条通讯都在一个虚拟电路(Virtual Circuit)的节点中经过多次转发,传输时又都采用了点对点加密,所以也没有办法通过传统的抓包分析的方式找到始作俑者。

当然,Tor网络并非无敌的。就算在网络内部经历再多的封装转发,在网络出口处也是需要解开成明文的。所以理论上来说如果Tor网络的出口被监视,那么坏人们还是很有可能会露出马脚的 <( ̄︶ ̄)> 


9、据说蠕虫里有个“感染开关”已经被关掉了,那是不是今后感染这个蠕虫也没关系了?


TIM截图20170514172856.jpg

借用了Hacker News的图片,这眼睛好可怕(>_<、)


肯定不是!

首先,我们来说说这个“感染开关”怎么一回事?有安全专家在分析这个蠕虫的时候,意外发现蠕虫运行的时候,会尝试访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个地址,如果没法访问,就继续感染;如果能向其发送GET请求并得到回复,就退出进程不再作怪。这个地址显然是作者脸滚键盘的产物,因为不存在,自然就无法访问。但因为在分析时发现这个域名没被注册,所以安全专家就顺手注册了。这样一来,所有被这个蠕虫感染的可以正常联网的电脑都能够访问,即使感染了蠕虫,文件也不会被加密了。

但是,勒索软件的变种是很容易产生的!!国内的微步公司已经监测到修复了这一弱点(甚至还包含其他改进)的新WannaCry开始在网上传播。所以,永远不要相信这些坏人会被简单地阻止住,加强自己的防御才是王道( ̄∀ ̄)


10、始作俑者是个美国高中生吗?是美国国安局吗?是俄罗斯黑客吗?......


还是那句话,不知道(+_+)。不过,我非常佩服编出这个故事的人:


v2-aba6411a6da5b50fb070aaca1652101b_r.png

类似这样的谣言不计其数


图片来自知乎zsxsoft的回答

又是犯忌,又是黑客联盟的,你还真当黑客分武林帮派啊?

正如上面所说,比特币和洋葱网络的匿名性对于世界各国的安全机构来说都是难以破解的问题,这一次对于蠕虫作者的追踪,想必也要花费一番功夫。想要在这个话题上蹭热度的人倒是不少——一个叫SpamTech的组织就在Twitter上对外宣称,WannaCry是他们的一位成员的作品。但是除了这个声明,这个名不见经传的组织也没有拿出更多的证据。

另外,美国国安局在这次事件中起到的主要作用是点燃导火索——泄露(天知道是主动的还是真的被盗)了漏洞利用工具,使得攻击者能够把勒索软件改造得具有如此威力。虽然这帮家伙也可能会以破坏世界各国的计算机网络和关键设施的正常运作为由制造这起事件,但是从“棱镜”事件以及斯诺登和维基解密爆料的一系列文件来看,隐秘地窃取信息才是这个世界最大的谍报组织的正常作风。大张旗鼓地锁别人的硬盘,从获取情报的角度来看效果很差(这完全是在毁坏情报啊 (°ー°〃)),而且还让人觉得很Low......

要是作者真被找到了,主流媒体才不会这么安静呢(~ ̄▽ ̄~)


好了,以上就是我目前想要分享的、和WannaCry相关的全部信息了 o(* ̄▽ ̄*)ブ大家觉得如何啊?有任何问题,都欢迎来和我交流哦~

以上,紫苑寺白でした~ ヾ( ̄▽ ̄)Bye~Bye~


相关文章:
  • 双十一的网络同人展

  • 来约萌口组吧!大合作计划!

  • 萌口组作者页|Author

  • 萌口组App制作计划!

  • 真恋~寄语枫秋~ - SP-time

  • 重大发表!最近的更新情况记录

  • 萌口组的再次更新!或增加新的壁纸图片站!

  • 关于萌口组的使用指南&版权协议的说明

  • 萌口组MKZ-Project

  • 萌口组服务器升级了!大家来测~

  • 萌口组更新日志七夕

  • 萌口组の大召集

  • 上个月闹得厉害 看到了各种各样的说法 辟谣很重要 谣言权当故事看了乐呵乐呵  
    感染开关和域名注册的那一段很有意思

    # 勇敢
    2017-06-02 14:03 [回复]
  • 发表评论

  • 萌口财阀
  • 政治献金
  • 交流合作
  • 关系机构
  • 权利
  • 环境责任
  • 青少年活动
  • 隐私
  • 联系萌口组
  • 展会活动
  • 可持续发展
  • Copyright 2014 - 2015 萌口组. All Rights Reserved