[闲聊] 关于Cryptowall和Crypt0L0cker

楼主: st20511 (st20511)   2015-06-14 23:22:25
因为在工作上有接触到这类的病毒
所以跟大家分享一些我知道的资讯
1. 我是怎么感染到这类加密型勒索病毒(CryptoRansomware)?
目前比较常见的散播途径主要是
垃圾邮件 (SPAM) 和 攻击套件包 (Exploit Kit)
但在台湾透过垃圾邮件来进行散播这类病毒还很少看到
我相信目前大部分的人应该也不是在收信以后才被加密的
所以感染途径应该都是由隐藏在广告内的攻击套件包连结导致的
所谓的攻击套件包攻击,简单来说,就是透过 网页 来进行攻击
套件包主要锁定没有更新的 Flash、PDF、Java、IE 等
程式内的漏洞来进行攻击,借此控制电脑下载病毒执行
从去年开始,这类的套件包网页连结开始被藏在广告当中
使用者只要显示到广告就会在你看不到的位置,偷连到套件包网页
过程都是自动的,所以大家即使上一般的网站都有机会被攻击
例如Crypt0l0cker请参考
http://goo.gl/Tma8qr
或是CryptoWall请参考
http://goo.gl/uIPRBx
2. 被病毒加密了之后,还有没有机会解密?
这类病毒使用的RSA+AES加密框架,对于一般个人电脑来说
可以说是没有机会自己解密的
而目前防毒厂商为什么能够提供解密工具,我自己知道是
因为病毒作者被逮捕,所以病毒的钥匙被找到后公开
如最早的CryptoLocker
或是病毒实际上并不是用真的RSA+AES非对称加密 (虽然它说是)
例如TeslaCrypt
除此之外,感染之后,除了付钱,真的很难救回档案
3. 应该怎么防范这类攻击套件包的攻击?
更新! 更新能让你的电脑更安全,也是目前最推荐的方法
对方的攻击对象包含Windows、IE、Flash、PDF Reader、Java、SilverLight
最好当更新一释出之后能够马上更新这些程式
尤其是Flash最好能在更新出来的三天内马上更新,原因请看 附录1
另外有人说Windows 8不会感染,我自己实验8.1的结果是会感染的
所以即使是使用比较新的Windows还是要记得更新!
另外我个人推荐安装Microsoft EMET,它可以一定程度的让你的电脑
更难被攻击穿透下载病毒,他是微软推出的保护软件,而且是免费的
大家都可以装,EMET请参考 附录2
如果有使用防毒软件的话,建议除了能够扫描档案以外
最好也要能够有过滤URL的功能
因为目前的攻击套件包已经能够在不写入硬盘/档案系统的情况下
直接将下载的病毒在内存内执行起来
所以只能够扫描档案的防毒软件,即使有病毒码
可能也阻挡不到真正的病毒,细节请参考 附录3
附录1: https://goo.gl/y8n0Ep
附录2: https://goo.gl/3rQHjP
附录3: https://goo.gl/2zjhf1
作者: ofy (殴飞)   2015-06-14 23:53:00
只要能证明P=NP,就可以轻易救回被加密的档案,请大家一起挑战
作者: GBO5 (西布勒)   2015-06-15 00:10:00
请问 这病毒中了就会马上锁吗?电脑内有该病毒扫的到吗(卡巴)日前用pcman开FB点到别人贴的A片视频(别人宣称他中毒),结果我手滑点到跳出视窗,我立刻关闭(也没看内容),之后断网络看连结用virustotal扫我防毒是卡巴显示Unrated site,只有ESET是Malware site之后用卡巴斯基完整扫描也没异常
作者: jh961202 (阿电)   2015-06-15 01:52:00
楼上碰到的应该是先前的FB病毒吧..那好像是针对Chrome的另外我浏览器不用IE,Chrome也有挂AdBlockPlus,不知道能不能挡掉这类东西...
作者: eeeeee   2015-06-15 01:57:00
我EMET都必须关闭EAF才能开启列管的程式 为什么?
作者: GBO5 (西布勒)   2015-06-15 02:04:00
pcman默认是IE所以理论上是没事吗?
作者: eeeeee   2015-06-15 02:04:00
win7 64bit EMET 5.2
作者: newnovice (serenity)   2015-06-15 17:49:00
作者: mathrew (Joey)   2015-06-15 19:36:00
这只中了 基本上就是无解 定期备份资料很重要
作者: GBO5 (西布勒)   2015-06-15 21:14:00
了解 感谢原OP跟N大
作者: Japan2001 (台湾新幹線)   2015-06-16 00:37:00
emet没有中文唷 英文白吃的我 使用起来很难过...
作者: George017 (阿丙)   2015-06-16 11:26:00
EMET只有跟IE可以一起配合吧
作者: malk1986   2015-07-04 22:24:00
我管理的一间学校好像没有灾情过~

Links booklink

Contact Us: admin [ a t ] ucptt.com