智库软件站:纯净手机游戏下载网站
首页 手机软件 手机游戏 电脑软件 软件教程
安天勒索病毒查杀工具

安天勒索病毒查杀工具

  • 类型:电脑软件
  • 评分:
  • 版本: v2017免费版
  • 语言:简体中文
  • 大小: 10.2
  • 更新:2017-05-15

内容介绍

安天安全公司在第一时间针对病毒开发出了应对工具,勒索病毒安天勒索病毒文件一键恢复工具是一款修复能力相当强悍的手机文件一键恢复工具软件,针对近期wana新型勒索病毒的不断蔓延,正有愈演愈烈的态势,目前该病毒已经席卷了全球众多国家,数不胜数的电脑遭受病毒侵害,你的电脑是否已经遭受侵害了呢?这个工具全自动一键恢复工具,助你快速转移电脑的重要文件资料!

安天勒索病毒文件一键恢复工具下载

工具介绍

面对肆虐的Onion、WNCRY两类勒索病毒变种在全国范围内出现爆发的情况,安天已紧急发布比特币勒索病毒免疫工具及应急处置方案。

据悉,勒索病毒变种增加了NSA黑客工具包中的“永恒之蓝”0day漏洞利用,可在局域网内蠕虫式主动传播,未修补漏洞的系统会被迅速感染,勒索高额的比特币赎金折合人民币2000~50000不等。

目前已证实受感染的电脑集中在企事业单位、政府机关、高校等内网环境。安天资深安全专家指出,病毒加密用户文档后会删除原文件,所以,存在一定机会恢复部分或全部被删除的原文件。建议电脑中毒后,尽量减少操作,及时使用专业数据恢复工具,恢复概率较高。

什么是比特币病毒勒索病毒:“比特币敲诈者” 2014年在国外流行,15年初在国内陆续被发现。这类木马会加密受感染电脑中的docx、pdf、xlsx、jpg等114种格式文件,使其无法正常打开,并弹窗“敲诈”受害者,要求受害者支付3比特币作为“赎金”,而按照记者从网上查询到比特币的比价,3比特币差不多人民币也要五六

元。这种木马一般通过全英文邮件传播,木马程序的名字通常为英文,意为“订单”“产品详情”等,并使用传真或表格图标,极具迷惑性。收件人容易误认为是工作文件而点击运行木马程序。

何谓勒索软件

勒索软件(ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。

主要传播手段

勒索软件的传播手段与常见的木马非常相似,主要有以下这些。

1. 借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行

2. 与其他恶意软件捆绑发布

3. 作为电子邮件附件传播

4. 借助可移动存储介质传播

1.3 主要表现形式

一旦用户受到勒索软件的感染,通常会有如下表现形式,包括:

1. 锁定计算机或移动终端屏幕

2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓的"杀毒软件"

3. 计算机屏幕弹出类似下图的提示消息,称用户文件被加密,要求支付赎金

图1 勒索软件弹出的提示消息

勒索软件的分类

根据勒索软件所使用的勒索方式,主要分为以下三类:

影响用户系统的正常使用。比如PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等,会采用锁定系统屏幕等方式,迫使系统用户付款,以换取对系统的正常使用。

恐吓用户。比如FakeAV(Trojan[Ransom]/Win32.FakeAV)等,会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买其“反病毒软件”。又如Reveton(Trojan[Ransom]/Win32.Foreign),会根据用户所处地域不同而伪装成用户所在地的执法机构,声称用户触犯法律,迫使用户支付赎金。

绑架用户数据。这是近期比较常见的一种勒索方式,最典型的是CTB-Locker家族(Trojan[Ransom]/Win32.CTBLocker) ,采用高强度的加密算法,加密用户文档,只有在用户支付赎金后,才提供解密文档的方法。

根据上述分类方法,结合具体行为、运行平台,可将勒索软件整理如下表:


方式

具体行为

平台

典型家族命名

其它名称

影 
响 
使 

锁定系统屏幕

Windows

Trojan/Win32.QiaoZhaz

QiaoZhaz

Android

Trojan[rog,sys,fra]/Android.DevLockeer

DevLockeer

Trojan[rog,sys,fra]/Android.Koler

Koler

Trojan[rog,sys,pay]/Android.Locker

Locker

修改文件关联

Windows

Trojan/Win32.QiaoZhaz

QiaoZhaz

拦截手机来电

Android

Trojan[rog,fra,sys]/Android.Cokri

Cokri

色情无限弹窗

Android

Trojan[rog,sys,fra]/Android.Koler

Koler

伪装色情应用

Android

Trojan[rog,sys]/Android.simplelock

simplelock

恐 
吓 
用 

伪装杀毒软件

Windows

Trojan[Ransom]/Win32.FakeAV

FakeAV

Android

Trojan[rog,sys]/Android.Svpeng

Svpeng

Trojan[rog,sys]/Android.simplelock

simplelock

伪装当地执法机构

Windows

Trojan[Ransom]/Win32.Foreign

Reveton

绑 
架 
数 

隐藏用户文件

DOS

Trojan/DOS.AidsInfo

PC Cyborg

Windows

Trojan/Win32.Pluder

Redplus

删除用户文件

Windows

Trojan/Win32.QiaoZhaz

QiaoZhaz

Android

Trojan[rog,sys,fra]/Android.Koler

Koler

加密用户文档数据

Windows

Trojan[Ransom]/Win32.CTBLocker

CTB-Locker

Trojan[Ransom]/Win32.Blocker
Trojan[Ransom]/Win32.Bitman

CrytoLocker

Trojan[Ransom]/Win32.Locker

Locker

Android

Trojan[rog,sys]/Android.simplelock

simplelock

Android

Trojan[rog,sys,fra]/Android.Koler

Koler

加密通讯录

Android

Trojan[rog,fra,sys]/Android.Cokri

Cokri

勒索软件的演进史

几种典型勒索软件家族的出现

已知最早的勒索软件出现于1989年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为Joseph Popp。该木马程序以“艾滋病信息引导盘”的形式进入系统,采用替换AUTOEXEC.BAT(DOS系统文件,位于启动盘根目录,文件为文件格式,用于描述系统启动时自动加载执行的命令)文件的方式,实现在开机时记数。一旦系统启动次数达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密(从而导致系统无法启动)。此时,屏幕将显示信息,声称用户的软件许可已经过期,要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去189美元,以解锁系统。作者在被起诉时曾为自己辩解,称其非法所得用于艾滋病研究。

2001年,专门仿冒反病毒软件的恶意代码家族(Trojan[Ransom]/Win32.FakeAV)出现,2008年左右开始在国外流行。该恶意代码家族的界面内容为英文,又因为当时国内部分反病毒厂商已经开始采用免费的价格策略,所以该恶意代码家族在国内不容易得逞,对国内影响相对较小。FakeAV在伪装成反病毒软件欺骗用户的过程中,所使用的窗体标题极具迷惑性。据安天CERT统计,其标题有数百种之多,常用标题如下表所示:

 

中文翻译

AntiSpyWare2008

反间谍软件 2008

AntiVirus2013

反病毒软件 2013

Security Defender

安全卫士

ScannRepair

扫描修复工具

Virus Doctor

病毒医生

Spyware Cleaner

间谍软件清除者/终结者

 

系统护理杀毒

Data Recovery

数据恢复

AVDefender 2014

反病毒卫士 2014

AVSecurity 2015

反病毒安全 2015

Adware Checker

广告软件清除者/终结者

2005年出现了一种加密用户文件的木马(Trojan/Win32.GPcode)。该木马在被加密文件的目录生成具有警告性质的txt文件,要求用户购买解密程序。所加密的文件类型包括:.doc、.html、.jpg、.xls、.zip及.rar。

2006年出现Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。据国家计算机病毒应急处理中心统计,来自全国各地的该病毒及其变种的感染报告有581例。在2007年,出现了另一个国产勒索软件QiaoZhaz,该木马运行后会弹出“发现您硬盘内曾使用过盗版了的我公司软件,所以将您部分文件移动到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应软件”的对话框。

赎金支付方式的变化

早期的勒索软件采用传统的邮寄方式接收赎金(比如Trojan/DOS.AidsInfo),会要求受害者向指定的邮箱邮寄一定数量的赎金。我们也发现了要求受害者向指定银行账号汇款(比如Trojan/Win32.Pluder)和向指定号码发送可以产生高额费用的短信(比如Trojan[rog,sys,fra]/Android.Koler)的勒索软件。直到比特币(比特币是一种P2P形式的数字货币,可以兑换成大多数国家的货币)这种虚拟货币支付形式出现后,由于它可以为勒索软件提供更为隐蔽的赎金获取方式,2013年以来,勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式。可以说,虚拟货币的出现,加速了勒索软件的泛滥。

移动终端的勒索软件

2014年4月下旬,勒索软件陆续出现在以Android系统为代表的移动终端。较早出现的为Koler家族(Trojan[rog,sys,fra]/Android.Koler)。该家族主要行为是:在用户解锁屏及运行其它应用时,会以手机用户非法浏览色情信息为由,反复弹出警告信息,提示用户需缴罚款,从而向用户勒索高额赎金。近两年的移动平台勒索软件家族样本中,东欧和俄罗斯所占比例最多,达到59%,其次是英、美和中国。从下图可以看到安天从各国捕获的移动终端勒索软件家族的比例,其中simplelock.a类所占比例接近总数的一半。

图2 移动终端的勒索软件

典型的移动终端勒索软件家族如下表所示:


移动终端的典型勒索软件家族

国 

DevLockeer.a

给用户手机设置锁屏密码进行勒索付费解锁。

Locker.a

置顶勒索界面,勒索用户付费解锁。

国 

simplelock.a(东欧,俄罗斯)

置顶显示向用户勒索解锁界面,同时将用户SD卡上的文件进行加密。

simplelock.b(东欧,俄罗斯)

伪装成杀毒应用,安装时要求用户激活设备管理器,运行时,强制将自身程序解锁的界面置顶,勒索用户付费解锁。

simplelock.c(东欧,俄罗斯)

勒索用户付费解锁,将用户SD卡上的文件进行加密。

simplelock.d(东欧,俄罗斯)

伪装成色情应用,强制将自身程序解锁的界面置顶,勒索用户付费解锁。

simplelock.e(东欧,俄罗斯)

激活设备管理器,界面置顶。

Svpeng.d(东欧,俄罗斯)

伪装杀毒界面,弹出伪装FBI的勒索界面,拍照显示当事人面貌,上传设备信息,强制将自身程序解锁的界面置顶,勒索用户付费解锁。

Koler.a(英美)

解锁屏及运行其它应用会以非法浏览色情网站内容为由不断弹出警告信息,提示用户需缴罚款后才能解除。

Koler.b(英美)

无限弹窗,清除系统数据,删除SD卡所有文件,强制锁屏设置新密码,勒索付费。

Koler.c(英美)

以非法浏览色情网站内容为由不断弹出警告信息,勒索用户付费。

Cokri.a(东欧,俄罗斯)

伪装成热门应用,运行后拦截所有来电并设置铃声静音,并同时加密用户通讯录号码然后无限弹出界面进行敲诈勒索。

新的威胁趋势

2015年1月,Cryptowall 家族新变种(3.0)被发现使用I2P匿名网络通信,在一天内感染288个用户,该变种在加密受害者的文件后,向其勒索比特币,同时还有直接窃取用户比特币的行为。2月和4月新出现的勒索软件家族TeslaCrypt和Alpha Crypt,被发现利用了Adobe新近修复的Flash安全漏洞。同样利用这些漏洞还有CTB-Locker、CryptoWall、TorrentLocker、BandarChor、Angler等家族。其中最为值得关注的是CTB-Locker,它使用了高级逃逸技术,可以躲避某些安全软件的检测。

2015年4月30日,安天CERT曾接到用户提供的含有CTB-Locker的邮件附件,用户称已将该附件提交至第三方开放沙箱,怀疑其具有专门攻击国产办公系统的行为。经安天CERT分析确认,在该样本中并未发现针对国产办公环境的攻击能力。但随着勒索软件的持续泛滥和攻击手段的花样翻新,不能排除未来会出现专门针对我国办公环境的勒索软件。从目前获取的勒索软件新家族看,多数仍是采用社工手段群发邮件,但这些邮件往往紧随潮流趋势,令人防不胜防。比如:据threatpost报导,CTB_Locker家族已经开始采用包含“Windows 10免费升级”(Upgrade to Windows 10 for free)标题的社工邮件传播。

小结

从最早的“艾滋病信息木马”到最近出现的Locker勒索软件,二十几年的时间里,虽然勒索软件的新家族层出不穷,但主要的勒索方式仍以绑架用户数据为主。下图展示了1989年到2015年间勒索软件的演进史,在图片左侧标明了几个重要的时间点,从图中可以看出随着Android平台的日益普及,面向移动终端的勒索软件也日渐增多;随着比特币的广泛应用,以比特币代为赎金支付形式的勒索软件也逐渐多了起来。

图3 勒索软件的演进史

典型勒索软件家族分析

勒索软件的本质是木马,下面以几个典型勒索软件家族为例,详细地介绍其勒索过程,力求揭开勒索软件的真面目。

Redplus

安天在2006年6月9日捕获了国内最早出现的Redplus敲诈者木马,该木马会隐藏用户的文档文件,向用户勒索70元至200元不等的赎金。Redplus木马运行后首先弹出虚假正版软件的对话框,点击OK后,会弹出勒索窗口。其主要行为流程如下:

Redplus木马勒索70元至200元之间的一个赎金数目,并将赎金数编辑到需要发送的短信中,如(赎金数=70,需要发送的短信内容为=000000120209011000061010#70)。

Redplus木马为达到目的,生成的文本文件内容如下:

Redplus木马在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,名为“控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户文档和包裹文件(包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象,趁机勒索钱财。

Redplus木马的作者欧阳某某于2007年在广州落网,共借助Redplus木马勒索款项95笔,合计人民币7061.05元。法院考虑到其自首情节,最终判其有期徒刑4年。

QiaoZhaz

2007年3月1日至2日,安天分别捕获了两个敲诈者病毒,分别命名为QiaoZhaz.c和QiaoZhaz.d。当用户中了QiaoZhaz后,弹出"发现您硬盘内曾使用过盗版了的我公司软件,所以将您部分文件移动到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应软件"的对话框,当用户点击"确定"按钮后,系统会自动注销,全屏黑屏。QiaoZhaz的行为流程图如下:

由于木马添加了注册表启动项和服务,导致每次开机后点击确定后木马就注销系统。去除"文件夹选项",使用户无法选择"显示所有隐藏文件"并无法去掉"隐藏受保护的系统文件""隐藏已知文件类型的扩展名"。去除开始菜单中的"搜索"、"运行"项和"关机"项,使用户不能使用搜索、command命令和关机、注销。修改txt文件关联,当用户试图运行txt文件时,则会激活木马,使用同样的方法修改任务管理器关联,当用户打开任务管理器时就会激活木马。木马把屏保时间修改为60秒,在%system32%文件夹下生成木马屏保文件,当用户60秒不操作计算机时,系统会自动运行木马。该木马利用多种方法保护自身,结束指定的反病毒软件或反病毒工具。

QiaoZhaz.d的行为更加恶劣,它除上述与QiaoZhaz.c相似的行为外,还删除非系统盘外的所有文件,使用户必须使用数据恢复软件才能找回原来的数据。同时在每个磁盘根目录下建立一个名为“警告.h”的文件。以此向用户进行敲诈勒索。

安天在2007年3月6日发布了"敲诈者病毒变种专用注册表修复工具",是专门针对QiaoZhaz的注册表修复工具。

CryptoLocker

CryptoLocker在2013年9月被首次发现,它可以感染大部分的Windows操作系统,包括:Windows XP、Windows Vista、Windows 7、Windows 8。CryptoLocker通常以邮件附件的方式进行传播,附件执行之后会使用RSA&AES对特定类型的文件进行加密。并弹出勒索窗体,如下图所示:

图4 CryptoLocker的勒索界面

完成加密操作弹出付款窗口,需要用户使用moneypak或比特币,在72小时或4天内付款100或300美元,方可对加密的文件进行解密。

加密的文件类型:

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

安天CERT分析人员测试了一个已知的CryptoLocker样本,由于服务器已经无法正常返回,导致网络数据包通信不完整,如下图所示:

图5 CryptoLocker的网络通信

ESET在2013年12月发表了一篇文章,对新出现的Cryptolocker 2.0与Cryptolocker进行了相关技术的对比,如下表 :

 

Cryptolocker

Cryptolocker 2.0

ESET检测的病毒名

Win32/Filecoder.BQ

MSIL/Filecoder.D,
MSIL/Filecoder.E

编写语言

C++

C#

付款方式

Monepak,Ukash,cashU,Bitcoin

Bitcoin

对称加密方式

RSA-2048

RSA-4096

C&C通信加密方式

RSA

AES

C&C地址

硬编码,动态生成的随机域名

硬编码

由于Cryptolocker所使用的技术在CTB-Locker中基本都包含,并未对该类勒索软件进行深入分析,具体细节请看下面CTB-Locker的分析。

CTB-Locker

CTB-Locker是Curve-Tor-Bitcoin Locker的缩写,是当前全球影响较大的勒索软件家族,主要通过邮件附件传播,使用高强度的加密算法,加密用户系统中的文档、图片、数据库等重要资料。加密完成后,CTB-Locker会采用弹出窗体和修改桌面背景等方式,提示用户支付赎金方式,并要求用户在96小时内支付8比特币(约合人民币1万元)赎金,否则将销毁用户文件。该家族在国外一直很活跃,国内也陆续出现受害者。该家族的另一个特点是使用洋葱路由(Tor),通过完全匿名的比特币交易方式获取赎金,这使得该勒索软件的作者难以追踪。

典型攻击流程如下图所示:

图6 CTB-Locker的攻击流程

安天CERT分析人员随机提取了一个样本,该样本执行后,会弹出窗体要求用户向其支付赎金。

图7 CTB-Locker的勒索界面

同时,还会修改桌面背景,告诉用户如何下载安装Tor浏览器,以及如何通过Tor浏览器访问其赎金支付页面。

图8 CTB-Locker要求用户安装Tor浏览器

通过分析该样本,可以了解CTB-Locker的一般执行过程,如下图所示。

图9 CTB-Locker样本一般执行过程

该样本在文件遍历过程中,一旦发现具有以下后缀的文件时,将对其进行加密操作。

图10 解密后的CTB-Locker文件扩展名数据

加密部分是比较关键的一部分,在这里重点说明一下。

首先样本会将要加密的文件以后缀名为.tmp的形式调用函数MoveFileEx移动到临时目录下面。接着根据文件的时间和和当前系统运行的时间等信息,填充一个缓冲区。然后对这个缓冲区计算SHA256。根据计算的SHA256值作为会话私钥(session private key)使用Elliptic curve Diffie-Hellman(ECDH)算法产生一个会话公钥(sessIonpublickey)。再与配置文件中的一个主公钥(master public key)使用ECDH算法产生一个会话共享密钥(session shared secret),对会话共享密钥计算SHA256并将这个值作为AES加密的KEY。相关代码如下:

需要说明的是,这个AES密钥是要保存到该函数的一个参数中给调用者的,但是调用者只是保存了5个AES密钥,这也就是为什么离线模式下CTB-Locker仍然能够解密5个文件的原因。把文件读取出来,然后使用ZLIB压缩后使用AES加密。加密的数据从一个临时文件的头部偏移0x30位置开始写入。文件加密完后会向临时文件的头部写入0x30的数据,其中开头的0x20字节就是会话公钥。文件加密后五个AES加密的密钥,加密文件个数,加密的磁盘等信息会保存在配置文件中。

移动平台勒索软件

2014年4月,国外开始出现移动平台勒索软件,国内也很快出现了类似软件,并且有愈演愈烈地趋势。目前国内外出现的移动平台的赎金方式有人民币、Q币、美元、卢布等,勒索方式有锁屏、加密文件、加密通讯录等方式。据了解该类软件爆发后国内已经有上千人的手机受到感染。这类勒索软件的发展将对用户手机及资料形成严重威胁。

国内出现的勒索软件通常伪装游戏外挂或付费破解软件,用户点击即会锁定屏幕,需加手机界面留下的QQ号为好友去支付赎金才能解锁。

下面是该类勒索软件的一个真实案例。受害用户手机被锁定,勒索软件作者在手机界面给出QQ号码,要求受害用户加QQ好友并支付一定赎金才能解锁。

用户加该QQ后会提示回答验证问题。在该案例中,可以看到勒索者的相关资料,在用户个人信息中可以看到勒索者的相关身份信息,但无法确保其真实性。

图11 勒索过程示意图

在受害用户加好友以后,勒索软件作者与其聊天,勒索人民币20元,并要求用户转账到指定支付宝账户才给出解锁密码。据了解,该勒索软件作者同时也对其他Android手机用户进行勒索行为,并且在受害用户支付赎金后,未能提供解锁密码。甚至还在勒索软件中加入短信拦截木马功能,盗取用户支付宝和财富通账户。有时,受害用户在多次进行充值、转账等方式后,仍不能获得解锁密,甚至会被勒索软件作者将受害用户加入黑名单。

防御:我该做什么

安全建议与部分解决办法

为了避免受到勒索软件的威胁,对于PC用户,安天CERT安全工程师给出如下建议:

1.及时备份重要文件

2.及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机

3.给信任网站添加书签并通过书签访问

4.对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接

5.定期用反病毒软件扫描系统

对于Android平台的移动终端用户,建议如下:

1. 安装手机杀毒软件(比如LBE安全大师、安天AVL Pro等)

2. 由可靠的安卓市场下载手机应用程序

对于已经受到勒索软件感染的移动终端用户,可以尝试使用以下方式:

1.如果手机root并开启USB调度模式,可进入adb shell后直接删除恶意应用

2.如果是利用系统密码进行锁屏,部分手机可尝试利用找回密码功能

3.进入手机安全模式删除恶意应用程序。主流安卓手机进入安全模式的方式是,按住【电源键】开机,直到屏幕上出现品牌LOGO或运营商画面后,按住【音量减少】键不放。如果进入安全模式成功,锁屏界面的左下角会显示"安全模式"字样。此时可对恶意应用进行正常的卸载处理。

普通用户的防御方法

通过前面的分析可以看出,采用高强度加密方式绑架用户数据的勒索软件,将对用户的数据安全构成严重威胁,做好安全防御显得极为重要。普通用户可下载专门的防御产品如CryptoMonitor(该程序可以根据行为检测结果,在勒索软件试图加密用户数据时将其阻止 )。

企业用户的防御方法

对于企业用户来说,针对勒索软件类的安全威胁防护可从预警、防御、保护、处置和审计几个步骤来进行有效防御和处理,保护系统免受攻击。首先,通过将企业用户接触到的各类文件(包括可疑文档、未知应用程序)自动提交到企业内部的云平台,通过特征检测、虚拟化执行等方式集中鉴定,及时发现可疑文档(可能是具有漏洞利用的攻击文档)和恶意程序。其次,企业IT 管理人员可将具有重要价值的文件资源的主机设置为重要计算机或受限计算机,一旦勒索软件或其它可疑程序运行时,可以通过可信应用基线(白名单)检测的方式及时将其发现,并予以阻止。再次,可采用安全文档措施保护具有重要价值的文件。最后,通过云端追溯功能来对恶意样本进行全网追查,便于事后审计和定损。

图12 安天企业安全产品工作流程

总结

勒索软件的技术含量虽然不高,却可以对用户的数据安全造成严重危害,其威胁不可小觑。

2015年5月底,勒索软件Locker的作者公布了其使用的勒索数据库并公开表达了歉意,随后还提供了自动解密程序供受害者使用。据统计,该数据库中共包含62,703条勒索记录。按该软件显示的勒索金额0.1比特币(约合175元人民币)计算,如果这些受害者都支付赎金,作者获得的非法收入可达一千万元。在巨额非法收入的诱惑下,很可能会有越来越多的恶意代码作者开始从事勒索软件的开发,借助比特币等难于追踪的支付方式的保护,勒索软件的作者也会越来越有恃无恐。

希腊战士跳出木马,杀死睡梦中的守军,打开城门。城外隐藏的军队如潮水般涌入特洛伊城,将城市烧成一片灰烬。此时的特洛伊人懊悔没有听从拉奥孔的劝告,但为时已晚……对于一般的感染式病毒或木马,即使用户在遭受安全威胁之后再安装反病毒软件,依然可以亡羊补牢,让系统重新处于安全状态。但对于绑架用户数据的勒索软件而言,没有可靠的事前防御和检测能力,面对已经被勒索软件加密的用户数据,侧重于保护系统安全的反病毒软件也无能为力。只有安装侧重于保护数据安全的工具或部署针对企业安全特点的安全产品,才能尽量避免给勒索软件以可乘之机。

火爆手游