被勒索后的72 小时“生死时速”

news2024/11/23 0:38:59

编者按

数字化浪潮蓬勃兴起,企业面临的安全挑战亦日益严峻。

腾讯安全近期将复盘2022年典型的攻击事件,帮助企业深入了解攻击手法和应对措施,完善自身安全防御体系。

本篇是第四期,复盘了一次勒索病毒的紧急应对事件。一旦染上勒索病毒相当于宣判了重要文件被囚禁在了数字监狱,似乎除了缴纳赎金别无他法。但如果面对的是一个有缺陷的勒索病毒呢?这是建筑工程设计师老张和安全专家zhipeng的72小时竞赛故事。

“如果您在72小时内与我们联系,可以享受50%的折扣”。

一辈子没中过大奖的工程师老张,看到这句话几乎晕厥了。

是心爱之物离自己越来越远的心悸引发的生理晕厥。

因为这不是限时优惠的促销通知,而是一则勒索留言。

勒索筹码是老张电脑中被加密的工程设计图纸,包含了老张建筑工程设计生涯近20年的图纸底稿文件。

无论老张如何操作,电脑中他熟悉的一个个设计图纸文件均无法打开,老张慌了神。

但“贴心的”黑客在“勒索信”上告诉了老张拿回图纸的唯一办法——

“请注意,您永远不会在不付款的情况下恢复您的数据”。

老张赶忙盘算了下家底,要全部赎回文件的话,50%的赎金是他能接受的范围。

这也意味着,老张要在72小时内做出选择。

“我就是下载了一个软件”

老张起初并不知道这是勒索病毒,当他发现电脑桌面不正常,文件格式都变成了像是乱码的后缀时,他本能的关机重启。

只是再次亮起的电脑屏幕依然是那些陌生的图标和无法点击的文件,老张才意识到,可能是电脑出了故障,这一次他没有丝毫犹豫就按了关机。

和周围的朋友咨询后,老张知道了这叫勒索病毒,知道了这是当今最臭名昭著的病毒,也知道了这是一种无法解决的网络病毒。但老张更想知道,如何才能解救染毒的图纸。

几番推荐和介绍后,腾讯安全云鼎实验室的专家zhipeng介入了这次事件。“面对勒索病毒整个业界都没有很好的解决方案,目前能解密的勒索基本都是使用公开的密钥进行解密恢复”,zhipeng对这次挑战并不是信心满满。无法直接分析可能是这次解题的一大难点。彼时由于疫情隔离,zhipeng只能先进行远程分析。

如同探究每一道安全难题一样,定位析因是zhipeng的第一步——弄明白老张是如何中招的。这一步并不难,通过对最近几次的电脑操作复盘后,zhipeng很快就发现这是一次典型的“水坑攻击”——在受害者必经之路上制作陷阱,守株待兔。

软件下载站就是那条“必经之路”,相比直接通过漏洞入侵到个人电脑这种费时的攻击方式,将病毒直接嵌入在各种用户经常下载的软件站里,等待受害者自动上门这种以逸待劳的方式更具效率。

至此,攻击链条基本浮出水面——老张在非官方软件下载站下载了一个软件,结果该软件被植入了勒索病毒。病毒程序在电脑本地下载安装后就开始运行,迅速加密电脑中的文件。“优先寻找的基本是带有Word、PPT、PDF这种典型的工作类型文件”,zhipeng的解释进一步回答了老张为什么打不开设计图纸文件。

不过遗憾的是,找不到敌人。“水坑攻击”+瞄准软件站投毒的“供应链攻击”并非定向对工程师发起的安全攻击,而是一种“广撒网”式的手段,本质上是黑客为了提升入侵成功率和病毒影响面。

想通过找到凶手拿回图纸的路子基本被封死了。

幸运的是文件副本被加密

时间已经过去了24小时,老张和zhipeng想对病毒再做更深入的研究。于是电脑上存着核心资产的硬盘被拆下寄往zhipeng所在地。

除去快递时间,如果zhipeng在12小时内没找到解决办法,赎金价格将超出老张的承受范围,而他收藏的设计图纸可能将永远的被囚禁在数字监狱。

zhipeng和老张的选择是一场赌博,但天平已经有所倾斜:

第一,腾讯安全云鼎实验室这一年中已经发现了多起类似手段的勒索病毒感染事件,其中不乏在业内有成功恢复案例。

第二,老张及时的关机动作,让文件恢复有理论可能——病毒也算是一个程序,需要运行。及时的关机动作,导致病毒可能尚未完全将电脑文件加密。

第三,还是病毒的运行效率——老张的电脑型号陈旧,电脑的操作系统、运行内存等配置相对落后,病毒运行速度有一定程度折损。

猜想得到了验证!

zhipeng拿到硬盘后的分析发现了有未被加密的文件。同时,他还发现了“勒索病毒无法解密”这一死刑宣告的漏洞。

zhipeng根据该勒索加密样本与源文件对比分析,病毒对一个文件的加密并非是百分百字节加密。可能是出于效率和成本的考虑,该病毒的加密机制只对部分字节起作用。用专业的数据恢复工具,就可以将部分数据恢复。

(以单个文件为例,本次事件中的勒索病毒加密机制示意)

但这种方式有局限性。zhipeng说,这种方式对于大文件有效,尤其是文本视频压缩数据文件有很大恢复的可能性。但通过这种方式会丢失文件前150kb的数据,一些小文件是没办法恢复。

但这次的勒索病毒还有第二个加密特点——删除了文件。

如果是标准的勒索病毒加密,它的原理是将受害者电脑中文件直接加密。这一次案例中的加密原理则是,病毒运行后,先对电脑中的文件复制一个副本,对副本进行加密,再将原来的文件删除。

而删除的动作,就给设计图纸恢复留下了一个窗口——磁盘修复——类似于普通用户在电脑使用中删除(包括清空了“垃圾桶”)了本地文件后的数据恢复场景,通过专业的数据恢复工具,有几率恢复成功。

最终,在发现加密机制缺陷后,zhipeng尝试了多种数据恢复工具,恢复了大概六到七成的被加密数据,老张也得以找回大部分的设计图纸文件。

有用的“无用功”

本次事件中,其实还有第三种数据恢复方式,也是完美的数据恢复方式——百分百恢复——解密器恢复。“该家族的勒索病毒有非常多的后缀。这次案件的勒索病毒是其中一种,目前该病毒的密钥未公开暂时不可用,可能未来一段时间会更新。所以最好先做好备份,未来有完全恢复的可能性” ,zhipeng说。

这并非是遥不可及,zhipeng说现在已经有国外安全人员在持续收集这个家族的密钥,并更新勒索解密工具,帮助受害者免受勒索之苦。

这背后不仅是正义与邪恶的较量,更是全球安全从业者面对挑战时的态度,没有绝对安全的系统,也没有绝对无解的威胁。

可能未来很长一段时间,人类仍将处于勒索病毒无解的支配中,但总有人在无解的题上孜孜不倦的求解。

另外,也不要给勒索病毒可乘之机,对于普通用户而言提高警惕能避免绝大多数的勒索病毒,就像最后zhipeng告诉老张的:“不随意打开陌生链接、邮件,不在不正规的网站下载软件”。

但这仍然不够。企业和社会关键基础设施才是勒索病毒肆虐的主战场。

当下一次,一个没有缺陷的勒索病毒利用水坑攻击、侵入供应链等手段悄无声息的潜入了一家企业的员工电脑时,被加密的可能就不仅仅是设计图纸了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/115246.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【ML】异常检测、PCA、混淆矩阵、调参综合实践(基于sklearn)

【ML】异常检测、PCA、混淆矩阵、调参综合实践(基于sklearn)加载数据可视化数据异常点检测PCA降维使用KNN进行分类并可视化计算混淆矩阵调节n_neighbors参数找到最优值加载数据 数据集:https://www.kaggle.com/datasets/yuanheqiuye/data-cl…

数据分析之描述性统计

当我们打开一份有十几列,几万行的明细数据时,那种感觉我相信用铺天盖地、头晕目眩来形容是再合适不过了。 面对如此令人崩溃的场景,必须要求我们要求能够快速找到数据的特征。描述性统计正是为此而生,它通过几个简单的分析方法就…

k8s——基于集群部署工具kubeadm部署k8s

角色和IP 通过网络镜像下载和配置k8s 操作系统初始化 关闭防火墙: $ systemctl stop firewalld $ systemctl disable firewalld关闭 selinux: $ sed -i s/enforcing/disabled/ /etc/selinux/config # 永久 $ setenforce 0 # 临时关闭 swap&#xff1…

OpenCV C++实现 图片批量重命名、格式转换

方法一:以0~n数字序命名方法二:指定字长 数字序命名方法三:指定前缀 数字序重命名全部源码下载通常拍摄的一组数据集,图片命名会比较长,不方便人眼查看; 可以按照制定规则重命名, 本文方法,可以重命名,也可以格式转换(不是简单的换后缀,这样图片有时会出问题,而是以…

[JavaEE] 线程与进程的区别详解

专栏简介: JavaEE从入门到进阶 题目来源: leetcode,牛客,剑指offer. 创作目标: 记录学习JavaEE学习历程 希望在提升自己的同时,帮助他人,,与大家一起共同进步,互相成长. 学历代表过去,能力代表现在,学习能力代表未来! 目录 认识线程(Thread) 1. 线程是什么? 2. 为什么要有…

java 对接百度AI文字识别第三方接口--(api方式以及sdk方式)

平时在工作当中难免会需要对接第三方接口。今天就带领大家来实践一下百度ai的文字识别技术。我使用的是文字识别中名片识别服务,别问为什么,因为是免费的,其他的服务要钱。。。。。。 一:准备工作 首先需要在百度ai官方网站注册账…

【案例实践】基于Citespace和vosviewer文献计量学可视化SCI论文高效写作方法

【点击观看视频】基于Citespace和vosviewer文献计量学可视化SCI论文高效写作方法 文献计量学是指用数学和统计学的方法,定量地分析一切知识载体的交叉科学。它是集数学、统计学、文献学为一体,注重量化的综合性知识体系。特别是,信息可视化技…

如何定位线上问题?

面试官:「你是怎么定位线上问题的?」 这个面试题我在两年社招的时候遇到过,前几天面试也遇到了。我觉得我每一次都答得中规中矩,今天来梳理复盘下,下次又被问到的时候希望可以答得更好。 下一次我应该会按照这个思路…

景联文科技2D3D融合标注案例分享|数据标注

在自动驾驶场景中,激光雷达生成的点云数据可用于测量物体的形状和轮廓,并估算出周围物体的位置和速度,但由于激光雷达生成的点云数据缺少RGB数据中存在的纹理和颜色信息,无法精确地识别出路上的汽车、行人、障碍物、信号灯等。而2…

网络流及几种算法FF、EK、Dinic

终于要开始学习&&复习这个知识点了,说句实话半年多之前就该写这篇文章来加强理解,但是一直没有落实,因为又去练习了很多学过的算法,感觉这个算法不太常用哦,传说中的省选算法,比赛比较少见&#xf…

在2022 CCF上获得两项大奖!

喜报!      在日前举行的      2022全国高性能计算学术年会上      戴尔科技集团      获得两项大奖!      戴尔科技PowerEdge绿色数据中心      液冷解决方案荣获“解决方案奖”    PowerEdge R750 DAOS      高性能分布式存储系统荣获“产品…

基于springboot+mybatis+mysql+jsp网上书城管理系统

基于 springbootmybatismysqljsp 网上书城管理系统一、系统介绍二、功能展示1.主页(客户)2.登陆(客户)3.我的购物车(客户)4.我的订单(客户)5.我的图书(商家)6.新书上架(商家)7.订单管…

股指期货是怎么交易的?3分钟教你从入门到精通

相对比投资于单一的产品而言,越来越多的投资者开始爱上股指期货,因为指数的波动速度特别的快,再加上里面的收益空间也特别的饱满,所以这是绝大多数希望赚快钱的投资者最喜欢的类似期货、股票等产品。而且很多进入到这个市场的投资…

CodeQL代码静态污点分析引擎排查漏洞模式

文章目录前言环境搭建1.1 codeql基础1.2 vscode插件1.3 生成数据库1.4 HelloWorldcodeql语法2.1 语法结构2.2 常用类库2.3 谓词介绍2.4 污点分析漏洞检测3.1 初步结果3.2 解决误报总结前言 对于代码审计的工作,最早期的安全人员会以人工审计的方式来审计项目代码&a…

【学习笔记】jenkins持续集成入门

jenkins持续集成入门 文章目录学习源一、jenkins简介和安装安装:插件:安装插件:二、配置Jenkins系统邮箱三、使用jenkins实现持续集成(一)使用Jenkins实现简单的本地Python项目代码执行准备工作:使用Jenkins管理-手动构…

PHP开发工具PhpStorm v2022.3——完全支持PHP 8.2

PhpStorm是一个轻量级且便捷的PHP IDE,其旨在提高用户效率,可深刻理解用户的编码,提供智能代码补全,快速导航以及即时错误检查。可随时帮助用户对其编码进行调整,运行单元测试或者提供可视化debug功能。 PhpStorm v20…

PM说丨浅谈PDCA与Scrum的“异曲同工”之妙

文章目录一、前言二、PDCA与Scrum介绍1、 PDCA循环(戴明环)2、 Scrum三、PDCA与Scrum对比四、总结一、前言 笔者最近参与到一个生产制造型企业的ERP系统升级改造项目,实施过程中涉及到QMS与质量管理相关内容。 在了解质量管理体系的过程中发…

如何优雅地使用git?

文章目录Oh shit gitgitmojigit命令思维导图Oh shit git https://ohshitgit.com/ 这个网站针对一些在使用git中可能遇到的问题都做了详细介绍,并且形象生动。 例如:Oh shit,我想改个地方,但我已经提交(commited&#…

现代C++ 05

智能指针与内存管理 1.1 RAII 与引用计数 了解 Objective-C/Swift 的程序员应该知道引用计数的概念。引用计数这种计数是为了防止内存泄露而产生的。 基本想法是对于动态分配的对象,进行引用计数,每当增加一次对同一个对象的引用,那么引用对…

云安全攻击手段及防御策略

恶意软件是我们必须面对的现实,我们每天都需要与蠕虫、病毒、间谍软件和其他行恶意软件作斗争,而云恶意软件是我们需要面对的又一种类别。它已经发展十多年,早在2011年就托管在亚马逊简单存储服务存储桶中。云安全提供商Netskope报告称&#…