Windows版KillDisk的勒索信息

其實(shí)勒索軟件不是什么新鮮事物，不過(guò)最近出現(xiàn)了越來(lái)越多“調(diào)皮”的勒索軟件，比如說(shuō)幫忙傳播兩個(gè)用戶就能解鎖文件的，還有近期閱讀有關(guān)勒索軟件的文章就能解鎖文件的。這兩天有一款“傳奇式”的勒索軟件問(wèn)世的，不僅在于其索要贖金21.8萬(wàn)美元，更在于就算你付了這么多錢(qián)，人家也不幫你解鎖!

FBI先前就教育我們說(shuō)：如果你沒(méi)有備份文件卻感染了勒索程序的話，就乖乖支付贖金要回文件吧。研究人員發(fā)現(xiàn)的最新勒索軟件KillDisk卻能徹底顛覆你的想法!

KillDisk的演變

KillDisk是一款?lèi)阂廛浖?，但它原本并不從事勒索，而?zhuān)司數(shù)據(jù)擦除。2015年烏克蘭電網(wǎng)遭到黑客數(shù)次攻擊，導(dǎo)致數(shù)百戶家庭供電被迫中斷，事件中有一款名叫Black Energy的惡意軟件——KillDisk正是其中的一個(gè)組件。2015年11月，它被用來(lái)攻擊烏克蘭的主流通訊社。去年12月初，研究人員檢測(cè)到有人利用KillDisk對(duì)烏克蘭金融部門(mén)展開(kāi)了網(wǎng)絡(luò)破壞。隨后的整個(gè)12月，KillDisk都被用來(lái)攻擊烏克蘭的海運(yùn)部門(mén)。

根據(jù)ESET安全人員的研究，KillDisk近期又開(kāi)始活躍了，新的樣本能夠?qū)indows和Linux展開(kāi)攻擊，最新版的KillDisk形態(tài)是勒索軟件：它會(huì)像傳統(tǒng)勒索軟件一樣加密文件，隨后索要巨額的贖金，贖金高達(dá)218,000美元(222比特幣)。

技術(shù)細(xì)節(jié)

雖然KillDisk針對(duì)Windows和Linux兩個(gè)操作系統(tǒng)平臺(tái)的勒索信息基本一致，但技術(shù)細(xì)節(jié)顯然還是有區(qū)別的。

Windows版本的KillDisk會(huì)使用AES算法加密文件，其中256位的密鑰由CryptGenRandom生成，而對(duì)稱(chēng)AES加密密鑰會(huì)用1024位RSA算法加密，為了區(qū)分已加密文件和未加密文件，KillDisk會(huì)在所有已加密文件后面加上以下后綴：DoN0t0uch7h!$CrYpteDfilE(不要碰這個(gè)加密的文件)。

Linux用戶感染病毒后，KillDisk會(huì)遞歸加密以下目錄：

/boot  
/bin  
/sbin  
/lib/security  
/lib64/security  
/usr/local/etc  
/etc  
/mnt  
/share  
/media  
/home  
/usr  
/tmp  
/opt  
/var  
/root 

KillDisk會(huì)使用三重DES加密每4096字節(jié)的文件塊，而每臺(tái)機(jī)器上所使用的64位加密密鑰是不同的。

重啟之后用戶的系統(tǒng)就無(wú)法進(jìn)入了。

千萬(wàn)不要支付贖金

在加密磁盤(pán)后，KillDisk會(huì)修改GRUB引導(dǎo)記錄，然后把勒索信息寫(xiě)在引導(dǎo)記錄處，要求受害者支付222比特幣。

KillDisk不僅開(kāi)創(chuàng)了在GRUB引導(dǎo)中寫(xiě)入勒索信息的先河，也開(kāi)創(chuàng)了勒索軟件不守信的先河。

所以即使你是個(gè)土豪很有錢(qián)，也不要支付贖金，因?yàn)榫退阆蚍缸锓肿又Ц读粟H金，文件還是回不來(lái)，因?yàn)镵illDisk根本不會(huì)將解密密鑰存儲(chǔ)在磁盤(pán)或者C&C服務(wù)器上。

“KillDisk的例子再次說(shuō)明為什么不應(yīng)該選擇向犯罪分子支付贖金。犯罪分子并不能保證恢復(fù)你的數(shù)據(jù)，在本案中罪犯明顯沒(méi)有打算要兌現(xiàn)承諾，”ESET高級(jí)研究員Robert Lipovský說(shuō)道。

幸運(yùn)的是ESET的研究人員已經(jīng)找到了Linux KillDisk加密協(xié)議中的一個(gè)漏洞，利用這個(gè)漏洞，用戶可能可以恢復(fù)加密的文件，盡管難度非常大。不過(guò)這個(gè)漏洞在Windows版的KillDisk軟件中沒(méi)有。

當(dāng)前并不清楚KillDisk的作者為什么要這么做，國(guó)外媒體推測(cè)說(shuō)或許KillDisk存在的價(jià)值還是和從前一樣，就是為了擦除數(shù)據(jù)。至于為何加上勒索軟件的屬性，大抵是因?yàn)樵谄茐臄?shù)據(jù)的前提下，還有機(jī)會(huì)賺點(diǎn)兒錢(qián)，實(shí)在是破壞勒索軟件江湖規(guī)矩的好軟件…

防御措施

隨著勒索軟件近幾年的火爆，類(lèi)似的事件越來(lái)越多，F(xiàn)reebuf也有不少案例。對(duì)付這類(lèi)勒索木馬，只能通過(guò)預(yù)防。

• 一是要養(yǎng)成備份的習(xí)慣，特別是重要文件要經(jīng)常備份;
• 二是養(yǎng)成良好的操作習(xí)慣，這類(lèi)勒索軟件大都通過(guò)郵件附件傳播，因此不要點(diǎn)擊不明來(lái)源的鏈接或附件;操作系統(tǒng)和殺毒軟件也要及時(shí)更新。