查看原文
其他

你电脑里的文件被加密了

信息安全公益宣传,信息安全知识启蒙。

加微信群回复公众号:微信群;QQ群:16004488

加微信群或QQ群可免费索取:学习教程



早晨打开电脑,发现所有的文件都被黑客加密,而且明目张胆地索要比特币赎金,折合人民币一万多元。


本来一路心情愉快地去上班,开机却遭遇突发异常状况:

文件被加密之后的情形


如图所示,文件均被加密成以“.ODIN”扩展名结尾的文件,每个文件夹都内附一个 html 网页,打开之后,同样出现勒索网页:

弹出的勒索网页,要求受害者支付2.5个比特币




赎金要一万多,如果老板逼我,我就准备辞职了。


他无奈地表示。


安全专家挖出了这个勒索木马和这个木马家族的诸多信息。


网络上还流传一些中文版本的勒索信



勒索人到底是何方神圣?


安全专家说,这个“ODIN”木马是最近非常流行的密锁敲诈木马,它属于著名的“Locky”木马家族的分支变种。


我们已经捕获了这个木马的80几个变种了。这个家族的敲诈木马从15年中期就有了,最近从国庆之前又开始泛滥。


那么这个木马的背后究竟是谁呢?


不过,根据勒索信的内容来看,由于是纯英文,所以基本可以判定这些木马的作者和敲诈团伙来自国外。


我中招之后还有救吗?


一个悲伤的消息:到目前为止,这个家族的加密手段还没有人能够破解。


这个家族勒索木马的加密方法:


先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;


再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。


这里的“128”和“2048”的数字是什么意思呢?


这代表了密钥长度,128 就意味着密钥长度是128个字节,所以这个密钥的可能性有“2的128次方”之多。这样的加密有多强呢?


如果想使用计算机暴力破解,根据现在的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。


当然,从理论上来说,你也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间嘛。。。希望破解成功时太阳系还存在。


那么,所有的勒索软件都无解吗?也并不是这样。

对于这类最新的勒索木马,虽然很残酷,但是安全专家承认,一旦中招(加密已经完成)之后,最经济的方法其实就是支付赎金。



上图就是某受害者缴纳一万多元赎金之后,勒索者提供的密钥下载网址,其中用红色的字提醒:从今以后记得备份你的数据。被勒索者提醒要备份数据,就是这样的体验。


在下载密钥之后,就到了让人“欣喜”的恢复数据过程:


电脑在解密本来就属于机主的数据


这类勒索木马会选择什么文件进行加密呢?




根据受害人的描述,他们被加密的文档正是这些客户资料和合同文档之类的珍贵数据。


用暗网支付比特币流程复杂,在淘宝上有人专门帮助受害者支付赎金


下一个中招的会是我吗?


病毒木马不可怕,但可怕的是,我们根本不知道为什么被感染。


对于这几位受害者来说,他们根本没有感觉到自己做了不恰当的操作,就直接被木马加密。这些木马就像幽灵一样突然降临,确实让人后背发凉。


如此说来,看这篇文章的所有人,都有可能突然成为下一个受害者。


其实这类文件并不是凭空降临,而是有一些特定的传播方式:



受害者访问的挂马网站:51credit.com


通过一下午的排查,安全专家已经确定了一位受害者的感染途径,他访问了一个信用卡交流网站:我爱卡,这个网站论坛的某个广告位被黑客挂了木马,而受害者加载页面之后,整个木马的下载过程都是静默的。


显然,勒索者的触角已经非常深入了。


打开挂马的页面之后,木马自动下载执行


这类木马一开始国外传播,后来才渗透进中国。所以最先中招的使一些有国际业务的中国公司,例如外贸企业。


显然,黑客尝到了甜头,因为有中国人愿意为这些资料支付赎金。所以在此之后就有一些专门针对中国企业和组织进行攻击,后来感染的对象扩大到了教育机构或其他大型组织。


所以,怎样躲开敲诈?


这种木马的危害是一次性的。一旦病毒发作,只会对全盘进行一次加密动作,之后再新建文件,都不会被加密。而且这种木马一般是没有传染性的。


然而说了这么多,一旦加密完成,即使是顶级安全专家也回天乏术。所以所有的“逃生机会”都在防患上。


除了不点击可疑网页和邮件、不下载不明软件以外,还有一个非常重要的就是,安装防护软件。


▼ 点击阅读原文,查看更多精彩文章。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存