扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在Windows里很早就有了ransomware(赎金勒索软件),直到Linux中的Linux.Encoder.1,也就是第一个linux勒索软件的出现。这款软件的行为与CryptoWall、TorLocker等臭名昭著的木马软件非常类似。
黑客利用勒索软件的案例
在黑客远程利用热门应用Magento内容管理系统的漏洞后,他会在受害人的Linux机器里运行Linux.Encoder.1。一旦执行成功,这款木马会在/home、/root、/var/lib/mysql这几个目录下进行遍历文件,试图加密里面的文件内容。如Windows下的勒索软件一样,它会使用AES(某对称密钥加密算法)对这些文件内容进行加密,这期间并不会对系统资源占用过大。这个AES对称密钥会用RSA(某非对称加密算法)加密,然后用AES初始化的向量去加密文件。
一旦这些文件被加密,木马会尝试蔓延到系统根目录。它只需要跳过重要系统文件以免玩大发了,所以加密后的操作系统是能够正常启动的。
在这一点上,黑客可以保证用户在不向他们支付费用之前,是无法换取RSA私钥来解密AES对称加密的。然而,这个加密木马有个巨大的漏洞,Bitdefender的研究人员利用它,无需RSA私钥也能解密AES的对称加密。
加密的入门
在2015年,大多数加密型勒索软件木马会采用混合加密算法,来劫持有价值的文件。为了迅速而有效地加密大量数据,这类木马使用了高级加密标准AES。为了避免服务器和肉鸡直接发送的加密密钥被抓包,黑客们会使用AES和RSA混合加密。这些key通常在黑客的服务器上生成,只将公钥发送到肉鸡电脑上。
由于RSA对于大量数据进行加密占用的系统资源更小,公钥本身只会加密一小部分重要信息,那就是AES算法在本地生成的密钥。RSA加密的AES密钥,会利用初始文件权限和AES算法初始化的向量,加密系统里的文件。
价值百万美元的漏洞
我们先前提到过,最关键的AES密钥是在肉鸡电脑上本地生成的。因此,我们逆向了实验室里Linux.Encoder. 1的样本,想研究出密钥和初始化向量生成的方式。我们发现,它并没有采用随机的安全密钥和初始化向量,而是利用libc库里的rand()函数,结合当前系统的时间戳进行加密。这些信息通过检索文件的时间戳,我们能非常容易的获得。通过这个漏洞,不必使用黑客的RSA公钥就能取得AES密钥。
自动解密工具发布
Bitdefender是第一家发布解密工具的厂商,该工具会将自动恢复所有被劫持加密的文件。这款工具会通过分析文件,检测出初始化向量和AES密钥,然后对文件进行解密。最后,对那些文件的权限也进行恢复。如果你还能启动你的系统,可以下载这个脚本,并以root用户运行它。
下面是恢复数据的步奏:
1.从Bitdefender实验室网站下脚本;
(由于勒索软件很可能也影响你的部分系统文件,所以你也许需要用live CD引导,或者从其他机器上挂载受影响的分区。)
2.用/dev/encrypted_partition这样的形式挂载加密分区;
3.生成一个加密文件列表,你需要输入下面的命令:
/mnt#sort_files.shencrypted_partition>sorted_list
获取第一个文件名:
/mnt#head-1sorted_list
运行解密脚本,获取解密信息:
/mnt#pythondecrypter.py–f[first_file]
解密那些文件:
/mnt#python/tmp/new/decrypter.py-s[timestamp]-lsorted_list
考虑到这些工作比较复杂,我们为用户提供免费的帮助。您可以通过评论的形式提问,我们会尽量为您解惑。
大多数勒索软件黑客是对其生成密钥的方式是极度重视的,像上面那种乌龙漏洞其实并不是很常见。为了防止二次感染,请注意下其他事项:
1.别以root用户运行不信任的应用,这可能会损害你的机器和数据。
2.记得经常备份系统,如果你的电脑已经被勒索软件所侵入,最好的办法还是重装系统。你得记住,金钱会诱惑黑客写这些木马,而且会随着时间渐渐完善它。而他们如果赚钱越来越少,就不会花更多精力去更新木马。
3.如何你的Linux设备是在内网,你可以试着做安全加固方案。
4.注意尽量经常给你的WEB应用更新补丁,防止CMS远程代码执行漏洞的利用。
解密工具由密码学专家Radu Caragea开发,我们也要感谢Bitdefender的反病毒专家Codrut Marinescu、Razvan Benchea、Cristina Vatamanu和Alexandru Maximciuc的研究贡献。
后续更新
勒索软件又有了新的突破,在特定的情况下,解密工具不会生效。在调查后,我们发现某些受害者在解密文件系统以后还会再次被感染。
这意味着某些文件采用的单独的密钥加密,其他文件用的是另一组密钥。然而这样的话,竞争条件会导致某些文件被彻底损坏(其内容会被截断为零)。在某些情况下,连勒索软件都会被加密。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者