白話區塊鏈
從入門到精通,看我就夠了!
2017 年,“比特幣勒索病毒”WannaCry攻擊了包括中國在內的150多個國家,造成損失超 80億美元。此後,各類勒索病毒(NotPetya、Bad Rabbit 等)雖層出不窮,但影響範圍始終有限。
近日出現的一款名為“GandCrab V5.2”加密貨幣勒索病毒,似乎大有再現 WannaCry “昔日榮光”的跡象,目前已在中國攻擊了數千臺政府以及企業的電腦。
所謂加密貨幣勒索病毒,即設法讓你的電腦中毒,鎖死內部檔案,要求使用者透過加密貨幣支付贖金才會解鎖。
包括慢霧、DVP在內的眾多安全團隊,都表示GandCrab V5.2目前還不可破解,只能做好防禦。
GandCrab團隊不僅技術高超,而且“盜亦有道”:既信守承諾給贖金就“解毒”,還曾“人道地”將敘利亞等戰亂地區排除在感染地區之外,因而曾被人稱為“俠盜”病毒。不過,其卻將中國、韓國視為重要的攻擊目標,GandCrab的幕後團隊也透過出售病毒獲得了約285萬美元收益。
近年來,針對加密貨幣的攻擊日益增多,區塊鏈安全事件頻發。2017年攻擊是以“勒索病毒”為主,2018年以“惡意挖礦”為主。現在,勒索病毒是否會再次捲土重來?
01
上千臺政府、機構電腦感染
根據國家網路與資訊保安資訊通報中心監測,GandCrab V5.2自2019年3月11日開始在中國肆虐,攻擊了上千臺政府、企業以及相關科研機構的電腦。
截止發稿前,湖北省宜昌市夷陵區政府、中國科學院金屬研究所、雲南師範大學以及大連市公安局等政府、企業、高校均在其官網釋出了防範病毒攻擊的公告。
▲ 夷陵區政府官網截圖
根據網路安全分析師David Montenegro所言,GandCrab V5.2勒索病毒目前已經感染了數千臺國內的電腦,接下來還將透過遠端攻擊的方式,影響更多的電腦。
02
手段:垃圾郵件攻擊
GandCrab V5.2又是如何讓受害者電腦“中毒”的呢?據瞭解,該勒索病毒目前主要透過郵件形式攻擊。
攻擊者會向受害人郵箱傳送一封郵件,主題為“你必須在某月某日下午3點向警察局報到!”,發件人名為“Min,Gap Ryong”,並附有附件。
▲ 來自騰訊安全
一旦受害者下載並開啟附件,GandCrab V5.2執行後,將對使用者主機硬碟資料全盤加密,並讓受害者訪問特定網址下載加密瀏覽器,透過加密瀏覽器要求受害者繳納贖金。
DVP區塊鏈安全團隊認為,除了垃圾郵件投放攻擊, GandCrab V5.2還有可能採用“網頁掛馬攻擊”,即除了在一些非法網站上投放木馬病毒,攻擊者還可能攻擊一些防護能力比較弱的正規網站,在取得網站控制權後攻擊登陸該網站的使用者。
“攻擊者會對受害者電腦裡面的檔案進行不可逆加密,要想解開,只能依靠攻擊者給你特定的解密金鑰。”慢霧安全團隊解釋說,受害者目前只有付款才能獲得特定金鑰。
不過,有時候也會發生受害者交了錢但攻擊者不給金鑰解鎖的情況。由於加密貨幣具有匿名性,攻擊者很難判定受害者是否進行了贖金繳納,如果沒有溝通渠道,說明攻擊者根本無意解鎖受害電腦。
03
不可破解:地表最強的勒索病毒?
“目前,根本沒有辦法直接破解,一旦被攻擊成功,如果電腦裡有重要的資料,只能乖乖交錢領取私鑰破解。”包括慢霧、DVP在內的眾多安全團隊表示,目前該病毒不可破解。
然而,在一些論壇上卻出現了宣稱可以破解GandCrab V5.2的公司,條件是先付款,再破解。“基本上都是騙子,都是一些皮包公司,根本沒有能力。”一家匿名的區塊鏈安全公司表示,“騰訊、360等公司都破解不了,他們能破解?”
“一些團隊或個人宣稱可以破解GandCrab V5.2,其實是‘代理’破解。”慢霧安全團隊解釋說,“他們收你的錢,幫你向勒索者支付加密貨幣,從而拿到解密金鑰(破解)。”
攻擊者來勢洶湧,一時之間破解不了木馬病毒,只能做好防禦。宜昌市夷陵區政府也給出了一些應對之策,包括:
1、不要開啟來歷不明的郵件附件;
2、及時安裝主流防毒軟體,升級病毒庫,對相關係統進行全面掃描查殺;
3、在Windows中禁用隨身碟的自動執行功能;
4、及時升級作業系統安全補丁,升級Web、資料庫等服務程式,防止病毒利用漏洞傳播;
5、對已感染主機或伺服器採取斷網措施,防止病毒擴散蔓延。
“強悍”的病毒,也讓團隊在安全圈裡“小有名氣”。
GandCrab勒索病毒誕生於2018年1月,並在隨後幾個月裡,成為一顆“新星”。該團隊的標籤之一是 “技術實力”強。
今年2月19日,Bitdefender安全實驗室專家曾根據GandCrab給出的金鑰(後文會解釋原因),研發出GandCrab V5.1之前所有版本病毒的“解藥”。
然而,道高一尺,魔高一丈。根據ZDNet的報道,今年2月18日,就在Bitdefender釋出最新版本破解器的前一天,GrandCrab釋出了V5.2,該版本至今無法破解。
目前,GrandCrab幕後團隊採用“勒索即服務”(“ransomware as-a-service” )的方式,向駭客大肆售賣V5.2版本的病毒,即由GrandCrab團隊提供病毒,駭客在全球選擇目標進行攻擊勒索,攻擊成功後GrandCrab團隊再從中抽取30%-40%的利潤。
根據GandCrab團隊2018年12月公佈的資料,該病毒團隊總計收入的加密貨幣,合計約285萬美元。
04
“盜亦有道”的俠盜團隊?
這款病毒的團隊,另外標籤是“俠盜”。該標籤來源於2018年發生的“敘利亞金鑰”事件。
2018年10月16日,一位名叫Jameel的敘利亞父親在推特上發貼求助。Jameel稱自己的電腦感染了GandCrab V5.0.3並遭到加密,由於無力支付高達600美元的“贖金”,他再也無法看到在戰爭中喪生的小兒子的照片。
GandCrab勒索病毒製作者看到後,隨即釋出了一條道歉宣告,稱其無意感染敘利亞使用者,並放出了部分敘利亞感染者的解密金鑰。
GandCrab也隨之進行了V5.0.5更新,並將敘利亞以及其他戰亂地區加進感染區域的“白名單”。此外,如果GandCrab監測到電腦系統使用的是俄語系語言,也會停止入侵。安全專家據此猜測病毒作者疑為俄羅斯人。
一時之間,不少人對GandCrab生出好感,稱呼其為“俠盜”。
“GandCrab頗有些武俠小說中俠盜的意味,盜亦有道。”一位匿名的安全人員說道,“不過即使這樣,也不能說GandCrab的行為就是正當的,畢竟它對其他國家的人就沒有心慈手軟。”
根據騰訊安全團隊統計,GandCrab受害者大部分集中在巴西、美國、印度、印度尼西亞和巴基斯坦等國家。並且,GrandCrab V 5.2版本所使用的語言主要是中文、英文以及韓文,說明中國目前已經成為其重要的攻擊目標。
“一個駭客如果對一個區域的人沒有感情,那麼作惡時就不會考慮這個區域的人的感受。”慢霧安全團隊解釋說,“在駭客看來,中國網路空間積金至斗,所以對中國下手也就不足為奇。”
你如何看待、評價這個“盜亦有道”、但對其他國家毫不手軟的勒索病毒?
