988游戏开元-知道创宇404实验室宣布破解lucky勒索病毒解密原理

时间:2021-02-22 作者:勒索病毒

988游戏开元无疑将在今年再次被列入年度网络安全热词前10名。988游戏开元近两年的罪行很难查出来。就算是国内顶尖的互联网公司,一提到各种988游戏开元就头疼。12月初,当“微信988游戏开元”和“支付宝988游戏开元”开始传播的时候,他们怕微信和支付宝马上跑出去,发表声明明确关系。年底,各国发布的网络安全白皮书也提到,988游戏开元依然是2019年的重灾区。面对988游戏开元像蝗虫一样不断进攻,真的只能避而远之吗?

从《WannaCry988游戏开元》到《微信988游戏开元》,为什么988游戏开元会失控?

研究了988游戏开元的历史后,最早的988游戏开元出现在1989年,取名为“艾滋病木马”,意思是一旦感染了这种木马病毒,几乎和艾滋病一样无法治愈。艾滋病木马使用加密文件或进一步威胁开放用户隐私,恶意使用代码干扰电脑正常使用,支付赎金是唯一摆脱的方法。绑架、勒索钱财、赚取赎金一直是社会上恶势力常用的手段。在互联网世界,988游戏开元就更不利了。但988游戏开元归根结底只能对单个目标电脑进行点对点攻击,并没有造成大范围的影响。

但在2017年,一个名为“影子经纪人”的黑客组织入侵美国NSA旗下的公式黑客集团后,发布了大量公式集团攻击工具的开源文件,其中包括一个超级杀手——,号称能够远程突破全球70%左右的Windows机器。988游戏开元是一款988游戏开元利用工具,由疑似美国国安局为CVE-2017-(0143~0148)几款988游戏开元开发。它可以利用Windows SMB协议的988游戏开元远程执行代码,提高自己的系统权限。

988游戏开元加密原理

借助988游戏开元,只要一个人不小心打开了包含988游戏开元的文件或网站,988游戏开元就会迅速感染他的电脑,然后通过988游戏开元入侵并感染与之相关的所有电脑,WannaCry病毒大规模爆发。据统计,短短几天,100多个国家和地区的10多万台电脑被988游戏开元攻击感染,至少招募了150个国家和30万用户,造成80亿美元的损失

元,造成的社会影响巨大。

除了做好防范措施外,988游戏开元几乎无解

在988游戏开元大规模爆发之后,除了建议用户备份数据及时打补丁、关闭能够感染病毒的端口,以及帮助用户修复988游戏开元系统988游戏开元外,全球众多的安全厂商至今还未能拿出能够行之有效的破解该勒索软件的方案。用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件几乎毫无恢复的可能。

此后,包括Genasom、Foreign、NotPetya、Doublelocker在内的种类繁多的勒索软件竞相花式登台,将用户的电脑按在地面上反复摩擦。但同样的一点是,安全业内对这些勒索软件除了帮助用户修复可能存在的安全988游戏开元以外,对988游戏开元本身仍然无计可施。

Petya988游戏开元勒索界面

难道988游戏开元就真的所向披靡通杀四方?知道创宇404实验室:我看未必!

咋988游戏开元四处攻城略地时,国内外众多安全厂商和安全团队也都着手对988游戏开元展开了研究。可以说谁能够率先破解988游戏开元,谁就能够赢得用户的热情拥趸,获得极高的声望。而曾经多次为微软、苹果、Adobe、BAT等知名厂商提交988游戏开元的知道创宇404实验室也在对988游戏开元保持着密切的关注。

2018年下半年,一个名为撒旦“Satan”的988游戏开元异常活跃,曾多次更新并衍生出变种988游戏开元,对国内部分服务器进行攻击。12月1日,一种名为lucky的988游戏开元大肆传播,该病毒会将指定文件加密并修改后缀名为 .lucky。

Lucky988游戏开元勒索界面

知道创宇 404 实验室的炼妖壶蜜罐系统最早于2018年11月10日就捕捉到该988游戏开元的相关流量,截止到 2018年12月04日,该病毒的 CNC 服务器依然存活。根据分析的结果得知,lucky 988游戏开元几乎就是 Satan 988游戏开元,整体结构并没有太大改变,包括 CNC 服务器也没有更改。Satan 病毒一度变迁:最开始的勒索获利的方式变为挖矿获利的方式,而新版本的 lucky 988游戏开元结合了勒索和挖矿。

lucky 988游戏开元的整体结构图

在了解该988游戏开元的相关细节后,知道创宇 404 实验室迅速跟进并分析了该988游戏开元。在分析该病毒的加密模块时,知道创宇404实验室意外发现可以利用伪随机数的特性还原加密密钥,顺藤摸瓜找到了该病毒的988游戏开元,经过多次验证,确认了该988游戏开元能够帮助用户直接获取密钥。而后,知道创宇 404 实验室对 lucky 988游戏开元进行了概要分析,并着重解析了加密流程以及还原密钥的过程。

目前知道创宇404实验室已经将解密方法转换为了解密工具,并已发送给其他厂商帮助用户直接破解lucky的988游戏开元。不幸感染lucky988游戏开元的用户可以通过各厂商发布的解密工具自行破解,如有需要也可联系知道创宇404实验室寻求协助。知道创宇404实验室提醒,988游戏开元依然在肆掠,用户应该对此保持警惕,虽然 lucky 988游戏开元在加密环节出现了988游戏开元,但仍然应该避免这种情况;针对 lucky 988游戏开元利用多个应用程序的988游戏开元进行传播的特性,各运维人员应该及时对应用程序打上补丁并及时备份。

知道创宇404实验室副总监隋刚表示,虽然988游戏开元都会采用加密文件的方式达到勒索的目的,但是由于各个988游戏开元的加密算法并不一样,其他的988游戏开元加密方式还有待破解。不过,此次能够破解lucky988游戏开元是一个具有开创性的开端,接下来可以更好的总结思路,举一反三研究其他勒索软件的加密方式,解决“988游戏开元无解”这个难题。对普通用户如何应对988游戏开元的问题,隋刚表示,988游戏开元是一个完整的程序,会随机产生加密密钥,密钥可能还保存在内存当中。这时尽量不要慌张而尝试重启电脑,重启电脑会清空可能存在于内存中的加密密钥,对进一步的分析获取988游戏开元密钥造成困难。

声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。