斯福赛特：宣布破解lucky勒索病毒解密原理

勒索病毒,今年无疑将再次登上年度网络安全热词Top10榜单,细数近两年来勒索病毒的罪状,堪称罄竹难书。就连国内顶级互联网公司,提起花样繁多的勒索病毒来也十分头疼。12月初,“微信勒索病毒”、“支付宝勒索病毒”甫一开始传播,就吓得微信和支付宝立马跑出来发声明撇清关系。在年末各国发布的网络安全白皮书中也都提到,2019年勒索病毒仍然是重灾区。面对如蝗虫一般不断来袭的勒索病毒,难道真的只能退避三舍?

从“WannaCry勒索病毒”到“微信勒索病毒”,勒索病毒为何一发不可收拾?

细究勒索病毒历史,最早的勒索病毒出现在1989年,名为“AIDSTrojan”意为艾滋病特洛伊木马,象征一旦感染了这个木马病毒,就如同艾滋病一般几乎无法治愈。艾滋病特洛伊木马采用加密文件或是进一步威胁公开用户隐私等方式,恶意利用代码干扰计算机正常使用,而缴纳赎金是唯一摆脱它的方式。绑架勒索,赚取赎金向来是社会恶势力分子常用手段,而在互联网世界中,勒索病毒更是无往不利。但是归根结底,勒索病毒只能点对点的攻击单个目标计算机,并未造成大范围影响。

但勒索病毒真正肆虐则是在2017年,一个名为“TheShadowBrokers”的黑客组织入侵了美国NSA下属的方程式黑客组织后,公开了方程式组织的大量攻击工具的开源文件,其中就包含了一个超级大杀器——号称可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝(EternalBlue)。永恒之蓝是疑似美国NSA针对CVE-2017-(0143~0148)数个漏洞开发的漏洞利用工具,可以通过利用WindowsSMB协议的漏洞来远程执行代码,并提升自身至系统权限。

勒索病毒加密原理

在永恒之蓝的辅助下,只要一个人不小心打开了包含勒索病毒的文件或是网站,勒索病毒就会迅速感染他的电脑,进而通过永恒之蓝入侵并感染与之有关的所有电脑,WannaCry病毒就此大规模爆发了。据统计数据显示,在短短数天内,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染,W至少150个国家、30万名用户中招,造成损失达80亿美元,造成的社会影响巨大。

除了做好防范措施外,勒索病毒几乎无解

在勒索病毒大规模爆发之后,除了建议用户备份数据及时打补丁、关闭能够感染病毒的端口,以及帮助用户修复永恒之蓝系统漏洞外,全球众多的安全厂商至今还未能拿出能够行之有效的破解该勒索软件的方案。用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件几乎毫无恢复的可能。

此后,包括Genasom、Foreign、NotPetya、Doublelocker在内的种类繁多的勒索软件竞相花式登台,将用户的电脑按在地面上反复摩擦。但同样的一点是,安全业内对这些勒索软件除了帮助用户修复可能存在的安全漏洞以外,对勒索病毒本身仍然无计可施。

Petya勒索病毒勒索界面

难道勒索病毒就真的所向披靡通杀四方?斯福赛特:我看未必!

咋勒索病毒四处攻城略地时,国内外众多安全厂商和安全团队也都着手对勒索病毒展开了研究。可以说谁能够率先破解勒索病毒,谁就能够赢得用户的热情拥趸,获得极高的声望。而曾经多次为微软、苹果、Adobe、BAT等知名厂商提交漏洞的斯福赛特也在对勒索病毒保持着密切的关注。

2018年下半年,一个名为撒旦“Satan”的勒索病毒异常活跃,曾多次更新并衍生出变种勒索病毒,对国内部分服务器进行攻击。12月1日,一种名为lucky的勒索病毒大肆传播,该病毒会将指定文件加密并修改后缀名为.lucky。

Lucky勒索病毒勒索界面

斯福赛特的炼妖壶蜜罐系统最早于2018年11月10日就捕捉到该勒索病毒的相关流量,截止到2018年12月04日,该病毒的CNC服务器依然存活。根据分析的结果得知,lucky勒索病毒几乎就是Satan勒索病毒,整体结构并没有太大改变,包括CNC服务器也没有更改。Satan病毒一度变迁:最开始的勒索获利的方式变为挖矿获利的方式,而新版本的lucky勒索病毒结合了勒索和挖矿。

lucky勒索病毒的整体结构图

在了解该勒索病毒的相关细节后,斯福赛特迅速跟进并分析了该勒索病毒。在分析该病毒的加密模块时,斯福赛特意外发现可以利用伪随机数的特性还原加密密钥,顺藤摸瓜找到了该病毒的漏洞,经过多次验证,确认了该漏洞能够帮助用户直接获取密钥。而后,斯福赛特对lucky勒索病毒进行了概要分析,并着重解析了加密流程以及还原密钥的过程。

目前斯福赛特已经将解密方法转换为了解密工具,并已发送给其他厂商帮助用户直接破解lucky的勒索病毒。不幸感染lucky勒索病毒的用户可以通过各厂商发布的解密工具自行破解,如有需要也可联系斯福赛特寻求协助。斯福赛特提醒,勒索病毒依然在肆掠,用户应该对此保持警惕,虽然lucky勒索病毒在加密环节出现了漏洞,但仍然应该避免这种情况;针对lucky勒索病毒利用多个应用程序的漏洞进行传播的特性,各运维人员应该及时对应用程序打上补丁并及时备份。

斯福赛特副总监隋刚表示,虽然勒索病毒都会采用加密文件的方式达到勒索的目的,但是由于各个勒索病毒的加密算法并不一样,其他的勒索病毒加密方式还有待破解。不过,此次能够破解lucky勒索病毒是一个具有开创性的开端,接下来可以更好的总结思路,举一反三研究其他勒索软件的加密方式,解决“勒索病毒无解”这个难题。对普通用户如何应对勒索病毒的问题,隋刚表示,勒索病毒是一个完整的程序,会随机产生加密密钥,密钥可能还保存在内存当中。这时尽量不要慌张而尝试重启电脑,重启电脑会清空可能存在于内存中的加密密钥,对进一步的分析获取勒索病毒密钥造成困难。

1、斯福赛特安全解决方案背景

 1.1 斯福赛特系统列产品解决了“人祸”问题

     计算机信息系统经过几十年的迅猛发展，在运算速度上呈现几百上千倍的提升；网络带宽由当初的几十k发展到现在的千兆光纤入户企业万兆接入；服务器内存由640K到TB级别；硬盘容量有MB发展到PB由单一的硬盘发展到存储柜云存储；体积从庞大笨重到轻巧便携；网络接入由网线、wifi、移动信号3G、4G、5G并且近来无线带宽甚至赶超有线速率；计算机应用也从军事、国防，延伸到交通、能源、教育、金融、电子商务、卫生医疗、政务等整个社会各个领域。自电脑问世以来恶意程序、病毒影响一直存在并且愈演愈烈，时刻威胁着计算机运行安全，随着网络的普及和发展为病毒通过网络进行传播插上了翅膀，犹如打开了潘多拉的盒子，威胁着互联网上所有接入设备和服务。病毒一旦发作将会对信息系统的运行、正常社会秩序、国家安全、工业生产、金融安全、科研资料带来不可估量的损失。2017年的想哭病毒事件中瘫痪了医疗、石油、教育系统、航运、航空秩序。特别是随着比特币为代表的数字货币的诞生由于其不可追溯性以及具有经济价值，以牟利为目标的勒索病毒事件愈演愈烈。2017年后勒索病毒把勒索对象瞄准了生产贸易企业、医疗系统、科研机构、甚至政府、以及关键基础设施等高价值目标。对受害目标的业务运转、社会影响、带来经济上和声誉的双重打击甚至导致永远不可逆的不可估量的损失。

基于以上客观背景以及市场迫切需求我公司投入巨资经过数年研发打磨出了斯福赛特系列产品及服务。从根本上最大可能的消除了包括勒索病毒在内的电脑病毒对计算机信息系统的威胁。斯福赛特产品具有革命性、创新性、易用性。真正实现了对计算机病毒的可防、可控。

人是系统中最不稳定的一环，人的各种活动容易受到外届环境的干扰，心情好坏、身体状态、温度、噪音、情绪状态、外界环境、熟练度、经验能力等都会对操作造成影响。计算机毕竟还是机器还是由人操作。

斯福赛特产品创新性的消除了由人导致的误操作以及恶意操作操作带来的不可逆的影响

2、斯福赛特产品服务解决什么问题

2.1  中病毒所有程序文件被病毒破坏

     计算机中病毒后，操作系统被被病毒感染，程序和文件被破坏导致的问题，我们软件均可以恢复正常。

2.2  对文件进行不可逆操作

     对文档进行修改后进行保存覆盖，被覆盖的文件内容都能找回。

2.3  磁盘底层操作灾难可逆

     用磁盘工具对磁盘区域进行扇区清零、低级格式化、文件粉碎多次以后数据依然被找回。

2.4  数据库误操作

     将数据库进行还原覆盖、删除表、删除库、更新字段。被删除的库、被还原的数据库、被删除的表、被更新的字段都可以找回。

2.5  白名单

     内核级别进程、连接库白名单，将恶意程序拒之门外，目前国内最强的进程管控。

2.6  轨迹回放取证

          最近N天甚至数月的运行轨迹均可进行回放，管理员得到授权后可以对N天内的数据进行任意调阅，取证高可靠 不能被篡改。

3、斯福赛特产品有什么优势

3.1 革命性

    从来没有一个产品可以让计算机按照运行轨迹使整个操作系统进行任意时刻数据随时调阅。

3.2 颠覆性

    颠覆了传统安全防护被突破后任人鱼肉的现状。使整个操作系统的安全防线加长，使多种攻击带来的影响被直接消除！

3.3 具有微软授权证书

    UEFI证书中国唯一一家企业具备得到微软的认可与intel同级拥有。

3.4 通过科技部创新认证

    产品的创新性被中国科技部高度评价创新性经过了科技部的认证！

3.5 客户群体多 认可度高

    在党政军、央企、科研院所、企业具有广泛应用。国内超过100000台次安装部署。

4、关于斯福赛特团队介绍

     斯福赛特运营团队在2018年成立，在北京、上海、深圳设立研发分中心，其中北京研发中心600余人，客服中心100人，技术工程师300余人。在上海、南京、成都、武汉、长沙、西安、杭州、石家庄、济南、南宁、贵阳建立办事处。斯福赛特目前拥有斯福赛特时光机、工业灾备硬盘、超级端口、超级白名单、灾备中心团队精一事，专注做好防勒索病毒，促进了工业互联网业务连续性目前在医疗、教育、能源、军工、云计算、贸易、生产领域服务器装机量达到100000台次。每年抵御勒索事件3000例以上。为客户挽回停工等经济损失大于20亿。

5、勒索病毒解密业务中了病毒安心交给我们

 5.1 公司2020年上线勒索病毒解密业务

     公司于2020年上线解密业务，公司拿出2亿元作为资金池协助客户解决勒索软件问题，助力勒索病毒溯源加固客户网络。公司与深信服、绿盟、卡巴斯基、天融信达成战略合作威胁情报共享，如果企业用户在没有安装斯福赛特产品的情况下被黑客勒索了，我们公司通过技术手段资金手段，将协助客户解决解决服务器被勒索的问题。并赠送客户一套斯福赛特安全软件。

网络安全就是国家安全网络安全需要你我的共同守护。预防勒索病毒您需要一套斯福赛特产品，如果没有安装斯福赛特产品不幸中了勒索病毒，如果企业资金或者及时能力有限，联系我斯福赛特用我们资金池协助您解决。