Güvenlik uzmanları derinlemesine analiz ettiler Uyandığımda, 10.000 yuan fidye ödemek zorunda kaldım. Nasıl kırılır?
Hiç uyandığınızda bilgisayarınızdaki tüm önemli verilerin şifrelenmiş dosyalar haline geldiğini ve bu dosyaların şifresini çözmek için 10.000 yuan'dan fazla fidye ödemeniz gerektiğini hiç deneyimlediniz mi?
Peki, bu makaleyi okumazsanız, deneyimleme şansınız olabilir.
Uyan ve 10.000 yuan kaybet
Geçtiğimiz birkaç gün içinde, yurtdışında yaygınlaşan şantaj Truva atı, Çin'de aniden büyük çapta patlak verdi.
Birçok sıradan insan sabah bilgisayarlarını açtı ve tüm dosyalarının bilgisayar korsanları tarafından şifrelendiğini gördü ve küstahça Bitcoin'de 10.000 yuan'dan fazla fidye talep ettiler.
Kurbanın Leifeng.com'a yaptığı açıklamaya göre, sonuna kadar mutlu bir şekilde çalışacaktı, ancak başlarken beklenmedik anormalliklerle karşılaştı:
Dün işten önce bilgisayar gayet iyiydi, ancak bugün bilgisayarı açtıktan sonra bilgisayar aniden takıldı. Bir süre bekledikten sonra, aniden tarayıcı otomatik olarak açıldı ve bir fidye yazılımı arayüzü açıldı ve bana tüm dosyaların şifrelenmiş olduğunu söyledi.Ancak bağlantıyı tıklayıp fidye ödedikten sonra şifre çözme anahtarını alabilirim.
[Dosya şifrelendikten sonraki durum]
Şekilde gösterildiği gibi, dosyalar ".ODIN" uzantısıyla biten dosyalara şifrelenir. Her klasör bir html web sayfası içerir. Açıldıktan sonra, fidye web sayfası da görünür:
[Kurbandan 2,5 bitcoin ödemesini isteyen fidye yazılımı sayfası]
Mağdura göre, belgenin şifresini çözmek için gasp miktarı 2,5 bitcoin'dir.Bugün 1 bitcoin döviz kuru 604,41 ABD doları, bu da 4060.2451 RMB'ye eşdeğer, yani gasp miktarı onbinlerce RMB'dir.
Lei Feng'in ev konuk kanalına (halka açık numara kimliği: Let'shome) göre, birçok kurban şirkette finansal ile ilgili pozisyonlarda veya personel pozisyonlarında çalışıyordu ve saldırıya uğrayan bilgisayarda büyük miktarda şirket gizli ve önemli bilgi depolandı. Şifrelemeden sonra, şifresini çözmezseniz, ağır kayıplar yaşarsınız.
Bir kurban, patronun bu önemli verilerin şifrelenmesine neden olanın kendisi olduğunu düşündüğünü, bu yüzden bu sorunları kendi başına çözmesine izin verdiğini söyledi.
Fidye 10.000'den fazla Patron beni zorlarsa istifa ederim.
Çaresizce dedi.
Lei Feng'in ev konuk kanalı ilk kez 360 ve Tencent güvenlik uzmanlarıyla iletişime geçti ve fidye yazılımı ve Truva atı ailesi hakkında pek çok bilgi topladı.
[Şantaj mektuplarının bazı Çince sürümleri hala internette dolaşıyor]
Şantajcı ne kadar kutsaldır?
360 anti-virüs mühendisi Wang Liang, Leifeng.com'a verdiği demeçte, bu "ODIN" Truva Atı'nın son zamanlarda çok popüler bir gizli şantaj Truva Atı olduğunu ve ünlü "Locky" Truva Ailesinin bir şubesine ait olduğunu söyledi.
Bu Truva Atı'nın 80'den fazla çeşidini ele geçirdik. Şantaj yapan Truva atlarından oluşan bu aile, 15 yılın ortalarından beri ortalıkta dolaşıyor ve son zamanlarda Ulusal Gün öncesinde yayılmaya başladı.
Peki bu Truva atının arkasında kim var?
Wang Liang şunları söyledi:
Topladığımız Truva atı varyantları arasında para almak için kullanılan bitcoin hesapları farklıdır ve gasp miktarı da farklıdır.Yaklaşık 1-3 bitcoin'dir.RMB'ye dönüştürülürse ortalama 7000-8000 yuan'dır.
Ancak şantaj çetesi, Bitcoin'in karanlık ağ üzerinden ödenmesini gerektirdiği için, arkasındaki çetenin kim ve hangi ülkeden olduğunu bulmak zor. Bu alıcı Bitcoin hesapları arasındaki bağlantıyı araştırmak zordur.
Ancak şantaj mektubunun içeriğine göre, tamamen İngilizce olduğu için Wang Liang, temelde bu Truva atları ve gasp gruplarının yazarlarının yurt dışından olduğunu belirleyebilir.
İşe alındıktan sonra kurtarılacak mıyım?
Wang Liang, Leifeng.com'a üzücü bir haber verdi: Şimdiye kadar hiç kimse bu ailenin şifreleme yöntemlerini kıramadı.
Bu şantaj Truva atları ailesinin şifreleme yöntemini ayrıntılı olarak anlattı:
Öncelikle bilgisayardaki önemli dosyaları şifrelemek ve bir anahtar almak için AES-128 şifreleme algoritmasını kullanın;
Ardından, bu anahtarı asimetrik olarak şifrelemek için RSA-2048 şifreleme algoritmasını kullanın.
Buradaki "128" ve "2048" sayıları ne anlama geliyor?
Bu, anahtar uzunluğunu temsil eder, 128, anahtar uzunluğunun 128 bayt olduğu anlamına gelir, bu nedenle bu anahtarın olasılığı "2'den 128'inci güce kadardır". Bu şifreleme ne kadar güçlü? Wang Liang şunları söyledi:
Bilgisayar kaba kuvvet kırma kullanmak istiyorsanız, mevcut hesaplama gücüne göre, onlarca yıldır hesaplanmayacaktır. Çözebilirseniz, sadece bir dosyayı açmaktır.
Tabii ki teorik olarak, RSA-2048 algoritması tarafından şifrelenen toplam anahtarı kırmayı deneyebilirsiniz.Kırmak için gereken süreye gelince. . . Çatlama başarılı olduğunda güneş sisteminin hala var olacağını umuyoruz.
Peki, tüm fidye yazılımları çözülemez mi? Durum bu değil.
Wang Liang, Leifeng.com'a şunları söyledi:
Fidye yazılımı 2014'te yeni ortaya çıktığında, fidye yazılımının şifreleme yöntemlerinden bazıları yeterince standartlaştırılmamıştı ve güvenlik personeli boşluklar buldu. Önceki koruma yöntemlerini atlayıp anahtarı alabilirlerdi. Bazı çeteler izlendi ve web sitelerinde özel anahtarı aktif olarak ifşa etti.Şu anda, güvenlik personeli de özel anahtara dayalı şifre çözme araçları oluşturabilir.
En son fidye yazılımı Truva atları acımasız olsa da, güvenlik uzmanları işe alındıktan sonra (şifreleme tamamlandı), en ekonomik yolun fidye ödemek olduğunu kabul ediyorlar.
Yukarıdaki resim, bir kurbanın 10.000 yuan'dan fazla fidye ödedikten sonra şantajcı tarafından sağlanan ve kırmızıyla hatırlatılan anahtar indirme URL'sidir: Bundan sonra verilerinizi yedeklemeyi unutmayın. Şantajcı, verileri yedeklemesi gerektiğini hatırlattı, işte deneyim bu.
Anahtarı indirdikten sonra, verileri geri yükleme işlemi "heyecan vericidir":
[Bilgisayar, orijinal olarak sahibine ait olan verilerin şifresini çözüyor]
Bu tür fidye yazılımı hangi dosyayı şifrelemeyi seçecek? Wang Liang, Leifeng.com'a şunları söyledi:
Bilgisayar korsanları genellikle Word, Excel, PPT, belgeler, resimler, sıkıştırılmış paketler, veritabanları, kaynak kodları vb. Dahil "değerli dosyaları" şifreler.
Bazı fidye yazılımı Truva atları, yalnızca kullanıcıların sistem kurtarma yoluyla değerli belgeleri almasını önlemek için sistemle birlikte gelen yedeklemeleri de siler.
Mağdurun açıklamasına göre şifrelenmiş belgeleri bu müşteri verileri ve sözleşme belgeleri gibi değerli verilerdir.
[Dark web'de Bitcoin ödeme süreci karmaşıktır ve Taobao'daki biri kurbanların fidyeyi ödemesine yardımcı olur]
Sıradaki ben miyim?
Truva atları korkunç değildir, ancak korkunç olan şey, neden enfekte olduklarını bilmememizdir.
Bu kurbanlar için, uygunsuz bir işlem yaptıklarını düşünmediler ve doğrudan Truva atı tarafından şifrelenmişlerdi. Bu Truva atları bir anda hayaletler gibi alçaldılar ve insanları gerçekten ürpertiyorlardı.
Bu şekilde, bu makaleyi okuyan herkes bir anda bir sonraki kurban olabilir.
Tencent Bilgisayar Yöneticisi'nde kıdemli bir mühendis olan Xu Chao, Lei Feng.com'a bu tür dosyaların havadan çıkmadığını, ancak bazı özel yayılma yolları olduğunu söyledi:
1. Posta ile yayılır. Bu Truva atı virüsleri e-postalarda gizlidir ve kurbanın ekli dosyayı açıp onu tetiklemesi için çalıştırmasını gerektirir. Bu tür dosyalar genellikle resim veya tablo gibi görünür, ancak aslında wsf veya js biçimindeki komut dosyalarıdır. Tıkladıktan sonra yanıt gelmiyor Aslında arka planda şantaj Truva atını sessizce indirmeye başladı.
2. Güvenlik açıkları atları asar. İki duruma bölünmüş
a. Web sayfası asılı at: Truva atı iletişimcileri komut dosyasını web sayfasına asacak, kullanıcı bu web sayfasını ziyaret ettiğinde işe alınacaktır. Bu tür web siteleri genellikle utanç verici web siteleri gibi insanların "duymayı sevdikleri" web siteleridir.
b. Yazılım Truva Atı: Kullanıcı resmi olmayan kanallardan Truva atları içeren yazılımı indirir, açılıştan sonra herhangi bir işlem yapmadan zehirlenebilir.
3. U diski boyunca dağıtın. Bu tür artık yaygın değil.
[Kurban tarafından ziyaret edilen bağlantılı at web sitesi: 51credit.com]
360 antivirüs mühendisi olan Wang Liang, öğleden sonra yaptığı bir araştırma sonucunda kurbanın bulaşma yolunu belirledi. Kredi kartı takas web sitesini ziyaret etti: 51 Kredi Kartı. Bu küçük tanınmış web sitesi forumundaki bir reklam alanı bilgisayar korsanları tarafından kapatıldı. Truva atı ve kurban sayfayı yükledikten sonra Truva atının tüm indirme işlemi sessizdir.
Şantajcıların dokunaçlarının çok derin olduğu açık.
[Bağlantılı atın sayfasını açtıktan sonra, Truva Atı otomatik olarak indirilecek ve çalıştırılacak / 360 tarafından sağlanan resimler]
Wang Liang, bu tür Truva atlarının önce yurtdışına yayıldığını ve ancak daha sonra Çin'e girdiğini söyledi. Bu nedenle, dış ticaret şirketleri gibi uluslararası ticareti olan bazı Çinli şirketler ilk işe alınan şirketler oldu.
Açıkçası, bilgisayar korsanları tatlılığın tadına baktı, çünkü bazı Çinliler bu malzemeler için fidye ödemeye hazır. Bundan sonra, özellikle Çin şirketlerini ve kuruluşlarını hedef alan bazı saldırılar oldu ve daha sonra virüs bulaşan nesneler eğitim kurumlarına veya diğer büyük kuruluşlara yayıldı.
Peki şantajdan nasıl kaçınılır?
Tencent Bilgisayar Yöneticisi'nde kıdemli bir mühendis olan Xu Chao, Leifeng.com'a bu tür bir Truva atının hasarının bir kereye mahsus olduğunu söyledi. Virüs patladığında, tüm disk yalnızca bir kez şifrelenecek ve daha sonra yeni dosyalar şifrelenmeyecektir. Ve bu tür bir Truva atı genellikle bulaşıcı değildir.
Bununla birlikte, bu kadar çok şey söyledim, şifreleme tamamlandıktan sonra, en iyi güvenlik uzmanlarının bile yapacak hiçbir şeyi olmayacak. Bu nedenle, tüm "kaçış fırsatları" önlemeye yöneliktir.
Şüpheli web sayfalarına ve e-postalara tıklamamanın ve bilinmeyen yazılımların indirilmemesinin yanı sıra, koruyucu yazılım yüklemek için de çok önemli bir şey var.
Pek çok çocuk ayakkabısı, "Kaz Fabrikası" ve "Dijital Fabrika" uşaklarının çeşitli tatmin edici olmayan yönlerini geri sayabilir. Ancak kritik anlarda, yine de güvenliğinizi koruyacak ve bu arada size 3 bitcoin kurtaracaklar.
Xu Chao, Leifeng.com'a Tencent Bilgisayar Yöneticisinin bu fidye yazılımı Truva atlarına karşı savunduğunu söyledi. Posta kutularını ve web sayfalarını izleyebilir ve yazılım hatalarını izleme yeteneğine sahiptir. Şu anda, güvenlik açıkları olan 60'tan fazla yazılımda ustalaştık ve bulut savunma takviyesini hedefledik.
Ve Wang Liang Leifeng.com'a verdiği demeçte, 360 Security Guards'ın yalnızca popüler Truva atlarını tespit etmek ve öldürmek için değil, aynı zamanda yasadışı büyük ölçekli dosya değişikliklerini engellemek için şantaj yapan Truva atlarına karşı da hedeflenmiş bir savunma stratejisine sahip olduğunu söyledi. Wang Liang ayrıca 360'ın ön ödeme işi olduğunu da belirtti. Layman'ın şartlarına göre, en son 360 güvenlik görevlilerini kullanırsanız, ancak yine de işe alınırsanız, kurbana 3 bitcoin'e kadar ödeyecekler.
Fidyeyi ödeyemedikleri için istifa eden çocukların ayakkabıları için bu iyi bir haber olmalı. Ancak Leifeng.com'a bilgisayar şifrelendiğinde çıplak koştuğunu söyledi. . .
Öyleyse, uyandığımda 10.000 yuan kaybetme trajedisini nasıl önleyebilirim?
Leifeng.comun önerisi şudur:
1. Verilerinizi yedekleyin.
2. Çıplak koşmayın.
3. Koruma yazılımınızı ve sisteminizi en yüksek düzeye yükseltin.
