騰訊安全反病毒實驗室抗擊勒索病毒紀實

2017年5月12日，一個名為「WannaCry」的勒索病毒突然在全球範圍內大面積肆虐，大量電腦文件遭加密，只有在規定的時間內繳納贖金，方能破解。備份、殺毒、恢復成了各類科普文和技術貼的高頻辭彙。

在勒索病毒爆發之後，騰訊安全反病毒實驗室吹響了抗擊勒索病毒的號角，一方面保持對勒索病毒及其變種的高度關注；另一方面，基於自身安全實力持續輸出深度研究報告，起底WannaCry勒索病毒的傳播方式及最新變種，並推出了一整套包含漏洞免疫工具、文檔守護者工具、文件恢復工具、勒索病毒專殺工具等在內的處置措施，幫助用戶抵禦病毒的侵襲。

下載地址：https://habo.qq.com/tool/download/searchdky

WannaCry勒索病毒的爆發讓很多用戶第一次感受到網路病毒的可怕，但事實上，這並不是勒索病毒的首次「作惡」。近幾年來，勒索病毒的數量、影響範圍、公眾感知度等都有了顯著的增長。臭名昭著的勒索病毒會藉助成熟的演算法，對文件進行高強度的加密處理，給受害者帶來巨大的損失，時常會有被敲詐不得不支付贖金的新聞見諸報道，高達數萬美元的贖金也屢見不鮮。

騰訊安全反病毒實驗室從很早就開始監測此類勒索病毒的動向，研究加密過程中的漏洞，並努力嘗試對加密的文件進行破解，為受害者盡量挽回損失，而這些不懈的努力也取得了一些成效。

除WannaCry勒索病毒之外，在其它勒索病毒事件發生時，哈勃分析系統也曾經發布過多個針對性的解密工具，包括：

Petya解密工具

2016年3月，安全廠商發現一種新的敲詐類木馬Petya，此木馬的特點是首先修改系統MBR引導扇區，強制重啟後執行引導扇區中的惡意代碼，加密硬碟數據後顯示敲詐信息，這是第一個將敲詐和修改MBR合二為一的惡意木馬。

隨後，安全專家Leo Stone指出了Petya加密代碼中存在的問題，並給出了解密思路和代碼。在其引導下，哈勃分析系統驗證了Petya的加密流程，確認了木馬在使用變種Salsa20演算法的過程中，對演算法進行了很多簡化，包括多處將DWORD改用WORD，以及將密鑰空間限制在54^8的範圍之內，並且明文和密文又都是已知的，這就為暴力破解密鑰提供了有利的條件。哈勃分析系統公布了研究成果，同時發布了針對Petya的解密工具，此工具需要配合Leo Stone編寫的磁碟讀取工具一起使用。工具下載頁面：https://habo.qq.com/tool/detail/petya

TeslaCrypt解密工具

TeslaCrypt木馬的相關分析和報道最早可追溯到2015年2月，主要傳播方式是網頁掛馬傳播，通過在網頁中植入惡意構造的文件，通過Flash播放器、pdf閱讀器等各種漏洞，在受害者不知情的情況下下載並執行惡意payload，加密其電腦上的文件。

2016年5月，TeslaCrypt的作者在暗網上宣布停止木馬的開發，並同時給出了解密文件所需要用到的私鑰。有了私鑰之後，根據木馬的加密解密流程，可以將木馬加密的文件完整還原。ESET等安全公司迅速跟進並製作了TeslaCrypt木馬的解密工具。

騰訊哈勃分析系統也製作了TeslaCrypt的工具，幫助用戶恢復被加密的文件。

手機鎖屏木馬解密工具

哈勃分析系統還發現，在安卓系統上常年存在一類鎖屏勒索木馬，有愈演愈烈的趨勢。這些木馬大部分是偽裝成各類其它應用，例如工具類應用、刷流量等非法應用、色情類應用等，在小型下載網站、網盤、社交網路中進行傳播，誘使受害者下載安裝。據騰訊手機管家監測數據顯示，此類病毒的日感染量超過8萬，病毒傳播者會向用戶收取5到50元不等的解鎖費用，每日收取費用高達80萬元。

尤其是最近，有很多木馬會使用多種攻擊手段進行組合攻擊。它們會首先嘗試獲取手機root許可權，然後請求設備管理器許可權並設置系統鎖屏密碼，接下來再顯示自己的的敲詐窗口，將該窗口反覆強制置頂，使受害者無法正常使用手機的其它功能，同時在置頂對話框中提出敲詐需求和聯繫方式。這樣的組合攻擊很容易給受害者帶來多重的傷害，即便其通過嘗試解決了其中的一個問題，但是剩下的攻擊仍然會使得受害者束手無策。

針對以上情況，哈勃分析系統針對不同手機勒索木馬的特性，利用Google官方的調試工具adb的相關功能，先後推出了多個專殺工具，為用戶解決不同的勒索木馬問題。用戶可以前往https://habo.qq.com/tool/index下載所需的工具。

除此之外，2017年春節，騰訊電腦管家也針對此類木馬推出了v12.2春節尊享版，此版本中新增安卓手機鎖屏敲詐木馬專殺功能，讓用戶實現輕鬆操作快速查殺，突破安卓系統的局限性，徹底解決手機鎖屏問題，拒絕做惡意軟體傀儡。騰訊電腦管家下載地址：http://guanjia.qq.com/

不斷狙殺各類勒索病毒的過程中，騰訊安全反病毒實驗室不僅一次又一次突破技術瓶頸，也錘鍊出一支聯動哈勃分析系統，騰訊電腦管家的一體化、產品化的安全特別行動隊——通過騰訊電腦管家自研TAV引擎能力、安全事件運營、哈勃分析平台的「三劍合璧」，進一步對「安全查殺能力、漏洞監測能力及病毒樣本分析」提供了全面、系統、一體化的產品運營式的標準化防護，這不僅進一步強化了騰訊安全守護用戶的技術實力，也提振了國內用戶對抗勒索病毒下一次攻擊的信心。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！