大東話安全之「眾」——PolyRansom

一、讖曰

史蒂夫·霍金：計算機病毒也該算作一種生命。

東哥：人類與它勢不兩立！

小白：優勝劣汰~

二、病毒通緝令

小白：報告！有一隻怪物從盒子里逃跑啦~咦——仔細一瞅，竟然是一輛破舊的公交車呢，還一臉倒霉樣子。

大東：咳，這倒霉孩子就是我們今天要講的內容啦。

小白：誰呀？

大東：PolyRansom，是一種感染式病毒家族。該家族樣本運行後會拷貝自身到多個目錄下，將自身註冊為系統服務，使自身隨機啟動，搜索並感染用戶的重要文件，將原文件以加密的形式保存在新建文件夾下。

小白：又是一個偷文件的毛賊，呔！看俺抓住你~

三、勒索界的隱形富豪

大東：小白，上半年的 WannaCry 你還記得嗎？中招了嗎？

小白：我這麼具有安全意思，做好防護，當然是不可能…不中招啊……

大東：可以說，這是自「熊貓燒香」以來，網路安全屆遭遇的又一次大規模、連續性的病毒危機。但是，WannaCry 僅在敲詐類病毒總量中排名第四，知道第一是啥嗎？

小白：莫不是今天要介紹的 PolyRansom？

敲詐類樣本分布圖

大東：你還真說對了。根據騰訊安全正式發布的《2017年上半年互聯網安全報告》，樣本數量最大的就是這種帶有感染傳播方式的 PolyRansom。

小白： WannaCry 竟然只佔到了2.55%，而 PolyRansom 佔到了將近4/5。大東東趕緊給介紹介紹~

一套完整的索錢工具

大東：PolyRansom 是一種能夠通過處理覆蓋源文件，來修改文件自身的病毒。它把源文件修改成可執行文件，並附加病毒，就像一個生物一樣，具有自我繁殖，互相傳染的能力，並且每個都不一樣，因為病毒是多肽的。

文件感染示意圖

小白：只要用戶打開受感染的文件，病毒就會運行？

大東：的確如此。PolyRansom 運行後，就把自己設置為開機自啟動，修改註冊表，同時隱藏自身文件的擴展名，讓自己既運行起來，又不讓用戶發現，尤其是在密碼層具有高水平的混淆，可以隱藏其真實功能。

小白：哦？隱藏真實功能？

大東：病毒在每個周期的解密程序都通過一個指令表和一個單詞表進行布防和撤防，但其中只有一個常式的指令是有效的。

小白：厲害了啊！還有這本事！

大東：它能夠搜索本地和可移動設備，甚至是共享網路中的文件，將其感染。它還包括常用可執行程序，加密用戶所有文檔，在鎖定計算機後，就會彈出勒索窗口，讓用戶支付金錢。同時病毒還將篡改開機密碼，使用戶無法進入計算機。

勒索軟體界面

小白：那用戶支付了贖金，能夠拿回原文件嗎？

大東：該病毒有一個完整的恢復系統。包含有病毒完整性檢查程序。只有完整性正確，才會解密它，執行原始文件的最終解密。

解密原始文件的名稱和數據常式

小白：哇，一套完整的索錢工具啊！

四、小白內心說

小白：如此完整的索錢工具讓我不禁錢包一緊，早知道我就在雙十一把我的錢都花光光啦！省得被勒索，哈哈哈！

大東：你要是真被勒索了，我是絕對不會借錢給你的！

小白：我不要被勒索，我要上陣殺毒！大東東有啥辦法讓我從一個菜鳥變成大腿么~

大東：也許你對金石計劃感興趣。

小白：金石計劃？

大東： GS（Golden Stone）——金石計劃是網安運輸機 IPX 中的一大理念，為未來培養高端網安人才、引領網安行業持續性發展提供了新的引擎。

小白：好像很厲害的樣子！怎麼玩~

大東：金石計劃著力於先進敏捷的普適網路空間安全整體人才培養解決方案，能夠定製化培養高端人才、有選擇的培養技術班以及培養操作人員。

小白：十年樹木，百年樹人！

大東：GS 理念的提出和實踐，標誌著網路安全梯度化人才培養標準模型的建立和不斷完善，更標誌著網路安全人才培養工作在未來將會健康、有序地推進，讓源源不斷的精英人才成為嵌入網路安全行業內核的強大驅動力。

小白：大東東！我要參加！我要參加~~~

五、話說漫威

大東：小白，上回咱們討論了吞星，你還記得嗎？

下班：吞星，emm……好像隱隱約約還記得那麼寫……

大東：咳，不記得沒關係，今天咱們說的你肯忘不了。

小白：誰誰誰~

大東：吞星之女——伽娜塔。

伽娜塔

小白：期待~~

大東：伽娜塔是行星吞噬者的女兒，不過她並沒有像他老爹一樣讓對於行星的飢餓左右自己。她決定和平地以人類的形態生活在地球上，此時她化名為伽麗（Gali）。

小白：女神還挺有個性嘛~

大東：她偷偷的運用自己的能力保護地球與人類免遭非原生生物的攻擊，比如外星病毒、生物武器這種玩意兒。然而，她發現她的飢餓感仍難以滿足。

小白：女神生病了！

大東：在對自己進行分析後，她發現自己體內有一條如人類體內的絛蟲一般的外星生物被稱為「宇宙絛蟲」。在她給她老爸吞叔發了一條求助信息後，她便啟程尋找敵對的外來生命形式以滿足她的飢餓。

小白：結果怎麼樣！

大東：幸運的是她找到了一種滿足她飢餓感的東西 PolyRansom，這是一種感染式病毒家族。該家族樣本運行後會拷貝自身到多個目錄下，將自身註冊為系統服務，使自身隨機啟動，搜索並感染用戶的重要文件，將原文件以加密的形式保存在新建文件夾下。

小白：哈哈，大東東腦洞真大，女神就靠新建文件夾滿足了~~

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！