Windows版KillDisk的勒索信息

其實勒索軟件不是什么新鮮事物，不過最近出現(xiàn)了越來越多“調(diào)皮”的勒索軟件，比如說幫忙傳播兩個用戶就能解鎖文件的，還有近期閱讀有關(guān)勒索軟件的文章就能解鎖文件的。這兩天有一款“傳奇式”的勒索軟件問世的，不僅在于其索要贖金21.8萬美元，更在于就算你付了這么多錢，人家也不幫你解鎖!

FBI先前就教育我們說：如果你沒有備份文件卻感染了勒索程序的話，就乖乖支付贖金要回文件吧。研究人員發(fā)現(xiàn)的最新勒索軟件KillDisk卻能徹底顛覆你的想法!

KillDisk的演變

KillDisk是一款惡意軟件，但它原本并不從事勒索，而專司數(shù)據(jù)擦除。2015年烏克蘭電網(wǎng)遭到黑客數(shù)次攻擊，導(dǎo)致數(shù)百戶家庭供電被迫中斷，事件中有一款名叫Black Energy的惡意軟件——KillDisk正是其中的一個組件。2015年11月，它被用來攻擊烏克蘭的主流通訊社。去年12月初，研究人員檢測到有人利用KillDisk對烏克蘭金融部門展開了網(wǎng)絡(luò)破壞。隨后的整個12月，KillDisk都被用來攻擊烏克蘭的海運部門。

根據(jù)ESET安全人員的研究，KillDisk近期又開始活躍了，新的樣本能夠?qū)indows和Linux展開攻擊，最新版的KillDisk形態(tài)是勒索軟件：它會像傳統(tǒng)勒索軟件一樣加密文件，隨后索要巨額的贖金，贖金高達218,000美元(222比特幣)。

技術(shù)細(xì)節(jié)

雖然KillDisk針對Windows和Linux兩個操作系統(tǒng)平臺的勒索信息基本一致，但技術(shù)細(xì)節(jié)顯然還是有區(qū)別的。

Windows版本的KillDisk會使用AES算法加密文件，其中256位的密鑰由CryptGenRandom生成，而對稱AES加密密鑰會用1024位RSA算法加密，為了區(qū)分已加密文件和未加密文件，KillDisk會在所有已加密文件后面加上以下后綴：DoN0t0uch7h!$CrYpteDfilE(不要碰這個加密的文件)。

Linux用戶感染病毒后，KillDisk會遞歸加密以下目錄：

/boot  
/bin  
/sbin  
/lib/security  
/lib64/security  
/usr/local/etc  
/etc  
/mnt  
/share  
/media  
/home  
/usr  
/tmp  
/opt  
/var  
/root 

KillDisk會使用三重DES加密每4096字節(jié)的文件塊，而每臺機器上所使用的64位加密密鑰是不同的。

重啟之后用戶的系統(tǒng)就無法進入了。

千萬不要支付贖金

在加密磁盤后，KillDisk會修改GRUB引導(dǎo)記錄，然后把勒索信息寫在引導(dǎo)記錄處，要求受害者支付222比特幣。

KillDisk不僅開創(chuàng)了在GRUB引導(dǎo)中寫入勒索信息的先河，也開創(chuàng)了勒索軟件不守信的先河。

所以即使你是個土豪很有錢，也不要支付贖金，因為就算向犯罪分子支付了贖金，文件還是回不來，因為KillDisk根本不會將解密密鑰存儲在磁盤或者C&C服務(wù)器上。

“KillDisk的例子再次說明為什么不應(yīng)該選擇向犯罪分子支付贖金。犯罪分子并不能保證恢復(fù)你的數(shù)據(jù)，在本案中罪犯明顯沒有打算要兌現(xiàn)承諾，”ESET高級研究員Robert Lipovský說道。

幸運的是ESET的研究人員已經(jīng)找到了Linux KillDisk加密協(xié)議中的一個漏洞，利用這個漏洞，用戶可能可以恢復(fù)加密的文件，盡管難度非常大。不過這個漏洞在Windows版的KillDisk軟件中沒有。

當(dāng)前并不清楚KillDisk的作者為什么要這么做，國外媒體推測說或許KillDisk存在的價值還是和從前一樣，就是為了擦除數(shù)據(jù)。至于為何加上勒索軟件的屬性，大抵是因為在破壞數(shù)據(jù)的前提下，還有機會賺點兒錢，實在是破壞勒索軟件江湖規(guī)矩的好軟件…

防御措施

隨著勒索軟件近幾年的火爆，類似的事件越來越多，F(xiàn)reebuf也有不少案例。對付這類勒索木馬，只能通過預(yù)防。

• 一是要養(yǎng)成備份的習(xí)慣，特別是重要文件要經(jīng)常備份;
• 二是養(yǎng)成良好的操作習(xí)慣，這類勒索軟件大都通過郵件附件傳播，因此不要點擊不明來源的鏈接或附件;操作系統(tǒng)和殺毒軟件也要及時更新。