敲詐者病毒VirLocker再次來(lái)襲?如何防范VirLocker病毒(內(nèi)含恢復(fù)指南)。VirLocker絕對(duì)不是什么新的病毒, 它把受害者的計(jì)算機(jī)搞得一團(tuán)糟已多達(dá)數(shù)年。VirLocker是主流多態(tài)性敲詐者病毒的首例并且它不給它的受害者留下痛苦的代價(jià)。

VirLocker 能夠像其他惡意軟件一樣從它的作者那里傳播開(kāi)來(lái), 但是VirLocker在感染其他用戶時(shí)做了優(yōu)化。 因?yàn)槊恳环荼籚irLocker感染的文件都變成了它自身，許多用戶會(huì)不小心地把一份受感染的文件發(fā)送給朋友和同事，所以備份也被感染了,甚至應(yīng)用程序和可執(zhí)行文件都會(huì)不安全。 基本上, 被VirLocker感染后, 你不可以信任受影響計(jì)算機(jī)上的任一單個(gè)文件。當(dāng)嘗試去清理計(jì)算機(jī)時(shí)就遇到一個(gè)難題，因?yàn)闆](méi)有什么可以信任并且每個(gè)你使用的工具都被感染了。甚至當(dāng)你嘗試去下載一個(gè)工具來(lái)幫你都成了問(wèn)題，因?yàn)槿绻?VirLocker 運(yùn)行在計(jì)算機(jī)上的話， 它會(huì)試圖去感染新的文件即使在那個(gè)文件被打開(kāi)之前。然而，如果你發(fā)現(xiàn)自己的計(jì)算機(jī)被這個(gè)變體感染了，千萬(wàn)不要嘗試去移除它!本文不僅討論敲詐者病毒是如何運(yùn)行的, 還會(huì)向你展示如何在不支付贖金的情況下取回你的文件。

VirLocker的多態(tài)功能

VirLocker的多變能力使得每個(gè)人都頭疼， 研究員、受害者和安全公司等等。 每次VirLocker 把自身添加到一個(gè)文件, 實(shí)際上該文件在許多方面都不同于它自身的其他版本。 VirLocker 可以添加“偽代碼”到它自身的某些部分從而使得文件不同, 它可以在惡意軟件的主要加載器中使用不同的API以避免 部分指紋識(shí)別，它可以使用不同的 XOR 和 ROL 種子使得可執(zhí)行文件的加密內(nèi)容完全不同等等。多態(tài)功能的這種級(jí)別使得它非常難以處理。即使當(dāng)每個(gè)文件中的解壓存根不同時(shí)，它通常被用來(lái)識(shí)別每個(gè)變種，它只留下行為和啟發(fā)作為一種可行的檢測(cè)方法。

正如你看到的上面的VirLocker感染文件圖表所示，在每個(gè)創(chuàng)建請(qǐng)求中如果有效負(fù)載存根可以不一樣,并且加密代碼總是被不同地seed化, 嵌入的原始文件當(dāng)然也會(huì)總是不同,取決于它所攻擊的文件, 并且資源僅僅是他所攻擊的原始文件的一個(gè)小圖標(biāo)。這留下了的非常少的適用于檢測(cè)。

VirLocker的執(zhí)行鏈

VirLocker的執(zhí)行絕不簡(jiǎn)單,比起我們已經(jīng)看到的在單一情況下敲詐者病毒場(chǎng)景，它真正反映了多種保護(hù)類型。當(dāng)執(zhí)行感染時(shí), FUD包裝器(可以在某些方面多態(tài)本身)解包第一個(gè)由Base64和XOR混合的解密函數(shù)且總是不同地seed化。這個(gè)新的解密函數(shù)然后解密另一個(gè)新的由XOR/ROL混合的解密函數(shù)且總是不同地seed化。這個(gè)解密函數(shù)最后得到惡意代碼并打算在計(jì)算機(jī)上運(yùn)行。此時(shí)此刻，敲詐者病毒檢查它是否已經(jīng)感染了計(jì)算機(jī)，如果是，那么是否支付贖金?如果得到贖金，它就會(huì)變得善良且馬上解密并提取被它植入自身的原始文件，最后關(guān)閉。如果用戶被感染但是沒(méi)有支付贖金，它就會(huì)在沒(méi)有打開(kāi)的情況下再次打開(kāi)屏幕鎖。如果是一個(gè)新的受害者，敲詐者病毒就會(huì)打開(kāi)植入它自身的文件使得用戶認(rèn)為一切正常。比如，如果用戶B接到一張來(lái)自朋友A的受感染的圖片，一旦用戶B打開(kāi)那個(gè)文件，敲詐者病毒就會(huì)向他們展示植入自身的圖片，但是在后臺(tái)繼續(xù)感染計(jì)算機(jī)。這是敲詐者病毒如何自我復(fù)制的背景。

樣本：原始正常文件被植入到病毒的樣子。

VirLocker 概述

上圖顯示了VirLocker的運(yùn)行原理和呈現(xiàn)出的問(wèn)題。不僅是病毒難以檢測(cè)，它還能夠在沒(méi)有惡意軟件作者的幫助下繼續(xù)存在。如果任何曾被VirLocker 感染過(guò)的計(jì)算機(jī)碰巧發(fā)送出任意受感染的文件并認(rèn)為它只是一個(gè)屏幕鎖，那么這些文件將感染更多計(jì)算機(jī)。這種不斷循環(huán)的感染將導(dǎo)致Virlocker像野火一樣蔓延。一旦打開(kāi)VirLocker ，它就會(huì)在計(jì)算機(jī)上將自身添加到附近的每一個(gè)文件，僅僅從圖片到實(shí)際的應(yīng)用程序。點(diǎn)擊這些受感染的文件只會(huì)使得敲詐者病毒再次運(yùn)行，或者在一個(gè)新的受害者情況下去感染他們。只有在這臺(tái)計(jì)算機(jī)上“支付”了贖金以后，這些文件才會(huì)提取出他們內(nèi)部的“正常版本”。由于這個(gè)敲詐者病毒帶來(lái)的各種發(fā)狂，它已被證明是一個(gè)了不起的感染傳播方法。想象一下你得到這個(gè)受感染文件并像你聽(tīng)說(shuō)的那樣僅僅把它看做是一個(gè)屏幕鎖你以某種方式設(shè)法刪除它并認(rèn)為你不受阻礙。因?yàn)楹缶Y名是隱藏的，你沒(méi)有看見(jiàn)你計(jì)算機(jī)上的每一個(gè)文件現(xiàn)在都有一個(gè)在原始后綴后面被添加了.exe的后綴。你把你的簡(jiǎn)歷發(fā)送給一家你正在申請(qǐng)的公司，接著很快整個(gè)商業(yè)都被感染了。

最新評(píng)論