敲詐者病毒VirLocker再次來襲?如何防范VirLocker病毒(內(nèi)含恢復(fù)指南)。VirLocker絕對不是什么新的病毒, 它把受害者的計算機(jī)搞得一團(tuán)糟已多達(dá)數(shù)年。VirLocker是主流多態(tài)性敲詐者病毒的首例并且它不給它的受害者留下痛苦的代價。

VirLocker 能夠像其他惡意軟件一樣從它的作者那里傳播開來, 但是VirLocker在感染其他用戶時做了優(yōu)化。 因為每一份被VirLocker感染的文件都變成了它自身，許多用戶會不小心地把一份受感染的文件發(fā)送給朋友和同事，所以備份也被感染了,甚至應(yīng)用程序和可執(zhí)行文件都會不安全。 基本上, 被VirLocker感染后, 你不可以信任受影響計算機(jī)上的任一單個文件。當(dāng)嘗試去清理計算機(jī)時就遇到一個難題，因為沒有什么可以信任并且每個你使用的工具都被感染了。甚至當(dāng)你嘗試去下載一個工具來幫你都成了問題，因為如果 VirLocker 運(yùn)行在計算機(jī)上的話， 它會試圖去感染新的文件即使在那個文件被打開之前。然而，如果你發(fā)現(xiàn)自己的計算機(jī)被這個變體感染了，千萬不要嘗試去移除它!本文不僅討論敲詐者病毒是如何運(yùn)行的, 還會向你展示如何在不支付贖金的情況下取回你的文件。

VirLocker的多態(tài)功能

VirLocker的多變能力使得每個人都頭疼， 研究員、受害者和安全公司等等。 每次VirLocker 把自身添加到一個文件, 實際上該文件在許多方面都不同于它自身的其他版本。 VirLocker 可以添加“偽代碼”到它自身的某些部分從而使得文件不同, 它可以在惡意軟件的主要加載器中使用不同的API以避免 部分指紋識別，它可以使用不同的 XOR 和 ROL 種子使得可執(zhí)行文件的加密內(nèi)容完全不同等等。多態(tài)功能的這種級別使得它非常難以處理。即使當(dāng)每個文件中的解壓存根不同時，它通常被用來識別每個變種，它只留下行為和啟發(fā)作為一種可行的檢測方法。

正如你看到的上面的VirLocker感染文件圖表所示，在每個創(chuàng)建請求中如果有效負(fù)載存根可以不一樣,并且加密代碼總是被不同地seed化, 嵌入的原始文件當(dāng)然也會總是不同,取決于它所攻擊的文件, 并且資源僅僅是他所攻擊的原始文件的一個小圖標(biāo)。這留下了的非常少的適用于檢測。

VirLocker的執(zhí)行鏈

VirLocker的執(zhí)行絕不簡單,比起我們已經(jīng)看到的在單一情況下敲詐者病毒場景，它真正反映了多種保護(hù)類型。當(dāng)執(zhí)行感染時, FUD包裝器(可以在某些方面多態(tài)本身)解包第一個由Base64和XOR混合的解密函數(shù)且總是不同地seed化。這個新的解密函數(shù)然后解密另一個新的由XOR/ROL混合的解密函數(shù)且總是不同地seed化。這個解密函數(shù)最后得到惡意代碼并打算在計算機(jī)上運(yùn)行。此時此刻，敲詐者病毒檢查它是否已經(jīng)感染了計算機(jī)，如果是，那么是否支付贖金?如果得到贖金，它就會變得善良且馬上解密并提取被它植入自身的原始文件，最后關(guān)閉。如果用戶被感染但是沒有支付贖金，它就會在沒有打開的情況下再次打開屏幕鎖。如果是一個新的受害者，敲詐者病毒就會打開植入它自身的文件使得用戶認(rèn)為一切正常。比如，如果用戶B接到一張來自朋友A的受感染的圖片，一旦用戶B打開那個文件，敲詐者病毒就會向他們展示植入自身的圖片，但是在后臺繼續(xù)感染計算機(jī)。這是敲詐者病毒如何自我復(fù)制的背景。

樣本：原始正常文件被植入到病毒的樣子。

VirLocker 概述

上圖顯示了VirLocker的運(yùn)行原理和呈現(xiàn)出的問題。不僅是病毒難以檢測，它還能夠在沒有惡意軟件作者的幫助下繼續(xù)存在。如果任何曾被VirLocker 感染過的計算機(jī)碰巧發(fā)送出任意受感染的文件并認(rèn)為它只是一個屏幕鎖，那么這些文件將感染更多計算機(jī)。這種不斷循環(huán)的感染將導(dǎo)致Virlocker像野火一樣蔓延。一旦打開VirLocker ，它就會在計算機(jī)上將自身添加到附近的每一個文件，僅僅從圖片到實際的應(yīng)用程序。點擊這些受感染的文件只會使得敲詐者病毒再次運(yùn)行，或者在一個新的受害者情況下去感染他們。只有在這臺計算機(jī)上“支付”了贖金以后，這些文件才會提取出他們內(nèi)部的“正常版本”。由于這個敲詐者病毒帶來的各種發(fā)狂，它已被證明是一個了不起的感染傳播方法。想象一下你得到這個受感染文件并像你聽說的那樣僅僅把它看做是一個屏幕鎖你以某種方式設(shè)法刪除它并認(rèn)為你不受阻礙。因為后綴名是隱藏的，你沒有看見你計算機(jī)上的每一個文件現(xiàn)在都有一個在原始后綴后面被添加了.exe的后綴。你把你的簡歷發(fā)送給一家你正在申請的公司，接著很快整個商業(yè)都被感染了。

最新評論