【转】太可怕了～～～史上最欠扁的恶意软件Cryptolocker爆发了～～～高科技绑架啊～～～

Poweregg

大家注意这几天我遇到了一款史上最欠扁的恶意软件（malware) CryptoLocker ,更精确地说这是款Ransomware勒索软件，最近在美国爆发的厉害，还没见到国内报道。这款恶意软件一般叫CryptoLocker 或 Trojan:Win32/Crilock.A,已经出现升级版了，开创了恶意软件开发的新思路，可以说即邪又毒，给用户数据安全构成极大危害，搞了IT快20年，我还没见过像这样有这么多受感染的用户（包括技术人员）乖乖投降的情况。
这款软件其实劫财思路挺简单，通过邮件传播（一般仿冒大公司邮件），由于较新，一般安全软件还不能完全检测出来，如果用户不小心点进邮件并激活该程序则迅速感染用户所有硬盘文件，包括所有网络上共享的文件。CryptoLocker 首先向控制服务器发送获取RSA Public Key请求

在获取RSA Public Key后该软件迅速按特定文件后缀名对每个文件产生一个256 bit AES 新key用于对该文件内容进行加密（AES加密算法）
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
可以说涵盖了用户系统上所有重要的文件
再用RSA Public Key 对AES密钥进行加密
最后软件该软件会跳出个对话框，提醒用户3天之内缴费300美元（原来只勒索100美元，可能物价上涨了，骇客也要涨工资了，看到网上有的乖乖缴费100美元的用户还暗自庆幸是在涨价前交的费）。


不过不缴费呢，嘿嘿，那所有文档都没法用了，包括数据库等重要文件，由于解密用的RSA Public Key相对应的RSA Private Key 只有骇客有，他不给谁也解不了密，而且骇客还威胁3天后销毁解密的密钥。据说在收到用户的缴费后，骇客4天后还真给解了密，目前还挺守信用。
目前安全软件可以清除的了该软件，但大罗神仙也解不了这些被加密的文件。网上看到大概快一半的受害用户都交了费。该软件目前主要攻击公司用户，对公司数据构成极大威胁，对家庭用户主要加密音乐、视频和图片文件（如果艳照门主角照片泄露前被该软件攻击了就没事了，(*^__^*) 嘻嘻……）
对于该软件防治主要是不要点击来历不明的邮件，全面升级安全软件，特别是查杀恶意软件的。最后最重要的是做好常规性数据备份，尤其是公司用户。我遇到的受害者是一个财务会计，这个软件竟然加密了她所有财务文件，包括服务器上共享的公司财务文件，当时她差点疯了，还好公司有备份系统不然就玩完了。
国内的用户（特别是公司用户）要小心了像360什么的目前还不能有效查杀，当然这个软件发明者可能还没注意到中国市场，没做好美元和人民币的结算，不然就要刷银联卡支付了。

Poweregg

【讨论】本市论坛的一个朋友，中了国外流行的一个加密、加壳、病毒，报警没用后，让他交了300美金解决了。
binliu 当前离线  反映此帖  只看该作者帖子  
我看了一下

这个是RSA C/S 结构的对应Key,也就是有服务端提供一半Key，客户端算出另一半Key

果断让他交300美元，他起先不相信，去报警，结果警察只是帮它立个案，就不管它了.

被恶意加密加壳的资料非常重要，所以最终还是听了劝告付了300美元，据说这个勒索病毒以前只收100美元

汇款名账户匿名，IP地址全部是跳板，根本查不到

go2home

上周我们IT已经转发了该通告。所以公司一定要有每日备份系统。

Poweregg

go2home 发表于 2013-10-14 08:38
上周我们IT已经转发了该通告。所以公司一定要有每日备份系统。

个人用户只能考虑Dropbox了

还好Dropbox可以保留用户历史文件～～～不知道别的网盘有没有这个功能

a21989

我 日 ,这个太流氓了吧

erni

可怕，太阴毒

lubber

catch this guy

商务车

感谢提醒，真可怕。。。。。。太可怕了。

linkspeed

估计会有大批人复制这种模式。这样来钱太快了。
躲在个四不管的国家收钱就可以。

Leetecit

按你说的思路IT把控制服务器Block掉不就解决威胁？
怕没这么简单吧。

Leetecit

linkspeed 发表于 2013-10-14 10:07
估计会有大批人复制这种模式。这样来钱太快了。
躲在个四不管的国家收钱就可以。 ...

这个模式一年多前就有很多了，澳洲是勒索US1000-3000不等，Queensland是重灾区。
当时SMH就报道Manly一家诚所就中了还只有1年前的备份。

ausox

怎么可能查不到

Poweregg

Leetecit 发表于 2013-10-14 09:13
这个模式一年多前就有很多了，澳洲是勒索US1000-3000不等，Queensland是重灾区。 ...

。。。。。。。。。。。
靠，所有人都拿澳洲当澳傻啊
东西卖的贵，勒索价格也高啊

righttang

Poweregg 发表于 2013-10-14 08:41
个人用户只能考虑Dropbox了

还好Dropbox可以保留用户历史文件～～～不知道别的网盘有没有这个功能 ...

如果你的dropbox是自动同步的，然后他帮你把文件加密之后，同步到云端，那怎么办呢？

Poweregg

righttang 发表于 2013-10-14 09:17
如果你的dropbox是自动同步的，然后他帮你把文件加密之后，同步到云端，那怎么办呢？ ...

dropbox可以恢复历史文件的

还有就是你有n台电脑，一台不经常开机的话，起码可以恢复部分数据

righttang

再问个问题，我可以对我的文件进行写保护么？
比如说照片，一般照片修好了存好了，以后就再也不会写了，我把他写保护起来，任何程序都不能改。
这个文件夹只能增加文件，读取照片，但是不能修改已经存在的照片，这样对这个病毒应该有一定的防治作用吧

乘物以游心

OMG，还有这么可怕的东西。

丫美国中情局这时候干啥去了，管他在啥地方，揪出来 。。。 让他入伙呗。

future2521

每日Ghost一遍。。。这个病毒是怎么绕过User权限的，加密解密不得是Admin才行么。

红烧鸡翅

招程序员开发支付宝版

Leetecit

SMH 的报道：
http://www.smh.com.au/it-pro/security-it/hackers-draw-ransom-in-cyber-stings-20121223-2bspr.html

rayki

强大了。。

meflyman

看上去很可怕，要做好防止

Poweregg

Leetecit 发表于 2013-10-14 09:35
SMH 的报道：
http://www.smh.com.au/it-pro/security-it/hackers-draw-ransom-in-cyber-stings-20121223-2 ...

果然勒索起澳洲都是几千几千勒索啊

jerryinau

righttang 发表于 2013-10-14 09:23
再问个问题，我可以对我的文件进行写保护么？
比如说照片，一般照片修好了存好了，以后就再也不会写了，我 ...

即使写保护，只要有权限，病毒也会强制写入啊
最好的办法是用一种特殊的分区表，只有用特殊程序才能读取的分区，除非病毒把你的硬盘搞坏，不然它是找不到你的文件的

masterniu

我正想贴出来这个呢，有个客人星期五中招了，加密了所有的本地和网络文件，用了一天功夫从备份恢复。

v9v

可怕啊

boxhill1984

这个不犯法吗 汇去的钱查不到吗

肉丝

windows还是不安全阿

findcaiyzh

看邮件会中招吗？

milysun

这个太恶心了，应该抓起来奸尸。