勒索软件生存指南——以Xorist为例

曲速未来安全区
曲速未来安全区 机构得得号

Aug 21, 2018 专注于为读者提供区块链安全领域最新讯息

摘要: 当你被勒索软件感染时,首先要识别受感染的计算机,然后检查勒索软件是否仍然存在,接着找出正在运行的勒索软件,最后按照一定的步骤清理。保护数据安全性最稳妥的方法是备份,拥有3份重要数据备份,系统无法访问2份副本,1份存储在异地。

前言:
作为一种古老的黑客不正当获利的手段,由于虚拟货币的自身特性,勒索软件在加密货币的领地上焕发出了新的活力。加密货币作为赎金,已经成了勒索软件的基本配置。

今天我们将为大家介绍如何手动删除勒索软件。

什么是勒索软件?
勒索软件可以分为两种不同的类型; 屏幕锁定器和文件加密器。

屏幕锁定器通常只会阻止您访问Windows。他们要求付款以解锁系统,但不会造成任何实际损害。一个特别受欢迎的伪装方法是假装执法,声称他们已经发现存在非法的活动。虽然繁琐,但从这种勒索软件攻击中恢复通常非常简单,并且可以重新获得对系统的访问权限。

另一种文件加密器则是加密用户机器上的个人文件或整个硬盘驱动器,阻止用户访问他们的文件,除非他们支付赎金。但并非所有文件加密勒索软件都使用强加密技术,因此在许多情况下,用户无需付费即可恢复其数据。

对于这篇文章,我们主要介绍更常见的文件加密器类型的勒索软件。由于勒索软件家族不断变化和发展,我们将演示一个典型的恢复程序,使用较老的勒索软件家族,常青树Xorist。

如果你被感染该怎么办?
这是每个用户和管理员的噩梦:你发现自己感染了勒索软件,你正盯着屏幕上的一条消息,要求你花费数千美元来解密你的文件。你该怎么办?不要惊慌。勒索软件可能会向您显示时间限制,但重要的是避免采取错误的步骤,这可能会使您更难恢复文件。

第1步:识别受感染的计算机
首先,找到受感染的计算机。这是非常重要的第一步,应该在您发现勒索软件感染时立即完成。您通常可以通过检查网络上的赎金票据文件的所有者或文件共享来找到勒索软件所在的计算机。找到受感染的计算机后,断开它们与网络的连接,以便勒索软件无法横向传播到网络上的其他计算机,并在勒索软件尚未完成时阻止加密更多文件。

第2步:检查勒索软件是否仍然存在
其次,一旦受感染的系统断开连接,重要的是要弄清楚勒索软件是否仍在运行或存在于系统上。如果是这样,那么最好在清理系统之前获取内存的进程转储和恶意软件的副本。这很重要,因为特定的勒索软件系列可能仍在运行中。通常,建议将任何恶意文件上传到名为VirusTotal的服务。VirusTotal由来自60多个不同安全供应商的防病毒扫描程序和其他安全工具提供支持,可以告诉您文件是否干净,或者如果文件被检测为恶意软件,则提供检测名称。

第3步:找出您正在处理的勒索软件
第三,将赎金票据和加密文件的副本上传到ID-Ransomware(IDR)。IDR是一项免费服务,经过培训,可根据加密文件和勒索软件中留下的线索识别勒索软件。一旦你知道你正在处理哪种勒索软件,就会更容易看出是否有合适的解密器以及是否有关于受害者如何被感染的信息。

第4步:清理
最后,我们通过下述案例了解如何清理。

如何删除Xorist
大多数情况下手动移除是不必要的。勒索软件经常自我删除,因为它已经完成了加密文件和丢弃要求勒索赎金的主要目的。话虽这么说,一些勒索软件还会将自己安装到自动启动位置,以加密以前未加密的任何新数据。其他一些勒索软件可能会附带其他恶意软件,这可能会造成进一步的破坏。

由于勒索软件不断发展,我们决定选择一个相当古老的勒索软件家族,这个家庭仍在使用中,并且在它首次发布后的几年内占据了所有勒索软件攻击的很大一部分:Xorist。虽然肯定有更复杂的勒索软件变种,但大多数都没有展现出Xorist的持久力。

Xorist是一个勒索软件构建工具包,即使是初级的网络犯罪分子也可以使用的勒索软件。诸如背景图像,勒索软件笔记,要定位的文件扩展名和解锁密码等内容都可以完全自定义。我们从攻击者多年来产生的成千上万的Xorist变体中挑选了一个随机变体。

当您第一次看到受感染的系统时,您会立即看到背景已更改为可怕的注释,并且所有图标都已更改为头骨。

首先,我们要检查勒索软件或其他恶意软件是否仍在使用Process ExplorerProcess Hacker运行。在这种情况下,勒索软件在完成更改后退出,并且没有其他恶意软件在运行。但是,如果您确实发现计算机上运行的进程看起来像恶意软件,请确保在挂起或终止它们之前创建它们的完整进程内存转储。要做到这一点,只需右键单击流程列表中的流程,然后在Process Hacker中选择“Create dump file ...”或在Process Explorer中选择“Create Dump / Create Full Dump ...”。

接下来,我们要使用一个名为Autoruns的便捷工具检查加载点(大多数程序在启动时可以运行的方式)。加载Autoruns后,我们在Run键中看到一个值,该图标与我们现在显示的所有文件一样。通过查看文件所在的位置(在temp中)并通过在VirusTotal上扫描(右键并选择Submit to VirusTotal)进一步调查,我们可以确定这可能是我们的勒索软件文件。

有关在VirusTotal上扫描文件的一点需要注意的是,有时扫描程序可能会出现误报。因此,如果一个文件只有一个或两个检测但看起来合法,则并不一定意味着该文件是恶意的。在这种情况下,将文件提交给我们可能会有所帮助,因此我们可以仔细查看。

但是,在这种情况下,考虑到检测的数量 - 以及图标和可疑位置 - 我们可以假设此文件是恶意的并且是感染源。因此,我们可以通过右键单击该行并选择“删除”来删除自动运行条目,或者我们可以通过取消选中条目前面的复选框来禁用它。

通常,每当您处理勒索软件时,最好创建一个您找到的所有恶意可执行文件的副本。您只需将它们全部复制到一个目录中,然后将它们压缩即可。归档恶意文件而不是删除它们的原因非常简单:在处理新的勒索软件系列时,像我们这样帮助勒索软件受害者的公司将需要加密文件的勒索软件可执行文件以对其进行反向工程并查找缺陷它的实施。只有这样,我们才能将这些缺陷变成一个有效的解密者。如果受害者删除勒索软件的可执行文件,则此过程变得更加困难。

在我们解除了自动运行并取消归档勒索软件可执行文件后,我们会将赎金票据和一个加密文件提交给ID-Ransomware。这个过程很简单,大多数用户都不会按照网站上的说明进行操作。

ID Ransomware为我们正确识别勒索软件系列,并且知道使用哪个解密器来获取我们的文件。

在处理勒索软件解密时,请记住它们可能并不完美。很多勒索软件都是粗暴编程的。有些会直接损坏他们加密的部分文件而导致无法恢复损坏的部分。最好检查解密器下载页面上的使用信息,以确定是否存在任何此类限制以及如何正确使用解密器。

大多数解密器(包括我们的解密器)通常要求您拥有一个匹配的文件对,其中包含一个加密文件以及未加密的原始版本。许多受害者通常不知道如何获得这些并认为不可能得到匹配的一对。但是,根据以下指针,他们通常会立即找到一个文件对:

1.如果在下载目录中加密了任何文件,只需再次下载该文件即可。

2. 如果有任何加密的标准Windows文件,例如默认壁纸,只需从运行相同版本Windows的其他系统中复制相同的文件即可。

3.检查您发送的电子邮件文件夹,查看您发送给现在已加密的朋友或家人的任何文件,只需获取原始表单即可发送电子邮件。

解密器通常还需要一些时间来执行一些冗长的计算,以确定要使用的正确解密密钥。因此,在解密者完成其工作时请耐心等待。

一旦我们下载了Xorist解密器并使用合适的文件对运行它,它就会开始进行攻击以破坏加密:

 完成后,解密器将通知我们该过程的结果:

单击确定并开始解密过程后,我们将文件恢复:

大多数勒索软件都需要额外的清理工作。首先,壁纸。使用标准Windows对话框可以轻松更改壁纸。只需右键单击桌面上的空白区域,然后选择“个性化”。然后将背景更改回您想要的背景:

在这种特殊情况下,勒索软件还注册了自己的文件扩展名(.cryptedx)并将其链接到勒索软件可执行文件。这就是为什么所有加密文件突然有一个头骨图标。删除它有点棘手,需要使用Windows注册表编辑器。

只需运行“regedit.exe”命令即可打开Windows注册表编辑器。要进入“运行”对话框,请同时按Windows键和“R”键。

现在导航到HKEY_CLASSES_ROOT键。此注册表项包含文件扩展名之间的所有链接以及它们链接到的应用程序。接下来,在HKEY_CLASSES_ROOT键中查找子键“.cryptedx”。你会发现类似的东西:

基本上有两种方法可以在注册表中设置文件扩展名。要使用的应用程序的信息直接存储在文件扩展名子密钥中,要么该信息是单独存储的,文件扩展名只链接到该其他条目。通过检查文件扩展名密钥本身是否具有任何子密钥来确定哪个是哪种方法。这显然不是这里的情况,否则,它将有一个小箭头展开左侧导航窗格中的子键。因此我们将记下默认值(“NTGQBAPSQKOSXWE”),然后删除密钥。

接下来,我们查看NTGQBAPSQKOSXWE子键。这是表示运行应用程序的关键:

删除最后一个密钥将完全删除恶意软件放置的扩展注册。

最后但并非最不重要的是,我们将进行最后一些清理工作。大多数解密器将保留赎金票据以及加密文件,以防出现任何问题。毕竟,拥有加密备份仍然比完全没有备份更好。但是,一旦确定您的文件已经恢复并且没有损坏,它们就会变得不必要的混乱。

因此,在我们的最后一步中,我们使用Windows文件搜索来查找所有加密文件以及所有赎金备注以删除它们:

只需选择all并删除任何其他文件,我们就完成了对勒索软件感染和文件恢复的完全删除。

如何避免勒索软件?

简而言之,勒索软件只是普通的恶意软件。因此,针对普通恶意软件的所有常用过程对于勒索软件同样有效,例如:

1.使您的软件和操作系统保持最新,以避免成为漏洞攻击和偷渡式下载的目标。

2.不要从盗版软件或从您不认识的来源打开电子邮件附件等高风险行为。即使您确实了解来源,也要使用常识。由于大多数文档格式已经过压缩,因此任何人没有理由在ZIP存档中包装发票,订单确认或其他任何内容并通过电子邮件发送。在这种情况下,ZIP不会减小电子邮件的大小,而只是用于过滤掉可能的恶意附件的附件过滤器。

3.使用可靠的防病毒和反恶意软件程序来保护您的安全。

观点:

您可以采取一些额外的步骤来保护自己。备份是最重要的一个。虽然备份不能保护您免受勒索软件的侵害,但它们确实有助于减轻损失。备份的一般规则是“3-2-1”。拥有3份重要数据。您的系统无法访问其中2个副本。其中1份副本应存放在异地。

(作者:曲速未来安全区;内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 曲速未来安全区 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信