勒索软件,虽然有点恰当的绰号,因为它会劫持您的数据,要求为其发布付费,但它始终隐含着不必要的情感成分。将其与任何类型的犯罪相比较是不可原谅的麻木不仁现实世界的赎金关于人的生命。此外,还没有“生命证明”的概念,例如发回数据的“小指”,或者让您简单地看到您的数据正在安全地保存在Linux环境中。
这些心理差异需要理解这种网络犯罪的真正定义:a可逆拒绝资源加密病毒勒索攻击。虽然听起来很隐晦,但这只是通常被称为勒索软件的技术术语。也许语义剖析会提供一些澄清和理解。
拒绝服务攻击如果成功,将导致无法提供服务,例如响应用户的http请求提供网页。拒绝资源攻击阻止对资源(如特定文档或文件)的访问。传统上,一个目标是有价值的资源,并阻碍其对用户的可用性。通常,这涉及到删除用户在其计算机上读取、写入和复制最有价值和敏感文件的能力。然而,如果忠于他们的话,这个过程是可逆的,在满足黑客的付款要求后返回完全访问权限。
这种压迫性攻击显然是一种金融勒索。在现实世界中,这种情况经常发生在要求向客户付款的情况下防止发布具有破坏性的信息,尽管在这种情况下,勒索者需要付款才能允许捕获数据的发布。
需要解释的其余部分是此攻击最有趣的方面(如果您是受害者,则不太有趣)——它使用密码病毒学. 结合病毒学密码学是一个典型的整体大于部分之和的例子。这被恶意软件用来增强混淆和防止逆向工程。
病毒传播仍然是恶意软件传播的一种普遍而有效的手段。尽管在安全保护机制和防御措施方面取得了进展,但病毒威胁仍然存在问题,因为它们的AV规避方法日趋复杂。利用变异引擎,多态的和变形恶意软件已经证明了通过创建自修改和重新组织加密代码来频繁避免检测的能力。
在这种类型的敲诈勒索攻击中加入加密技术会加大其恶意强度。设计用于保护敏感信息的技术,即加密技术,在没有预期用途的情况下,同样具有破坏性。通过现实世界中使用的门锁示例,可以很容易地理解这一概念。如果一个房间里有贵重物品,那么通往安全的第一步就是安装一扇门,为临时路人提供视觉隐私。下一步是安装门锁,以实现有效的安全,防止其他人进入房间。但是,如果忽略此步骤,则可能会有其他人执行此操作他们自己的锁在门上,从而限制合法所有者的访问。这一原则适用于加密,并因其利用率显著不足而增强。在这种攻击场景中,有价值的数据基本上被锁定在一个数学保险库中,尽管它位于用户的pc上,但无法打开。打开保险库所需的字母数字密钥(解密数据)成为敲诈勒索者拥有的有价值物品。
与最近发生的这起攻击相关的媒体报道源于其密码强度,而非其新颖性。同时,在1996年IEEE安全与隐私研讨会直到2004年才真正发生了一次。特洛伊木马.Pgpcoder是首批影响最终用户的公共实例之一。幸运的是,它脆弱的自定义加密方案使它能够轻松地进行反向工程。很快就要到了Cryzip特洛伊木马程序,它使用了受密码保护的zip加密,可以强制使用。在2006年年中,美国Archiveus-特洛伊木马程序它奇怪地要求从一家俄罗斯网站购买药品,而不是直接用金钱要求文件解密。在文件连接和合并之后,访问尝试生成一个对话框,请求复杂的30个字符的密码. 尽管Archiveus特洛伊木马的反向工程因其将密码以明文形式存储在二进制文件中而变得更加容易。
遵循勒索病毒的历史趋势,Gpcode特洛伊木马最早出现在2004年,在2005年迅速发展,然后在2006年明显停止后进入休眠状态。首先是针对企业,随着代码的复杂程度和效力的发展,受害者的数量不断增加。2006年1月,,Gpcode.ac采用了安全的方法RSA公开加密算法。在作者最初的RSA实现因使用56位密钥而导致失败后,其复杂性迅速成熟。2006年,在六个月的时间内,Gpcode变体出现,密钥长度不断增加。
Gpcode.ad67位RSA密钥
Gpcode.ae260位RSA密钥
Gpcode.af330位RSA密钥
Gpcode.ag660位RSA密钥
两年后,我们发现自己面临Gpcode.ak使用1024位RSA加密。对于破解这种强度的加密所需的原始计算能力和数学循环效率,人们有不同的估计。但是,无论来源如何,人们一致认为,这项任务将是一个重大困难。
这种情况的最终结果是一个真正的安全问题。目前,安全界已尽最大努力进行预防请求协作帮助并尝试恢复文件使用照片恢复软件.这充其量也令人不安。
也许我们应该解散分布式计算项目(再见塞蒂)停止超级计算国际象棋比赛(没错深蓝,深思熟虑和九头蛇)并将这些资源专用于加密文件恢复。
对于所有受这次毁灭性攻击影响的人,我给你们留下两个词——备份驱动器。
我的博客可以在以下地址索取赎金:greyhat@computer.org