比特币病毒 不可破解的比特币勒索病毒,究竟是怎样的?
时间: 2020年12月19日                     分类: 比特币 标签:, ,

作者|秦晓峰

编辑|陆小明

生产|每日星球日报(ID:o-daily)

比特币病毒

(电影《黑客帝国》的照片)

2017年,WannaCry比特币勒索软件攻击了包括中国在内的150多个国家,造成了超过80亿美元的损失。从那时起,尽管各种勒索软件(NotPetya,Bad Rabbit等)层出不穷,但其影响范围始终受到限制。

最近出现的一种名为GandCrab V5.2的加密货币勒索软件似乎显示出重新出现WannaCry的“旧荣耀”的迹象。它攻击了中国成千上万的政府和企业计算机。

所谓的勒索软件正试图毒害您的计算机,锁定内部文件,并要求用户以比特币支付赎金以解锁它。

包括SlowMist和DVP在内的许多安全团队告诉《每日星球日报》,GandCrab V5.2目前坚不可摧,只能用于防御。

GandCrab团队不仅技能高超,而且还拥有偷窃的权利:它通过兑现承诺支付赎金的方式“戒毒”,并且“人道地”将叙利亚等战乱地区从感染中排除区域,因此曾经被称为“侠盗猎车手”病毒。但是,它把中国和韩国作为重要目标。通过出售该病毒,GandCrab背后的团队也赚了285万美元。

近年来,对加密货币的攻击有所增加,并且区块链安全事件频繁发生。除了勒索软件外,恶意挖矿也一直不愿意表现出弱点。如果我们说2017年的攻击主要是“勒索软件”,而2018年的攻击则主要是“恶意采矿”。现在,勒索软件会再次卷土重来吗?

数以千计的政府和机构计算机被感染

新的比特币勒索软件病毒再次肆虐。

根据对国家网络和信息安全信息通知中心的监视,GandCrab V5.2自2019年3月11日以来一直在中国肆虐,攻击了数以千计的政府,企业和相关科研机构的计算机。

在发稿前,湖北省宜昌市夷陵区政府,中国科学院金属研究所,云南师范大学和大连公安局等政府,企业和大专院校在其官方网站上都发布了有关该病毒攻击的公告。

比特币病毒

(夷陵区政府官方网站截图)

根据网络安全分析师David Montenegro的说法,GandCrab V5.2勒索软件现已感染了数千台中国计算机,并将继续通过RDP和VNC扩展攻击影响中国的更多计算机。

手段:垃圾邮件攻击

GandCrab V5.2如何“毒害”受害者的计算机?据了解,勒索软件目前主要受到邮件攻击。

攻击者会将一封电子邮件发送给受害者的邮箱,主题为“您必须在3月11日下午3点向警察局报告!”,发件人名称为“ Min,Gap Ryong”,电子邮件附件名称为“ 03-11-19.rar”。

比特币病毒

(腾讯安全提供的图片)

一旦受害者下载并打开附件,GandCrab V5.2将在运行后完全加密用户的主机硬盘数据,并让受害者访问特定的URL以下载Tor浏览器,然后登录到攻击者通过Tor浏览器加密货币支付窗口要求受害者支付赎金。

DVP区块链安全团队认为,除了垃圾邮件攻击之外,GandCrab V5.2还可能使用“网页吊马攻击”。也就是说,除了将特洛伊木马病毒放置在某些非法网站上之外,攻击者还可能攻击某些防护能力相对较弱的常规网站,并在获得对该网站的控制权之后,攻击登录该网站的用户。

此外,该病毒还可能利用CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)和Weblogic漏洞通过漏洞传播。

“攻击者不可逆地加密受害者计算机中的文件。要对其进行解锁,您只能依靠攻击者为您提供特定的解密密钥。” SlowMist安全小组解释说,受害者只能支付获取特定密钥的费用。

但是,有时会发生受害者支付钱款但攻击者未解锁钥匙的情况。 SlowMist安全小组认为,攻击者小组的声誉可以用作判断的基础。

“勒索软件蠕虫的流行程度越高,就越有可能将您的密钥发送给您。GandCrab在黑暗的网络上仍然众所周知,并享有良好的声誉。” SlowMist安全小组说:“如果不发送私钥,它将降低信誉,其他被攻击的人将不再玩钱。”

“关键在于查看攻击者是否为受害者提供了联系渠道。” DVP区块链安全团队告诉《每日星球日报》(Odaily Planet Daily),由于加密货币的匿名性,攻击者很难确定受害者是否受到攻击。货币操作,如果没有通信渠道,则攻击者无意解锁受害者计算机。

牢不可破:表面上最强大的勒索软件?

“目前,尚无办法直接破解它。一旦攻击成功,如果计算机中有重要信息,则只能为破解私钥付费。”包括SlowMist和DVP在内的许多安全团队已转向Odaily Planet。日报指出,该病毒是坚不可摧的。

比特币病毒

(Tieba屏幕截图)

但是,《每日星球日报》发现,在某些论坛中,声称能够破解GandCrab V5.2的公司出现了,前提是必须在破解之前付款。

“基本上,他们都是骗子。他们都是皮包公司。他们没有能力。”一家匿名的区块链安全公司说:“腾讯,360和其他公司无法破解它。他们能破解它吗?”

“一些团队或个人声称他们可以破解GandCrab V5.2,但实际上是’代理’破解。” SlowMist安全小组解释说:“他们收钱并帮助您向勒索者支付加密货币。获取解密密钥(破解)。”

攻击者动荡不安,他们暂时无法破解特洛伊木马病毒,因此只能防御。宜昌市夷陵区人民政府也提出了一些对策,包括:

但是,SlowMist安全团队指出,非Windows操作系统暂时不会被感染。 “ GandCrab V5.2蠕虫当前仅在Windows上运行,其他系统不可用。”

“强大”病毒也使团队在安全圈中“小有名气”。

GandCrab勒索软件诞生于2018年1月,在随后的几个月中,它成为“新星”。

团队的标签之一是“技术实力”。

今年2月19日,Bitdefender安全实验室专家根据GandCrab本人提供的密钥为GandCrab V5.1之前的所有版本的病毒开发了“解毒剂”(原因将在后面解释)。

但是,路高一英尺,魔鬼高一英尺。根据zdnet的报道,今年2月18日,就在Bitdefender发布最新版本的饼干前一天,GrandCrab发布了肆虐的版本(V5.2),目前尚未破解。

当前,在暗网中,GrandCrab背后的团队使用“勒索软件即服务”(“ ransomware as-a-service”)将V5.2病毒出售给黑客。也就是说,该病毒是由GrandCrab团队提供的,黑客选择了全世界的目标进行攻击和勒索。攻击成功后,GrandCrab团队将从中获利30%-40%。

“垃圾邮件发送者,您现在可以与网络专家合作。不要错过获得更好生活的门票。我们正在等待您。”这是GrandCrab团队在暗网上的“商人广告”。

值得一提的是,GandCrab是第一个勒索Dash硬币的勒索软件。后来,比特币又增加了499美元。根据GandCrab团队2018年12月发布的数据,其以比特币和Dash代币计算的总收入总计285万美元。

比特币病毒

(GandCrab收入截图)

大盗贼的“贼也对”团队?

该病毒小组也被标记为“侠盗猎车手”。该标签来自于2018年发生的“叙利亚钥匙”事件。

2018年10月16日,一位名叫Jameel的叙利亚父亲在Twitter上发布以寻求帮助。 Jameel声称他的计算机感染了GandCrab V5.0.3并被加密。由于无法支付高达600美元的“赎金”,他再也看不到他在战争中丧生的小儿子的照片。

比特币病毒

(Twitter屏幕截图)

在见到GandCrab勒索软件生产商后,他立即道歉,说他无意感染叙利亚用户,并释放了一些叙利亚感染者的解密密钥。

GandCrab还更新了V5.0.5并将叙利亚和其他饱受战争war的地区添加到受感染地区的“白名单”中。此外,如果GandCrab检测到计算机系统使用俄语,它将停止入侵。因此,安全专家推测该病毒作者被怀疑是俄罗斯人。

比特币病毒

(勒索者道歉)

一段时间以来,许多人对GandCrab印象深刻,称其为“小偷”。

“ GandCrab是武术小说中的小偷,有很多偷窃的方法。”一位匿名的安全官员告诉《每日星球日报》,“但即使那样,也不能说GandCrab的行为是有道理的。该国人民并不软心。”

根据腾讯安全团队的统计,GandCrab的大多数受害者集中在巴西,美国,印度,印度尼西亚和巴基斯坦。此外,GrandCrab V5.2版本中使用的语言主要是中文,英语和朝鲜语,这表明中国已成为其攻击的重要目标。

比特币病毒

(GrandCrab V5.2版本)

“如果黑客对某个地区的人们没有感情,那么当他犯罪时,他就不会考虑该地区的人们的感情。” SlowMist安全小组解释说:“从黑客的角度来看,中国的网络空间积累了大量资金。因此,从中国入手就不足为奇了。”