原文標題:《放過敘利亞,不可破解的「俠盜病毒」來禍害中國了》
作者:秦曉峯

「俠盜病毒」來到中國,騰訊、360 都拿它沒轍。

2017 年,WannaCry 比特幣勒索病毒攻擊了包括中國在內的 150 多個國家,造成損失超 80 億美元。此後各類勒索病毒(NotPetya、Bad Rabbit 等)雖層出不窮,但影響範圍始終有限。

近日出現的一款名爲 GandCrab V5.2 加密貨幣勒索病毒,似乎大有再現 WannaCry 「昔日榮光」的跡象,目前已在中國攻擊了數千臺政府以及企業的電腦。

所謂勒索病毒,即設法讓你的電腦中毒,鎖死內部文件,要求用戶通過 Dash 支付贖金纔會解鎖。

包括慢霧、DVP 在內的衆多安全團隊都向筆者表示,GandCrab V5.2 目前不可破解,只能做好防禦。

GandCrab 團隊不僅技術高超,而且「盜亦有道」:既信守承諾給贖金就「解毒」,還曾「人道地」將敘利亞等戰亂地區排除在感染地區之外,因而曾被人稱爲「俠盜」病毒。不過,其卻將中國、韓國視爲其重要的攻擊目標。GandCrab 幕後團隊也通過出售病毒獲得了 285 萬美元收益。

近年來針對加密貨幣的攻擊日益增多,區塊鏈安全事件頻發。除了勒索病毒,惡意挖礦也一直不甘示弱。如果說,2017 年攻擊是以「勒索病毒」爲主,2018 年以「惡意挖礦」爲主。現在,勒索病毒會否再次捲土重來?

上千臺政府、機構電腦感染

新型的比特幣勒索病毒再次肆虐。

根據國家網絡與信息安全信息通報中心監測,GandCrab V5.2 自 2019 年 3 月 11 日開始在中國肆虐,攻擊了上千臺政府、企業以及相關科研機構的電腦。

截止發稿前,湖北省宜昌市夷陵區政府、中國科學院金屬研究所、雲南師範大學以及大連市公安局等政府、企業、高校均在其官網發佈了遭受病毒攻擊的公告。

繼 WannaCry 後,加密貨幣勒索程序 GandCrab 再度侵犯中國夷陵區政府官網截圖

根據網絡安全分析師 David Montenegro 所言,GandCrab V5.2 勒索病毒目前已經感染了數千臺中國電腦,接下來還將通過等遠程攻擊的方式影響中國更多的電腦。

手段:垃圾郵件攻擊

GandCrab V5.2 又是如何讓受害者電腦「中毒」的呢?據瞭解,該勒索病毒目前主要通過郵件形式攻擊。

攻擊者會向受害人郵箱發送一封郵件,主題爲「你必須在 3 月 11 日下午 3 點向警察局報到!」,發件人名爲「Min,Gap Ryong」,郵件附件名爲「03-11-19.rar」。

繼 WannaCry 後,加密貨幣勒索程序 GandCrab 再度侵犯中國圖片來自騰訊安全

一旦受害者下載並打開該附件,GandCrab V5.2 在運行後將對用戶主機硬盤數據全盤加密,並讓受害者訪問特定網址下載 Tor 瀏覽器,隨後通過 Tor 瀏覽器登錄攻擊者的加密貨幣支付窗口 , 要求受害者繳納贖金。

DVP 區塊鏈安全團隊認爲,除了垃圾郵件投放攻擊, GandCrab V5.2 還有可能採用「網頁掛馬攻擊」。即除了在一些非法網站上投放木馬病毒,攻擊者還可能攻擊一些防護能力比較弱的正規網站,在取得網站控制權後攻擊登陸該網站的用戶。

另外,該病毒也有可能通過漏洞傳播,利用 CVE-2019-7238 (Nexus Repository Manager 3 遠程代碼執行漏洞) 以及 weblogic 漏洞進行傳播。

「攻擊者會對受害者電腦裏面的文件進行了不可逆加密,要想解開,只能依靠攻擊者給你特定的解密密鑰。」慢霧安全團隊解釋說,受害者只有付款才能獲得特定密鑰。

不過,有時候也會發生受害者交了錢但攻擊者不給密鑰解鎖的情況,慢霧安全團隊認爲攻擊者所屬團隊的聲譽高低可以作爲一個判斷依據。

「勒索蠕蟲知名度越高,越有可能給你發密鑰,GandCrab 在暗網上的知名度還是很高的,口碑也不錯。」慢霧安全團隊說,「如果不發私鑰就會降低聲譽,其他被攻擊者就不會再打錢了。」

「關鍵是看,攻擊者是否給受害者提供了一個聯繫渠道。」DVP 區塊鏈安全團隊告訴筆者,由於加密貨幣具有匿名性,攻擊者很難判定受害者是否進行了打幣操作,如果沒有溝通渠道,說明攻擊者根本無意解鎖受害電腦。

不可破解:地表最強的勒索病毒?

「目前根本沒有辦法直接破解,一旦被攻擊成功,如果電腦裏有重要的資料,只能乖乖交錢領取私鑰破解。」包括慢霧、DVP 在內的衆多安全團隊都向筆者表示該病毒不可破解。

繼 WannaCry 後,加密貨幣勒索程序 GandCrab 再度侵犯中國百度貼吧截圖

然而,筆者發現在一些論壇上,出現了宣稱可以破解 GandCrab V5.2 的公司,條件是先付款,再破解。

「基本上都是騙子,都是一些皮包公司,根本沒有能力。」一家匿名的區塊鏈安全公司表示,「騰訊、360 等公司都破解不了,他們能破解?」

「一些團隊或個人宣稱可以破解 GandCrab V5.2,其實是「代理」破解。」慢霧安全團隊解釋說,「他們收你的錢,幫你向勒索者支付加密貨幣,從而拿到解密密鑰(破解)。」

攻擊者來勢洶湧,一時之間破解不了木馬病毒,只能做好防禦。宜昌市夷陵區政府也給出了一些應對之策,包括:

  • 一是不要打開來歷不明的郵件附件;
  • 二是及時安裝主流殺毒軟件,升級病毒庫,對相關係統進行全面掃描查殺;
  • 三是在 Windows 中禁用 U 盤的自動運行功能;
  • 四是及時升級操作系統安全補丁,升級 Web、數據庫等服務程序,防止病毒利用漏洞傳播;
  • 五是對已感染主機或服務器採取斷網措施,防止病毒擴散蔓延。

不過,慢霧安全團隊指出,非 Windows 操作系統暫時並不會被感染。「GandCrab V5.2 蠕蟲目前只在 Windows 上運行,其他系統還不行。」

「強悍」的病毒,也讓團隊在安全圈裏「小有名氣」。

GandCrab 勒索病毒誕生於 2018 年 1 月,並在隨後幾個月裏,成爲一顆「新星」。

該團隊的標籤之一是 「技術實力」強。

今年 2 月 19 日,Bitdefender 安全實驗室專家曾根據 GandCrab 自己給出的密鑰(後文會解釋原因),研發出 GandCrab V5.1 之前所有版本病毒的「解藥」。

然而,道高一尺,魔高一丈。根據 zdnet 報道,今年 2 月 18 日,就在 Bitdefender 發佈最新版本破解器的前一天,GrandCrab 發佈了正肆虐版本(V5.2),該版本至今無法破解。

目前在暗網中,GrandCrab 幕後團隊採用「勒索即服務」(ransomware as-a-service)的方式向黑客大肆售賣 V5.2 版本病毒。即由 GrandCrab 團隊提供病毒,黑客在全球選擇目標進行攻擊勒索,攻擊成功後 GrandCrab 團隊再從中抽取 30%-40% 的利潤。

「垃圾郵件製造者們,你們現在可以與網絡專家進行合作,不要錯失獲取美好生活的門票,我們在等你。」這是 GrandCrab 團隊在暗網中打出的「招商廣告」。

值得一提的是,GandCrab 是第一個勒索 Dash 幣的勒索病毒,後來才加了比特幣,要價 499 美元。根據 GandCrab 團隊 2018 年 12 月公佈的數據,其總計收入比特幣以及 Dash 幣合計 285 萬美元。

繼 WannaCry 後,加密貨幣勒索程序 GandCrab 再度侵犯中國(GandCrab 收入截圖)

「盜亦有道」的俠盜團隊?

這款病毒的團隊,另外標籤是「俠盜」。該標籤來源於 2018 年發生的「敘利亞密鑰」事件。

2018 年 10 月 16 日,一位名叫 Jameel 的敘利亞父親在 Twitter 上發貼求助。Jameel 稱自己的電腦感染了 GandCrab V5.0.3 並遭到加密,由於無力支付高達 600 美元的「贖金」,他再也無法看到在戰爭中喪生的小兒子的照片。

繼 WannaCry 後,加密貨幣勒索程序 GandCrab 再度侵犯中國Twitter 截圖

GandCrab 勒索病毒製作者看到後,隨即發佈了一條道歉聲明,稱其無意感染敘利亞用戶,並放出了部分敘利亞感染者的解密密鑰。

GandCrab 也隨之進行了 V5.0.5 更新,並將敘利亞以及其他戰亂地區加進感染區域的「白名單」。此外,如果 GandCrab 監測到電腦系統使用的是俄語系語言,也會停止入侵。安全專家據此猜測病毒作者疑爲俄羅斯人。

繼 WannaCry 後,加密貨幣勒索程序 GandCrab 再度侵犯中國勒索者道歉圖

一時之間,不少人對 GandCrab 生出好感,稱呼其爲「俠盜」。

「GandCrab 頗有些武俠小說中俠盜的意味,盜亦有道。」一位匿名的安全人員告訴筆者,「不過即使這樣,也不能說 GandCrab 的行爲就是正當的,畢竟它對其他國家的人就沒有心慈手軟。」

根據騰訊安全團隊統計,GandCrab 受害者大部分集中在巴西、美國、印度、印度尼西亞和巴基斯坦等國家。並且,GrandCrab V 5.2 版本所使用的語言主要是中文、英文以及韓文,說明中國目前已經成爲其重要的攻擊目標。

繼 WannaCry 後,加密貨幣勒索程序 GandCrab 再度侵犯中國GrandCrab V 5.2 版本

「一個黑客如果對一個區域的人沒有感情,那麼作惡時就不會考慮這個區域的人的感受。」慢霧安全團隊解釋說,「在黑客看來,中國網絡空間積金至斗,所以對中國下手也就不足爲奇。」