2005年5月,Websense Security实验市发现了一个被命名为PGPcoder的特洛伊木马程序。这个木马程序企图加密用户的文件,然后向受害者勒索解密费用。虽然这个手法看起来很新鲜,事实上早在15年以前,也就是1989年就有一个类似的事件。包括勒索类软件在内,LURHQ的Threat Intelligence Group到目前为止已经发现了第3起类似事件,并把该软件命名为Cryzip。
和使用普通加密手法的PGPcoder不同(LURHQ曾将PGPcoder通过逆向工程分析),Cryzip使用的则是商业压缩库,目的是将文件存储在一个密码保护模式下的zip压缩包中。
虽然zip加密比较强大,但是暴力破解仍然是可能的,尤其对压缩包内含有一份原文件副本的zip。
文件细节
|
分析
运行后,Cryzip会搜寻C盘(system或system32目录下的文件除外),以便寻找它要压缩的文件。用内容“Erased by Zippo! GO OUT!!!”覆盖这些文件,然后将它们删除,仅仅在原目录下留下一个名为“原文件名_CRYPT_.ZIP”的压缩包,“原文件名”就是被它压缩后删除的文件名,连同扩展名一起。
Cryzip会寻找并加密如下扩展名的文件:
|
当完成一个目录的搜寻和破坏之后,Cryzip会在该目录下留下一个名为AUTO_ZIP_REPORT的TXT文件,其中包含如下的内容:
|
上文大意是:
我们的E-Gold银行帐号是:XXXXXXXXXXXX
关于如何取回您被加密的文件
认真阅读。如果你没看明白就再看一遍。
这些自动生成的文件是由自动存档软件完成的。
你在看非法色情站点的时候计算机感染了我写的病毒,你硬盘上所有的文档、文本文件还有数据库资源等都让我用足够安全的密码给你保存上了。
你甭想猜出来这些加密文件的密码,密码长度在10字符以上,足够让世面上所有的密码暴力破解(就是硬猜)软件都对它没辙。
另外,你也不用搜索什么相关的加密程序了,它只在你的计算机上存在,为你特别定做的。
如果想要这些被俺加密了的文档呀信息呀啥的,那就支付300美金。
报警是没有用滴,他们根本不知道密码。把我的E-Gold银行帐号公布了也不能帮你找回文件。付钱是找回你宝贝资料的唯一的方法。
(部分不重要的文字就不翻译了)
在AUTO_ZIP_REPORT.TXT文件的最顶端,E-Gold帐号的数字是随机插入的。这个数字是从其内嵌的DLL文件中随即挑选的。通过同时开很多帐号,木马的制作者才能保证其中某一E-Gold帐号被关闭,他仍然能够从其他的帐号中拿到钱,所有的帐号如下:
|
AUTO_ZIP_REPORT.TXT的内容是通过简单的异或(0x13)加密[3]后保存在Cryzip的DLL文件里的。用来加密zip文件的密码也是嵌入保存在DLL文件中的,但是它并没有被加密,木马程序的作者是想通过视觉手段来迷惑找密码的人。密码是这个:
|
因为这个字符串经常出现在通过Visual C++ 6编译的项目中,所以作者使用这种相似的字符串来做密码,企图让那些发现了这个程序的DLL文件并通过逆向工程寻找密码的人忽略这个字符串。
结论
到目前为止我们还无法确定有多少用户被感染。感染报告的数量并不多,所以我们基本可以确定它不是为了大规模传播了制作的。如果通过低调的手法传播,类似这样敲诈的事实上是比较成功的。同时反病毒软件制作商似乎还没有专门为检查这类软件而更新,而这些用于敲诈和匿名转帐的帐户似乎在逐渐关闭。
如此,大多数用户很可能不需要为这种勒索担心。但是大家应该关注到,过去的10个月发生的这两起事件,很可能仅仅是一种有害软件趋势的开始,今后发生的事件将影响更多的用户。然而,在大多数情况下,少量的放置和简单的进行一下备份,可以很大程度的避免和减轻勒索软件造成的损失。
|
· 教你使用Anti ARP Snif.. · 网络嗅探教程:使用Sni.. · 时代亿信企业级信息安.. · ISA Server、虚拟机、.. · Windows年底再现图片漏.. · MBSA本地审核策略建议 |
· 企业局域网安全访问控.. · 常见病毒手工清除方法.. · 网络技术经典基础教程 · CCIE笔试满分会在lab时.. · 请问,听网上介绍的几.. · 如何破解加密的压缩文件 |
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · Java基础教程 · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · SOA 面向服务架构 · SQL Server 2005全解 · Java编程开发手册 · RAID——磁盘阵列基础 |
· 三层交换技术专题 · SQL Server入门到精通 · Windows Server 2003企.. · Windows远程桌面应用 · C#技术开发指南 · VPN技术 · Solaris 10 配置管理 · C#技术开发指南 |
||
|
|||
| · ARP攻击防范与解决方案 · VPN技术 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · RAID——磁盘阵列基础 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| 张振伦 的博客 |
|
| ·拯救系统管理员 ·美国选民:我为什么选布什 |
·VMware公司中文命名挑战赛 ·我们真缺乏创新吗? |
| 梁林 的博客 |
|
| ·J0ker的CISSP之路:复习-.. ·J0ker的CISSP之路:复习-I.. |
·9月第3周安全回顾 内网安.. ·教你几招识别和防御Web网.. |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 教你使用Anti ARP Sniff.. · 网络嗅探教程:使用Snif.. · 常见病毒手工清除方法大.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门 |
· 费力不讨好 数据中心主.. · AMD Phenom三核处理器解.. · 51CTO主编推荐经典专题 |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
