【档案揭秘】腾讯安详反病毒尝试室抗击打单病毒纪实

2017 年 5 月 12 日，一个名为“WannaCry”的打单病毒溘然在环球范畴内大面积肆虐，大量电脑文件遭加密，只有在划定的时刻内缴纳赎金，方能破解。备份、杀毒、规复成了种种科普文和技能贴的高频词汇。

在打单病毒发作之后，腾讯安详反病毒尝试室吹响了抗击打单病毒的军号，一方面保持对打单病毒及其变种的高度存眷;另一方面，基于自身安详气力一连输出深度研究陈诉，起底WannaCry打单病毒的撒播方法及最新变种，并推出了一整套包括裂痕免疫器材、文档保卫者器材、文件规复器材、打单病毒专杀器材等在内的处理法子，辅佐用户抵制病毒的侵袭。

与此同时，腾讯安详反病毒尝试室还在解密WannaCry打单病毒上取得重大打破。海外安详专家Adrien Guinet发明，在XP体系的某些前提下，CryptReleaseContext没有清空生涯素数的内存。共同病毒天生的00000000.pky公钥文件，通过在内存中搜刮满意前提的素数，可以还原出病毒加密AES密钥所用的RSA公私钥的重要参数，进而天生解密所需的00000000.dky私钥文件。按照此思绪，腾讯安详反病毒尝试室哈勃说明体系在海内率先开拓解密器材，并对用户宣布。被传染用户在没有重启电脑条件下，通过该器材乐成解密的几率极大。

WannaCry打单病毒的发作让许多用户第一次感觉到收集病毒的可骇，但究竟上，这并不是打单病毒的初次“作恶”。近几年来，打单病毒的数目、影响范畴、公家感知度等都有了明显的增添。污名昭著的打单病毒会借助成熟的算法，对文件举办高强度的加密处理赏罚，给受害者带来庞大的丧失，时常会有被欺诈不得不付出赎金的消息见诸报道，高达数万美元的赎金也多如牛毛。

腾讯安详反病毒尝试室从很早就开始监测此类打单病毒的动向，研究加密进程中的裂痕，并全力实行对加密的文件举办破解，为受害者只管挽回丧失，而这些不懈的全力也取得了一些成效。

除WannaCry打单病毒之外，在其余打单病毒变乱产生时，哈勃说明体系也曾经宣布过多个针对性的解密器材，包罗：

Petya解密器材

2016 年 3 月，安详厂商发明一种新的欺诈类木马Petya，此木马的特点是起首修改体系MBR引导扇区，逼迫重启后执行引导扇区中的恶意代码，加密硬盘数据后表现欺诈信息，这是第一个将欺诈和修改MBR合二为一的恶意木马。

随后，安详专家Leo Stone指出了Petya加密代码中存在的题目，并给出相识密思绪和代码。在其引导下，哈勃说明体系验证了Petya的加密流程，确认了木马在行使变种Salsa20 算法的进程中，对算法举办了许多简化，包罗多处将DWORD改用WORD，以及将密钥空间限定在54^ 8 的范畴之内，而且明文和密文又都是已知的，这就为暴力破解密钥提供了有利的前提。哈勃说明体系发布了研究成就，同时宣布了针对Petya的解密器材，此器材必要共同Leo Stone编写的磁盘读取器材一路行使。

TeslaCrypt解密器材

TeslaCrypt木马的相干说明和报道最早可追溯到 2015 年 2 月，首要撒播方法是网页挂马撒播，通过在网页中植入恶意结构的文件，通过Flash播放器、pdf阅读器等各类裂痕，在受害者不知情的环境下下载并执行恶意payload，加密其电脑上的文件。

2016 年 5 月，TeslaCrypt的作者在暗网上公布遏制木马的开拓，并同时给出相识密文件所必要用到的私钥。有了私钥之后，按照木马的加密解密流程，可以将木马加密的文件完备还原。ESET等安详公司敏捷跟进并建造了TeslaCrypt木马的解密器材。

腾讯哈勃说明体系也建造了TeslaCrypt的器材，辅佐用户规复被加密的文件。

手机锁屏木马解密器材

哈勃说明体系还发明，在安卓体系上常年存在一类锁屏打单木马，有愈演愈烈的趋势。这些木马大部门是伪装成种种其余应用，譬喻器材类应用、刷流量等犯科应用、色情类应用等，在小型下载网站、网盘、交际收集中举办撒播，诱使受害者下载安装。据腾讯手机管家监测数据表现，此类病毒的日传染量高出 8 万，病毒撒播者会向用户收取 5 到 50 元不等的解锁用度，逐日收取用度高达 80 万元。

尤其是最近，有许多木马会行使多种进攻本领举办组合进攻。它们会起首实行获取手机root权限，然后哀求装备打点器权限并配置体系锁屏暗码，接下来再表现本身的的欺诈窗口，将该窗口重复逼迫置顶，使受害者无法正常行使手机的其余成果，同时在置顶对话框中提出欺诈需求和接洽方法。这样的组合进攻很轻易给受害者带来多重的危险，即便其通过实行办理了个中的一个题目，可是剩下的进攻如故会使得受害者一筹莫展。

针对以上环境，哈勃说明体系针对差异手机打单木马的特征，操作Google官方的调试器材adb的相干成果，先后推出了多个专杀器材，为用户办理差异的打单木马题目。用户可早年去下载所需的器材。

除此之外， 2017 年春节，腾讯电脑管家也针对此类木马推出了v12. 2 春节尊享版，此版本中新增安卓手机锁屏欺诈木马专杀成果，让用户实现轻松操纵快速查杀，打破安卓体系的范围性，彻底办理手机锁屏题目，拒绝做恶意软件傀儡。腾讯电脑管家下载地点

不绝狙杀种种打单病毒的进程中，腾讯安详反病毒尝试室不只一次又一次打破技能瓶颈，也锻炼出一支联动哈勃说明体系，腾讯电脑管家的一体化、产物化的安详出格动作队——通过腾讯电脑管家自研TAV引擎手段、安详变乱运营、哈勃说明平台的“三剑合璧”，进一步对“安详查杀手段、裂痕监测手段及病毒样天职析”提供了全面、体系、一体化的产物运营式的尺度化防护，这不只进一步强化了腾讯安详保卫用户的技能气力，也提振了海内用户反抗打单病毒下一次进攻的信念。

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!