2018年勒索软件取证与溯源.pdf

1、勒索软件取证与溯源目录 进化中的勒索软件 勒索软件的生意经 取证溯源思路与方法 更多的挑战特别感谢：深信服、安天、安恒、科来、360安徽肥西网安 佟杨安徽铜陵网安 戴华江苏常州网安 张充香港大学 邹锦沛提供样本及技术咨询进化中的勒索软件 勒索软件是一种通过屏幕锁定或加密用户有价值的文件，并要求支付赎金来解除或解密文件的恶意软件。LOCKER|屏幕锁定器CRYPTO|文件加密器中国是勒索软件威胁的重灾区。2017年，中国成为亚太区受到勒索软件影响最严重的国家。较上年全球排名16位相比，2017年中国在全球排名第2（赛门铁克第23期互联网安全威胁报告）。进化中的勒索软件勒索软件在进化 当我们经历了

2、Wannacry的惨痛教训，是否有所进步？2017.5-2018.9进化中的勒索软件 勒索软件发展史第一个勒索软件：1989 AIDS/PC-CYBORG TROJAN Joseph Popp进化中勒索软件 勒索软件发展史2012 Reveton前微软网络工程师Raymond Odigie Uadiale于2018年4月被起诉，承认与勒索软件有关的洗钱行为，被判18个月监禁进化中的勒索软件 勒索软件发展史2013改变游戏规则CryptoLocker 钓鱼邮件传播.要求72 小时支付比特币 感染50万台,1.3%进行了支付 估计勒索金额$27M进化中的勒索软件 勒索软件发展史2017重型武器 W

3、annacry关键词：永恒之蓝/MS17-010/445没打补丁，没关端口，台积电因本次事件损失1.7亿美元左右，约合人民币11.5亿元进化中的勒索软件 勒索软件发展史Ransomware-as-a-Service(RaaS)进化中的勒索软件 勒索软件的未来？影响面更广：移动端工控系统IOT设备 危害更大:定点投放针对性强其他犯罪的合流暗网、加密数字货币难以追溯勒索软件的生意经 他们要什么？钱破坏伪装IBM security:70%of business victims paidOf those,50%paid more than$10,000,20%more than$40,000赎金价格数

4、据重要性支付意愿好莱坞长老会医疗中心支付40比特币马萨诸塞州特沃斯伯警察部门在FBI的帮助下，支付了500美元马萨诸塞州斯旺西警察部门决定支付2比特币的赎金卡尔加里大学支付2万美元来恢复电子邮件系统.勒索软件的生意经 常见勒索软件家族瑞星：2018年上半年中国网络安全报告通过对瑞星捕获的勒索样本按家族分析发现，LockScreen家族占比43%，位列第一，其次为WannaCrypt占比27%，以及GandCrab占比20%。勒索软件的生意经 Crypto Ransomware框架本地加密勒索支付Web漏洞入侵溢出攻击邮件钓鱼移动介质传播内网传播诱导下载RSAECCAES法定货币虚拟货币比特币门

5、罗币Zero破解的可能性极低！勒索软件的生意经对称密钥加密vs.非对称密钥加密对称密钥加密AES(128 to 256 bit key),3DES,DES 非对称密钥加密RSA,Elliptic Curve Cryptography(ECC)加密数据文件，允许系统基本操作 Microsoft Office files(.doc,.docx,.xls,.xlsx,.ppt,.pptx,.rtf)Open Office files(.odt,.ods,.odp)Adobe PDF files Popular image files(.JPG,.PNG,raw camera files,etc.)T

6、ext files(.txt,.RTF,etc.)Database file(.sql,.dba,.mdb,.odb,.db3,.sqlite3,etc.)Compressed file(.zip,.rar,.7z,etc.)Mail files(.pst)Key files(.pem,.crt,etc.)加密系统文件或磁盘Petya:加密MBR主引导记录无法启动勒索软件的生意经Command and Control server(C&C)有C&C模式无C&C模式突破隔离网支付勒索费用的限制目标的价值勒索软件的生意经传播感染使用多种黑客工具定点渗透目标的价值图片来源深信服内网扫描&爆破工具：I