本文作者:雷鋒網宅客頻道(letshome)編輯實習小蘇,對一切未知事物充滿好奇,偶爾毒舌
說起Mole,你會想到什麼?化學單位“摩爾”?萌物“鼴鼠”?抑或是“間諜”?
還記得小時候非常喜歡的一部捷克動畫片,名字叫《鼴鼠的故事》。發生在那個靈動的小東西身上種種溫暖的小故事有種神奇的魔力能把一家人吸引到電視旁邊,滿滿都是回憶。
然而最近國外出現了一種名為“鼴鼠”的勒索軟體,手段十分惡劣,讓人真切地感受到了被“鼴鼠”支配的恐懼。
假郵局的甜蜜郵件
其實勒索軟體的套路都基本一致,俗話說的好:
社工玩兒的溜,走遍天下都不慫。
首先,那些“鼴鼠爸爸”們會冒充美國郵局(USPS)給你發來一封郵件:
您好,
這裡是美國郵局,您的快遞包裹我們無法送達,不知道出了什麼問題,您可以點開以下連結查詢一下。
www.xxxxxx.com
螢幕散發出來的微光打在一張疑惑的臉上,然而呆滯並沒有持續多久,看著貌似無比真實的假網址,你撓了撓頭,毫不猶豫的打開了連結。心裡也許還要暗暗讚歎一聲:現在的郵政服務真周到。
隨即會跳出線上word介面,並且文字都是亂碼的,中間出現了一個很醒目的提醒:您的流覽器無法讀取這個文檔,請下載最新的外掛程式。
這種情況有點兒像在網頁上興致勃勃地打開一個視頻,結果顯示需要下載flash外掛程式,否則無法播放。中間那個醒目藍色下載按鈕好像在挑逗你按下去,這是來自資料綁匪的誘惑。如果你沒有經受住誘惑,就是好奇的想看看那些亂碼到底是什麼,那麼恭喜,你中獎了。
好奇心不僅可以害死貓,有時還會讓你付出真金白銀的代價。
裝好“Office”外掛程式,右鍵打開屬性看一看,貌似一切都很正常。
按兩下打開,會跳出這樣一個錯誤提示
不讓訪問?為了查個郵件真是麻煩,點擊OK。
明白了,是因為沒有給這個外掛程式許可權才會出錯的啊。點擊Yes看看會發生什麼?
右下角怎麼在Windows安全中心關閉了?莫非……
這種如同大變活人般的震撼體驗讓雷鋒網宅客頻道(letshome)小編想起了十年前一度肆虐大江南北的病毒“熊貓燒香”
到這一步反應再慢的人都搞清楚這是中招了,所有檔案名都變成了十六進位的亂數據,尾碼都變成了 . MOLE 。桌面多出來了一封勒索信,打開它你會感受到來自“鼴鼠爸爸”的惡意。看看這封勒索信說了些什麼。
首先告訴你,這些檔都被RSA-1024的非對稱加密方式給加密了,想要讓檔案修復,你需要
私密金鑰(RSA加密演算法是非對稱加密演算法,有一對密碼稱為公開金鑰和私密金鑰,必須二者都有才能解鎖)。
其次,檔被加密的那一瞬間開始
倒數78小時,超過這個時間伺服器將銷毀這些檔的私密金鑰
。想取回私密金鑰,將你的數位憑證通過郵件的方式給他們發過去並等待下一步指示。
最後,為了讓你相信他們可以恢復你的檔,可以給他們發一個被加密的檔過去。並警告,
如果超時,贖金將會是之前的兩倍。
話語中濃郁的綁匪口吻簡直跟電影裡綁票的劫匪如出一轍。
接下來,事情就徹底脫離我們的掌控了。我們變成了案板上的魚,而發出郵件的資料綁匪則是手持菜刀的屠夫。是破財消災還是報警抗爭在這時已然不那麼重要了,重要的是我們的資訊已經被劫持,話語權全在對方,我們只能伸出脖子任他處置。
環環相扣,步步為營,一把鎖的背後還有一把鎖
為什麼這些資料綁匪可以那麼有持無恐的加密我們的資料,難道我們真的只能任由他們勒索?難道我們不能自己解密?如果有辦法取得密碼的話不就可以解開我的資料了嗎?殊不知這只“鼴鼠”背後的加密演算法並沒有那麼簡單。“真相只有一個”並不總是出現在現實生活中,我們遇到的大多數情況是
“真相的背後還有一個真相”
想知道真相背後的真相,我們得先瞭解兩個概念:對稱加密演算法與非對稱加密演算法。
1.對稱加密演算法
所謂對稱,就是採用這種加密方法的雙方使用方式用同樣的金鑰進行加密和解密。金鑰是控制加密及解密過程的指令。演算法是一組規則,規定如何進行加密和解密。
舉個栗子:
假如小編現在想要給好友安利我宅的微信公眾號,
但是不想讓他清晰的知道我的意圖
,於是乎我會這麼做
以上就是一個對稱加密法運用的實例,雷鋒網宅客頻道小編把“letshome”這個資訊通過一種變化規律加密成了“讓我表演”,金鑰就是這個變化規律,並且得知這個變化規律便可以實現明文與密文之間的互推。
而“鼴鼠”對被勒索的檔與檔案名採取的加密其實就是一種稱為RC
4
的對稱加密演算法。十六進位的隨機檔案名就是RC
4
加密後的結果。
2.非對稱加密演算法
“鼴鼠爸爸”們在勒索信中提到了RSA-1024加密法,這個名稱聽起來本身就像一段被加密過的資訊,殊不知RSA其實是目前世界上公認的最具影響力的非對稱加密演算法。
非對稱加密演算法不同於對稱加密,它的金鑰不是一個,而是兩個(一對)。比如有兩個金鑰S1和S2,一段資訊以S1加密後是不能通過S1來解的,只能通過S2來解密。同理,被S2加密的資訊也只能通過S1來解密。S1和S2則被稱為
“公開金鑰”
與
“私密金鑰”。
一對金鑰像是難以分割的小情侶,
有且僅有
彼此才能實現人生大和諧。
那麼RSA加密演算法又是怎麼工作的呢?
RSA演算法基於一個十分簡單的數論事實:將兩個大質數相乘十分容易,但是想要對其乘積進行因式分解卻極其困難,因此可以將乘積公開作為加密金鑰。
而想要生成一對RSA金鑰,則需要三個參數:n、d、e。
(下面這一段為數學演算法,不感興趣的同學可以略過)
選擇兩個質數 p 和 q,它們的乘積就是 n。
假設 p = 29, q = 31, 則 n = p * q = 899。
計算 φ = ( p - 1 ) * ( q - 1 ) = 840。
再選擇一個比 φ 小且與 φ 互質的數,作為 e。
選擇 e = 37。
找到一個數 d,使 e * d % φ = 1。
算出來最小的 d 就是 613。
現在,得到了 n, d, e ,把 p 和 q 扔掉,(n, e)作公開金鑰,(n, d)作私密金鑰,就可以執行 RSA 加密運算了。
如果把(899, 37)作為公開金鑰發出去了,看到這個公開金鑰的人一定不能算出 d 值嗎?
由上面的金鑰演算法可知,要算出 d,必須先知道 φ。
那麼由 n 和 e 能算出 φ 來嗎?e 是隨便選的,只須考慮 n。
n = p * q
φ = ( p - 1 ) * ( q - 1 ) = n - p - q + 1
如果不知道 p 和 q,就不可能從 n 算出 φ。
那麼將 n 分解質因數,不就能得到 p 和 q 了嗎?幸好,這個運算雖然能夠成立,將 899 分解為 29 * 31 也不太難,但對於一個實際使用的 1024 位或者更大的 n,計算的速度會慢到無法實現。
例如,n = 186506401784256749805468037221367015183
你能分解它嗎?這個 n 還只是 128 位的。
(以上演算法環節來自guideep)
而RSA-1024就是1024位的。“鼴鼠爸爸”們則是用RC
4
加密了檔本身及檔案名,又用RSA-1024加密法加密了RC
4
加密法的金鑰。而他們這麼做的原因在於RSA加密法本身無法加密如此多的檔,而RC
4
可以。不得不說,這種俄羅斯套娃般的加密方式直叫人感歎人生之多艱。
珍愛生命,遠離流氓
連勒索軟體的設計者都知道狡兔三窟的道理,我們作為遨遊在賽博世界的一員多少還是得有點兒自保意識的。重要資料時時做好備份是必須的,真中招了我們也可以瀟灑的給綁匪們發個問候家人的郵件,然後保持淡定的心態重做系統,不至於在螢幕這頭跳腳罵娘。
如果想要從源頭解決問題,方法也很簡單
---The End---