加密勒索释放的勒索信

275751198

我昨天在回复一位用户的时候说，有些杀毒软件把勒索信拉黑入库是为了清理的便利。我承认这条理由是我编的。因为我实在是想不出为什么有些杀毒软件要把无害文本文件入库。虽然我家的某国产没有入库，但是我还是在为这些入库了知名杀软辩护，我说他们应该都知道这是白文件，出于完美清除病毒衍生物的策略而入库而已。

结果刚刚，我在测试一款加密勒索的时候，我就吃饱了撑的，把释放的勒索信上传到VT，我才发现我给他们编的辩护理由是多么站不住脚。


病毒运行后，在每个文件夹里释放了三封勒索信，分别为png图片，HTML网页文本，以及TXT文本文档


现在黑客很贴心，生怕你不懂发生了什么，3封勒索信你怎么的也得看看是啥内容吧。

网页文本，TXT文本，乃至png图片里面的内容都是一样一样的，连1234，分段换行都一样。







https://www.virustotal.com/#/fil ... db16d2192/detection

https://www.virustotal.com/#/fil ... 2a0f08b1d/detection

https://www.virustotal.com/#/fil ... ba6660a24/detection

结果VT的扫描结果确大不相同。我想，如果是为了完整地清除病毒及无害的衍生物，那是不是应该把所有的勒索信都拉黑了呢？病毒在电脑所有的文件夹里均释放3个勒索信，电脑多了这么多垃圾文件，热衷于把勒索信入库的杀软却只拉黑其中的一只，删除三分之一？剩余的呢，还是躺在电脑里。很明显入库勒索信不是为了清除病毒衍生物，恢复电脑如初。





在入库的策略上各家也颇为不同，Ikarus，Tencent选择入库网页文本勒索信，ESET、McAfee选择入库文本文档勒索信。

都是白文件，你们一个个拉黑的还挺欢。

因为具体的他们怎么想的，我确实是不明白。但我猜测是一种投机策略。下面这段欢迎讨论 因为加密软件的机器变形已经越来越普及，黑客可以轻而易举的变形出数百万个完全不同的病毒来。这对于传统病毒库，云病毒库，甚至是静态启发识别都产生了巨大的挑战。除了通过动态行为（主防）来识别与防御，如何找到病毒的通用特征成为难题。因为黑客总要勒索被加密的用户，总要告诉用户自己的联系方式，总要赚钱嘛；把加密软件释放的勒索信拉黑入库，那么不管加密病毒母体如何变形，总之一个未知程序释放了一个已经入库的黑文件，那么未知程序大概率要被判黑，从而实现对勒索变种的反向识别。
这样在某种加密病毒的变种大规模爆发时，拉黑其释放的勒索信，可能确实起到一定的作用。但这也是临时措施，权宜之计。黑的就是黑的，白的就是白的，文本它就是无害的啊。再说改勒索信的成本也很低啊。在勒索信里随便加几行有用没用的话，文件的md5不就不一样了吗？当然黑客心里可能是崩溃的，老子辛辛苦苦编写的免杀程序，你们识别不出来，拉黑我的勒索信？难道是我的英文不标准？还是写的不够有文采？没用比喻和拟人吗？

上面这段是我个人的猜测，各位饭友如果觉得我猜的不对，可以来和我讨论。你们也可以跟我讲讲为什么把文本勒索信拉黑入库，是文件名启发？人脑启发？还是分析员看着勒索信就是不爽，不开心，不想用户看到黑客的联系方式？什么“哈哈哈你的电脑文件已经被加密了”什么“赶快联系我，付我一个比特币”，太T~M猖狂了。不行，作为一名正义的分析员，为了爱与和平，我一定要把勒索信拉黑入库报病毒。。。。。什么鬼？，为啥要把文本拉黑，我想要一个合理的解释。

至于我已经解释完了，还是不信，觉得自己家杀软拉黑有道理，还继续要把勒索信文本当病毒来检测杀软的检出率，觉得不报这个文本就是漏报的，我也懒得劝。

话说BD貌似就搞过修改指定文件夹内文档即病毒的主防拉黑逻辑吧。这方法是不是比拉黑勒索信文本要强很多。
如果反过来想，杀毒软件把勒索信都入库了都删除了，被加密的用户连黑客的邮箱都不知道，连黑客都联系不上，是不是只能自己哭了。
忽然好像明白了黑客为啥要在桌面上扔3封勒索信了。

迷惘的执著

Win32/Kryptik.EUHB 特洛伊木马 的变种

驭龙

WD入库杀，并不是云拉黑或者云杀，勒索信没有杀

Im_Zeus

chrome killed all

Eset小粉絲

卡巴不杀勒索信的。。也许那些把勒索信入库的杀软，大概是要让用户知道不值得付比特币取回文件吧。。

ATP_synthase

bd不杀勒索信，qdmushgjypki.exe is infected with Gen:Variant.Zusy.188099 and was moved to quarantine.

WhiteCruel

有点意思

猥琐大叔

B100D1E55

杀勒索信的原因是为了和正常程序的文件操作行为区分开来。

举个最简单的例子，有一些杀软的反勒索规则专看documents等文件夹内文件大量删除/改动/重命名的行为，容易导致误报（比如用户也可以用一个类似winrar但是没有被安软加白的合法程序对documents文件进行批量压缩并删除原文件，企业用户这种情况更有可能，因为他们有很多安全厂商根本没机会加白的批量管理程序/脚本）。为了不误报这类合法行为，有的反勒索（比如ESET的勒索护盾）会监控写入文件的特征，当写入文件行为可疑且有写入勒索信的行为时报毒提醒用户隔离。这也是为什么要对勒索信入库。

对于ESET而言，勒索护盾针对的不是广谱的勒索行为，而是那些逃过了扫描、AMS等一系列检测的流行家族，比如当年的cerber之类的。所以针对性提取勒索信特征正好符合这个目标。准确提取恶意程序和正常程序的区别是压误报的核心方法
此外别忘了勒索信也算一种IoC……

www-tekeze

仔细看了楼主的贴子，写得很精彩。。。个人看法，各家厂商都有自己的策略，纯文本勒索信要不要报，也必然是深思熟虑过的，而不是种草率决定，就象楼上B大说的，勒索信可能就是人家勒索防御的一个组成部分。