近日,瑞星威胁情报中心捕获到一个名为“Enmity”的勒索软件,其不仅使用了复杂的加密算法,并且让受害者在掌握了密钥的情况下,也无法解锁文件。一旦中招,该勒索软件就会加密电脑内文档、照片、档案、数据库、PDF等各类文件,因此广大用户要提高警惕,加强防范。
组合加密方式让攻击效率更高
瑞星安全专家介绍,“Enmity”勒索软件使用了AES和RSA组合加密的方式,这种方式不仅加密速度快、效率高,且难以破解。
AES(对称加密)方式:只有一个私钥,加密和解密都是同一个密钥。优势在于加密速度快,但安全系数低。
RSA(非对称加密)方式:有两个密钥,一个公钥,一个私钥,公钥用来加密,私钥用来解密。优势在于私钥泄露的风险低,所以安全系数更高。
密钥掌握在受害者手中却无法解密
“Enmity”勒索软件独特的地方在于,会生成一个名为“Key.secret”的文件,这个文件看似是解密密钥,但实际上无法独立使用。受害者需要向攻击者支付赎金,并提供这个文件,而后攻击者才会使用自己的RSA私钥解密该文件,获取到AES密钥,才能解锁被加密的文件。
受害者可以免费测试解密再进行支付
此外,攻击者提供了一种“人性化”的操作,允许受害者先提供一个小于1或2 mb的文件进行解密测试,再支付赎金获取解密方法。这种做法会从心理上对受害者施压,让他们相信只要支付赎金就能恢复文件。
图:勒索信
如何预防勒索软件攻击?
为了防止勒索软件带来的危害,广大用户和企业都应提高警惕,做到以下几点:
部署EDR、NDR产品。利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,以便更快响应和处理。
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。目前,瑞星旗下产品已可查杀“Enmity”勒索软件,广大用户可安装使用。
图:瑞星ESM防病毒终端安全防护系统查杀“Enmity”勒索软件