大东话安全之“众”——PolyRansom

一、谶曰

史蒂夫·霍金：计算机病毒也该算作一种生命。

东哥：人类与它势不两立！

小白：优胜劣汰~

二、病毒通缉令

小白：报告！有一只怪物从盒子里逃跑啦~咦——仔细一瞅，竟然是一辆破旧的公交车呢，还一脸倒霉样子。

大东：咳，这倒霉孩子就是我们今天要讲的内容啦。

小白：谁呀？

大东：PolyRansom，是一种感染式病毒家族。该家族样本运行后会拷贝自身到多个目录下，将自身注册为系统服务，使自身随机启动，搜索并感染用户的重要文件，将原文件以加密的形式保存在新建文件夹下。

小白：又是一个偷文件的毛贼，呔！看俺抓住你~

三、勒索界的隐形富豪

大东：小白，上半年的 WannaCry 你还记得吗？中招了吗？

小白：我这么具有安全意思，做好防护，当然是不可能…不中招啊……

大东：可以说，这是自“熊猫烧香”以来，网络安全届遭遇的又一次大规模、连续性的病毒危机。但是，WannaCry 仅在敲诈类病毒总量中排名第四，知道第一是啥吗？

小白：莫不是今天要介绍的 PolyRansom？

敲诈类样本分布图

大东：你还真说对了。根据腾讯安全正式发布的《2017年上半年互联网安全报告》，样本数量最大的就是这种带有感染传播方式的 PolyRansom。

小白： WannaCry 竟然只占到了2.55%，而 PolyRansom 占到了将近4/5。大东东赶紧给介绍介绍~

一套完整的索钱工具

大东：PolyRansom 是一种能够通过处理覆盖源文件，来修改文件自身的病毒。它把源文件修改成可执行文件，并附加病毒，就像一个生物一样，具有自我繁殖，互相传染的能力，并且每个都不一样，因为病毒是多肽的。

文件感染示意图

小白：只要用户打开受感染的文件，病毒就会运行？

大东：的确如此。PolyRansom 运行后，就把自己设置为开机自启动，修改注册表，同时隐藏自身文件的扩展名，让自己既运行起来，又不让用户发现，尤其是在密码层具有高水平的混淆，可以隐藏其真实功能。

小白：哦？隐藏真实功能？

大东：病毒在每个周期的解密程序都通过一个指令表和一个单词表进行布防和撤防，但其中只有一个例程的指令是有效的。

小白：厉害了啊！还有这本事！

大东：它能够搜索本地和可移动设备，甚至是共享网络中的文件，将其感染。它还包括常用可执行程序，加密用户所有文档，在锁定计算机后，就会弹出勒索窗口，让用户支付金钱。同时病毒还将篡改开机密码，使用户无法进入计算机。

勒索软件界面

小白：那用户支付了赎金，能够拿回原文件吗？

大东：该病毒有一个完整的恢复系统。包含有病毒完整性检查程序。只有完整性正确，才会解密它，执行原始文件的最终解密。

解密原始文件的名称和数据例程

小白：哇，一套完整的索钱工具啊！

四、小白内心说

小白：如此完整的索钱工具让我不禁钱包一紧，早知道我就在双十一把我的钱都花光光啦！省得被勒索，哈哈哈！

大东：你要是真被勒索了，我是绝对不会借钱给你的！

小白：我不要被勒索，我要上阵杀毒！大东东有啥办法让我从一个菜鸟变成大腿么~

大东：也许你对金石计划感兴趣。

小白：金石计划？

大东： GS（Golden Stone）——金石计划是网安运输机 IPX 中的一大理念，为未来培养高端网安人才、引领网安行业持续性发展提供了新的引擎。

小白：好像很厉害的样子！怎么玩~

大东：金石计划着力于先进敏捷的普适网络空间安全整体人才培养解决方案，能够定制化培养高端人才、有选择的培养技术班以及培养操作人员。

小白：十年树木，百年树人！

大东：GS 理念的提出和实践，标志着网络安全梯度化人才培养标准模型的建立和不断完善，更标志着网络安全人才培养工作在未来将会健康、有序地推进，让源源不断的精英人才成为嵌入网络安全行业内核的强大驱动力。

小白：大东东！我要参加！我要参加~~~

五、话说漫威

大东：小白，上回咱们讨论了吞星，你还记得吗？

下班：吞星，emm……好像隐隐约约还记得那么写……

大东：咳，不记得没关系，今天咱们说的你肯忘不了。

小白：谁谁谁~

大东：吞星之女——伽娜塔。

伽娜塔

小白：期待~~

大东：伽娜塔是行星吞噬者的女儿，不过她并没有像他老爹一样让对于行星的饥饿左右自己。她决定和平地以人类的形态生活在地球上，此时她化名为伽丽（Gali）。

小白：女神还挺有个性嘛~

大东：她偷偷的运用自己的能力保护地球与人类免遭非原生生物的攻击，比如外星病毒、生物武器这种玩意儿。然而，她发现她的饥饿感仍难以满足。

小白：女神生病了！

大东：在对自己进行分析后，她发现自己体内有一条如人类体内的绦虫一般的外星生物被称为“宇宙绦虫”。在她给她老爸吞叔发了一条求助信息后，她便启程寻找敌对的外来生命形式以满足她的饥饿。

小白：结果怎么样！

大东：幸运的是她找到了一种满足她饥饿感的东西 PolyRansom，这是一种感染式病毒家族。该家族样本运行后会拷贝自身到多个目录下，将自身注册为系统服务，使自身随机启动，搜索并感染用户的重要文件，将原文件以加密的形式保存在新建文件夹下。

小白：哈哈，大东东脑洞真大，女神就靠新建文件夹满足了~~

来源：中国科学院计算技术研究所