一分钟了解勒索病毒WannaCry(永久之蓝)51CTO博客 - 乐橙lc8

一分钟了解勒索病毒WannaCry(永久之蓝)51CTO博客

2019-01-03 10:42:24 | 作者: 海之 | 标签: 病毒,勒索,永久 | 浏览: 979

勒索病毒WannaCry(永久之蓝)

  日前,"永久之蓝"席卷全球,现已有90个国家遭到***。国内教育网是遭到***的重灾区。不过,在装置相对老旧版别Windows的电脑遍及遭到***之时,不少装置linux衍生版操作体系的电脑和苹果电脑逃过一劫。不少网友在网上纷纷表明幸亏,并对linux或苹果的安全性大加赞许之词。但实际上,并非是这些操作体系在技术上具有显着高于Windows安全性,只是***没有专门针对其进行***罢了。

病毒勒索工作概略

  从开端,勒索病毒在全球范围内迸发。

  首要中招的是大英帝国。全英国上下多达25家医院和医疗安排遭到大范围网络***。医院的网络被攻陷,电脑被确定,电话打不通.......***向每家医院索要300比特币(挨近400万人民币)的赎金,假如3天之内没有交上,赎金翻倍,假如7天内没有付出,***将删去一切材料....

  随后***面积不断扩大,我国大批高校也呈现感染状况。很多师生的电脑文件被病毒加密,只需付出赎金才干康复。作为985院校之一的山东大学也没能幸免于难。

  现在在传达的勒索病毒以ONION和WNCRY两个宗族为主,中毒后的表现是:受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类材料都无法正常翻开,只需付出赎金才干解密康复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

勒索工作的来源

工作来源于两个尖端***安排的撕X:

  NSA(美国国家安全局)的最强***安排"方程组"和专门贩卖重磅信息的尖端***安排"阴影经纪人"。


工作时间轴

  1. 在2016 年 8 月有一个"Shadow Brokers"的***安排声称***了方程式安排窃取了很多机密文件,并将部分文件揭露到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)部属的***安排,有着极高的技术手法。

  这部分被揭露的文件包含不少荫蔽的地下的***东西。别的 "Shadow Brokers" 还保存了部分文件,计划以揭露拍卖的方式出售给出价最高的竞价者,"Shadow Brokers" 预期的价格是 100 万比特币(价值挨近5亿美元)。而"Shadow Brokers" 的东西一向没卖出去。

  2. 北京时间 2017 年 4 月 8 日,"Shadow Brokers" 发布了保存部分的解压缩密码,有人将其解压缩后的上传到Github网站供给下载。

  3. 北京时间 2017 年 4 月 14 日晚,继上一次揭露解压密码后,"Shadow Brokers" ,在推特上放出了第二波保存的部分文件。此次发现其间包含新的23个***东西。这些***东西被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EternalBLUE,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。

再后来的工作,就是EternalBLUE(永久之蓝)被***运用来进行敲诈。


所以总结起来就是:

  Shadow Brokers这家***安排发布了NSA的一些***东西,"永久之蓝"只是其间一个运用445端口进行***的东西。这些东西被人运用,所以导致此病毒迸发。


勒索病毒的机制?  1.WannaCry***流程


  2. WannaCry***机制

  勒索病毒是由NSA走漏的"永久之蓝"***兵器传达的。"永久之蓝"可长途***Windows的445端口(文件同享),假如体系没有装置本年3月的微软补丁,无需用户任何操作,只需开机上网,"永久之蓝"就能在电脑里履行恣意代码,植入勒索病毒等恶意程序。

受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类材料都无法正常翻开,只需付出赎金才干解密康复。


为什么此次病毒受害者多为高校、医院等组织?

  前面现已说过,病毒是运用445端口进行***。因为国内曾多次呈现运用445端口传达的蠕虫病毒,部分运营商对个人用户封掉了445端口。可是教育网并无此约束,存在很多暴露着445端口的机器,因而成为不法分子运用NSA***兵器***的重灾区。


中毒后怎么免除?

  很抱愧,现在简直无解。

  先不说昂扬的勒索金额,有网友表明即便付出了勒索金额也无法免除。

怎么防备勒索病毒?  1.备份重要文件

    病毒以加密文件为手法进行勒索,假使重要文件均已备份,用户就能够临危不惧了。

  2.更新补丁

    微软发布了新的体系补丁协助用户防备本次大范围病毒***,甚至连被扔掉N年的Windows XP 体系都得到更新补丁,这也从旁边面证明了本次工作的影响有多恶劣。

  3.封闭网络端口(应急)

    3.1键盘Win + R运转,输入"CMD",发动指令行窗口,留意,Win 8以上版别用户,需求按Win + X,挑选"指令提示符(管理员)A"。接着输入:netstat -an 指令,查看翻开的端口中,是否有445端口。

  3.22.假如呈现上图款式,就需求把445端口封闭,需求顺次输入以下指令:

net stop rdr
net stop srv
net stop netbt


  4.针对某域名进行设定(应急)

    安全人员发现,病毒在勒索行为开端前,会测验拜访www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个网址,一旦病毒无法拜访到网址,就会开端勒索行为。好消息是,该域名现在已被注册,所以病毒的传达有望中止。

因为众所周知的原因,主张我们修正一下HOST,将此网址指向国内能够安稳拜访的方针网址。当然,这种办法在***花几分钟修正一下拜访域名后就会失效,所以仍是主张我们采纳前两条办法。

本次工作的启示?

  1.信息安满是一个永久的论题,总是在不断地演进中。道高一尺,魔高一丈,就是在不断斗法中不断深化。

  2.感谢三大运营商,缝隙走漏的第一时间(3月份)就封闭了个人用户的445端口,不然现在受影响的就不仅限于高校用户了。

  3.关于一部分人来说,迁移到其他操作体系比方Linux真的十分必要,即便只是是为了维护自己的材料安全也该进行迁移了。

  4.今后的IT学习路途中,必不可少的学习模块必定是安全。尽管此次Linux未受冲击,但将来***必定会越来越多,安全也将越来越重要。


想要了解更多能够其他文章:《Wannacry勒索软件母体主程序逆向剖析》《腾讯安全团队深化解析wannacry蠕虫病毒》


版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表乐橙lc8立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章