温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

一分钟了解勒索病毒WannaCry(永恒之蓝)

发布时间:2020-07-09 11:34:04 来源:网络 阅读:7467 作者:运维小当家 栏目:安全技术

勒索病毒WannaCry(永恒之蓝)

  日前,"永恒之蓝"席卷全球,已经有90个国家遭到***。国内教育网是遭到***的重灾区。不过,在安装相对老旧版本Windows的电脑普遍遭到***之时,不少安装linux衍生版操作系统的电脑和苹果电脑逃过一劫。不少网友在网上纷纷表示庆幸,并对linux或苹果的安全性大加赞美之词。但实际上,并非是这些操作系统在技术上拥有明显高于Windows安全性,只是***没有专门针对其进行***而已。

一分钟了解勒索病毒WannaCry(永恒之蓝)

病毒勒索事件概况

  从5月12日开始,勒索病毒在全球范围内爆发。

  首先中招的是大英帝国。全英国上下多达25家医院和医疗组织遭到大范围网络***。医院的网络被攻陷,电脑被锁定,电话打不通.......***向每家医院索要300比特币(接近400万人民币)的赎金,如果3天之内没有交上,赎金翻倍,如果7天内没有支付,***将删除所有资料....

一分钟了解勒索病毒WannaCry(永恒之蓝)

  随后***面积不断扩大,中国大批高校也出现感染情况。众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。作为985院校之一的山东大学也没能幸免于难。

一分钟了解勒索病毒WannaCry(永恒之蓝)

  目前在传播的勒索病毒以ONION和WNCRY两个家族为主,中毒后的表现是:受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

勒索事件的起源

事情起源于两个顶级***组织的撕X:

  NSA(美国国家安全局)的最强***组织"方程组"和专门贩卖重磅信息的顶级***组织"暗影经纪人"。


事件时间轴

  1. 在2016 年 8 月有一个"Shadow Brokers"的***组织号称***了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的***组织,有着极高的技术手段。

  这部分被公开的文件包括不少隐蔽的地下的***工具。另外 "Shadow Brokers" 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,"Shadow Brokers" 预期的价格是 100 万比特币(价值接近5亿美元)。而"Shadow Brokers" 的工具一直没卖出去。

  2. 北京时间 2017 年 4 月 8 日,"Shadow Brokers" 公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。

  3. 北京时间 2017 年 4 月 14 日晚,继上一次公开解压密码后,"Shadow Brokers" ,在推特上放出了第二波保留的部分文件。此次发现其中包括新的23个***工具。这些***工具被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EternalBLUE,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。

一分钟了解勒索病毒WannaCry(永恒之蓝)

一分钟了解勒索病毒WannaCry(永恒之蓝)

再后来的事情,就是EternalBLUE(永恒之蓝)被***利用来进行敲诈。


所以总结起来就是:

  Shadow Brokers这家***组织公布了NSA的一些***工具,"永恒之蓝"只是其中一个利用445端口进行***的工具。这些工具被人利用,所以导致此病毒爆发


勒索病毒的机制?

  1.WannaCry***流程


一分钟了解勒索病毒WannaCry(永恒之蓝)

  2. WannaCry***机制

  勒索病毒是由NSA泄漏的"永恒之蓝"***武器传播的。"永恒之蓝"可远程***Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,"永恒之蓝"就能在电脑里执行任意代码,植入勒索病毒等恶意程序。

受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。


为什么此次病毒受害者多为高校、医院等机构?

  前面已经说过,病毒是利用445端口进行***。由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA***武器***的重灾区。


中毒后如何解除?

  很抱歉,目前几乎无解。

  先不说高昂的勒索金额,有网友表示即使支付了勒索金额也无法解除。

如何防范勒索病毒?

  1.备份重要文件

    病毒以加密文件为手段进行勒索,倘若重要文件均已备份,用户就可以无所畏惧了。

  2.更新补丁

    微软发布了新的系统补丁帮助用户防范本次大范围病毒***,甚至连被抛弃N年的Windows XP 系统都得到更新补丁,这也从侧面证明了本次事件的影响有多恶劣。

  3.关闭网络端口(应急)

    3.1键盘Win + R运行,输入"CMD",启动命令行窗口,注意,Win 8以上版本用户,需要按Win + X,选择"命令提示符(管理员)A"。接着输入:netstat -an 命令,检查打开的端口中,是否有445端口。

一分钟了解勒索病毒WannaCry(永恒之蓝)

  3.22.如果出现上图式样,就需要把445端口关闭,需要依次输入以下命令:

net stop rdr
net stop srv
net stop netbt

一分钟了解勒索病毒WannaCry(永恒之蓝)


  4.针对某域名进行设定(应急)

    安全人员发现,病毒在勒索行为开始前,会尝试访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个网址,一旦病毒无法访问到网址,就会开始勒索行为。好消息是,该域名现在已被注册,所以病毒的传播有望停止。

由于众所周知的原因,建议大家修改一下HOST,将此网址指向国内可以稳定访问的目标网址。当然,这种方法在***花几分钟修改一下访问域名后就会失效,所以还是建议大家采取前两条方法。

本次事件的启示?

  1.信息安全是一个永恒的话题,总是在不断地演进中。道高一尺,魔高一丈,就是在不断斗法中不断深入。

  2.感谢三大运营商,漏洞泄露的第一时间(3月份)就封锁了个人用户的445端口,否则现在受影响的就不仅限于高校用户了。

  3.对于一部分人来说,迁移到其他操作系统比如Linux真的非常必要,即使仅仅是为了保护自己的资料安全也该进行迁移了。

  4.以后的IT学习道路中,必不可少的学习模块必然是安全。虽然此次Linux未受冲击,但将来***必然会越来越多,安全也将越来越重要。


想要了解更多可以其他文章:《Wannacry勒索软件母体主程序逆向分析》《腾讯安全团队深入解析wannacry蠕虫病毒


向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI