比特幣病毒已停止傳播(附關閉危險埠方法),原因是一個空域名
文章推薦指數: 80 %
先看事件回顧
北京時間2017年5月12日20時左右,全球爆發大規模ONION勒索軟體感染事件,我國大量行業企業內網大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。
據BBC報導,今天全球很多地方爆發一種軟體勒索病毒,只有繳納高額贖金(有的要比特幣)才能解密資料和數據,英國多家醫院中招,病人資料威脅外泄,同時俄羅斯,義大利,整個歐洲包括中國很多高校……
經過緊急分析,工程師判定該勒索軟體是一個名稱為「onion」的新家族,目前無法解密該勒索軟體加密的文件。
該勒索軟體迅速感染全球大量主機的原因是利用了基於445埠傳播擴散的SMB漏洞MS17-101,微軟在今年3月份發布了該漏洞的補丁。
2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation
Group(方程式組織)使用的「網絡軍火」中包含了該漏洞的利用程序,而該勒索軟體的攻擊者或攻擊組織在借鑑了該「網絡軍火」後進行了這次全球性的大規模攻擊事件。
工程師依託對「勒索軟體」的分析和預判,不僅能夠有效檢測防禦目前「勒索軟體」的樣本和破壞機理,還對後續「勒索軟體」可能使用的技巧進行了布防。
具體分析
當系統被該勒索軟體入侵後,彈出勒索對話框:
這是不法分子利用NSA黑客工具「永恆之藍」發起的病毒攻擊事件。
「永恆之藍」會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬等惡意程序。
由於教育網有很多暴露445埠的機器,也很容易遭到遠程攻擊。
正處畢業季,要是畢業班的小夥伴們忘了備份畢業論文/設計,那就真的要哭了...
黑客通過設置電腦開機密碼、登錄密碼等對電腦鎖屏;加密用戶用戶文件和數據等形式,敲詐勒索用戶。
而比特幣難以被追蹤,也成為黑客青睞的贖金方式。
然而,事情出現了轉機
雖然對被感染的機器已經無能為了,但發現這麼一個緊急停止開關,已經阻止了進一步大範圍爆發的可能。
但是這個病毒可能很快推出一個變種,繞開這個域名,這個緊急停止機制就會失效。
不過已經足夠讓大家普遍提高意識,關閉埠,打上補丁了,有效地避免病毒的攻擊。
感謝那些在幕後奮戰的安全小哥們.......
特別提醒
所有身在大陸並且中了加密勒索病毒的同學,別再想付贖金了!現在已經確定病毒的加密鑰匙是通過tor網絡發送給病毒製作者的伺服器(以及交錢後的密鑰發送也是通過tor)。
中國大陸境內早就完全屏蔽了tor網絡。
也就是說當電腦螢幕跳出提示框說你電腦文件被加密的時候,密鑰已經因為tor連接失敗而完全丟失了
不能掉以輕心
有一些專家稱:這個其實並不是關閉鍵,是病毒設計者用來反破譯的工具。
有個疑問,他做這個緊急開關為了啥,這個簡單的判斷語句是個程式設計師都能看得懂吧?
因為通常電腦安全專家對電腦病毒進行破譯,會通過沙盤虛擬一個系統出來,把病毒放進沙盤進行模擬和分析,而大部分沙盤會對病毒對外發出的所有網絡訪問請求(即使那個網站不存在)回復成功,而真實的宿主電腦則會對不存在的網站回復訪問失敗。
那麼病毒如果發現這個網站訪問成功了,就說明自己正在被破譯解讀中,所以就要停止傳播,防止被進一步破譯。
病毒設計者只要推送一個更新,去掉這個段代碼和網站,又可以繼續傳播的了。
關閉埠的方法
Win7、Win8、Win10的處理流程
1、打開控制面板-系統與安全-Windows防火牆,點擊左側啟動或關閉Windows防火牆
2、選擇啟動防火牆,並點擊確定
3、點擊高級設置
4、點擊入站規則,新建規則
5、選擇埠,下一步
關於「勒索病毒」你必須要知道的11個問題!
和訊科技 5月12號,網絡安全領域,一款新型勒索病毒「Wanna Cry」肆虐全球。該病毒橫行全球上百國家,其中,歐洲、中國和美國成為重災區,中國多所大學以及醫療機構遭到攻擊。關於此次勒索病毒,...
勒索蠕蟲-WanaCrypt0r防治攻略和事件回顧
====== 2017年5月12日星期五,全球近100個國家(中國、西班牙、義大利、葡萄牙、俄羅斯、烏克蘭)的,多個行業機構的電腦感染名為WannaCry0r的勒索軟體。目前據報導英國醫療、德國...
揭秘|勒索病毒WannaCry一夜「橫掃」全球99國始末
編者按 5月12日晚,一款名為「WannaCry」的勒索病毒在全球進行大規模攻擊,目前已知有99個國家受害,據報英國醫療系統、快遞公司FedEx、俄羅斯第2大電信公司Megafon都是這輪攻擊的...