學(xué)習(xí)啦 > 新聞資訊 > 科技 > 勒索蠕蟲病毒是什么傳播方式有哪些

勒索蠕蟲病毒是什么傳播方式有哪些

時(shí)間: 佩珊807 分享

勒索蠕蟲病毒是什么傳播方式有哪些

  2017年5月12日起,全球范圍內(nèi)爆發(fā)了基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼——永恒之藍(lán)勒索蠕蟲病毒。五個(gè)小時(shí)內(nèi),包括美國(guó)、俄羅斯以及整個(gè)歐洲在內(nèi)的100多個(gè)國(guó)家,及國(guó)內(nèi)的高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招,被勒索支付高額贖金才能解密恢復(fù)文件,對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。那么永恒之藍(lán)勒索蠕蟲病毒到底是什么?開發(fā)者是誰(shuí)?它又怎么傳播的呢?下面學(xué)習(xí)啦小編就帶大家一起來詳細(xì)了解下吧。

  勒索蠕蟲病毒詳細(xì)介紹

  這次的“永恒之藍(lán)”勒索蠕蟲,是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。一個(gè)月前,第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers組織公布,包含了涉及多個(gè)Windows系統(tǒng)服務(wù)(SMB、RDP、IIS)的遠(yuǎn)程命令執(zhí)行工具,其中就包括“永恒之藍(lán)”攻擊程序。

  在之前就已經(jīng)爆發(fā)的多次利用445端口進(jìn)行蠕蟲攻擊的事件中,部分運(yùn)營(yíng)商在主干網(wǎng)絡(luò)上已經(jīng)封禁了445端口,但是教育網(wǎng)以及大量企業(yè)內(nèi)網(wǎng)并沒有此限制,而且并未及時(shí)安裝補(bǔ)丁,仍然存在大量暴露445端口且存在漏洞的電腦,導(dǎo)致了這次“永恒之藍(lán)”勒索蠕蟲的泛濫。

  資深安全專家表示,“隔離不等于安全,高校以及企業(yè)隔離的專網(wǎng)本身就是一個(gè)小規(guī)模的互聯(lián)網(wǎng),需要當(dāng)作互聯(lián)網(wǎng)來建設(shè)。”針對(duì)此次安全事件,強(qiáng)烈建議企業(yè)安全管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問,并升級(jí)設(shè)備的檢測(cè)規(guī)則到最新版本,同時(shí)設(shè)置相應(yīng)漏洞攻擊的阻斷,直到確認(rèn)網(wǎng)絡(luò)內(nèi)的電腦已經(jīng)安裝了微軟MS17-010補(bǔ)丁或關(guān)閉了Server服務(wù)。

  而通過此次“永恒之藍(lán)”勒索蠕蟲事件我們發(fā)現(xiàn),目前在國(guó)內(nèi)一些大型企業(yè)客戶的IT系統(tǒng)中,存在著防火墻品牌不一致的問題,這就導(dǎo)致安全事件爆發(fā)時(shí)防火墻無法實(shí)現(xiàn)安全策略的集中下發(fā),直接影響到了企業(yè)對(duì)安全事件的應(yīng)急響應(yīng)速度。

  勒索蠕蟲病毒的真面目

  5月12日開始散播勒索蠕蟲病毒,從發(fā)現(xiàn)到大面積傳播,僅僅用了幾個(gè)小時(shí),其中高校成為了重災(zāi)區(qū)。那么,這款病毒是一個(gè)什么樣的病毒,如何傳播,何以造成如此嚴(yán)重的后果呢?

  這款勒索蠕蟲病毒是針對(duì)微軟的永恒之藍(lán)的漏洞進(jìn)行傳播和攻擊的。一旦電腦感染該病毒,被感染電腦會(huì)主動(dòng)對(duì)局域網(wǎng)內(nèi)的其他電腦進(jìn)行隨機(jī)攻擊,局域網(wǎng)內(nèi)沒有修補(bǔ)漏洞的電腦理論上將無一幸免的感染該病毒。而該漏洞微軟在今年3月份已經(jīng)發(fā)布補(bǔ)丁,對(duì)漏洞進(jìn)行了修復(fù)。

  網(wǎng)絡(luò)安全專家孫曉駿說這個(gè)病毒利用了一個(gè)漏洞,但是我們用戶沒有打補(bǔ)丁的習(xí)慣,沒有及時(shí)修復(fù)這次漏洞,這個(gè)病毒樣本通過漏洞攻擊了非常多的電腦。

  根據(jù)網(wǎng)絡(luò)安全公司數(shù)據(jù)統(tǒng)計(jì),截止5月13日晚8點(diǎn),我國(guó)共有39730家機(jī)構(gòu)被感染,其中教育科研機(jī)構(gòu)有4341家,高校成為了這次蠕蟲病毒的重災(zāi)區(qū)。

  這次病毒利用了445的一個(gè)重要的端口。校園網(wǎng)因?yàn)閕p直連的情況,導(dǎo)致沒有一個(gè)nat和防火墻來阻斷對(duì)445端口的訪問所以在校園網(wǎng)沒有打補(bǔ)丁的機(jī)器就直接暴露在病毒之下了。

  因?yàn)殡娔X蠕蟲病毒有主動(dòng)攻擊的特性,所以每一次蠕蟲病毒的傳播范圍都很廣。然而在5月12號(hào)爆發(fā)的蠕蟲病毒與以往不同,它入侵電腦后會(huì)加密電腦中圖片、文檔、視頻、壓縮包等各類資料,并跳出彈窗,被告之只有交了贖金,才能解密電腦中被加密的資料。

  被感染蠕蟲病毒后,不到十秒,電腦里的所有用戶文件全部被加密無法打開。網(wǎng)絡(luò)安全專家介紹,用戶電腦一旦被感染這種勒索病毒,被加密的文件目前還沒有找到有效的辦法可以解鎖。而專家并不建議用戶支付贖金取得解鎖。

  加密的文件會(huì)根據(jù)病毒指引去付贖金獲得密鑰,但是根據(jù)目前的研究看成功的幾率非常低,整個(gè)互聯(lián)網(wǎng)安全界在積極的探索有沒有辦法解開這個(gè)密鑰。因?yàn)樗玫氖歉邚?qiáng)度非對(duì)稱加密的算法,這個(gè)密鑰空間非常大,就算用暴力破解也需要非常長(zhǎng)的時(shí)間,目前來看是不可接受的。

  針對(duì)已經(jīng)被感染病毒的用戶,專家建議首先使用安全軟件查殺蠕蟲病毒,并保留被加密的文件,待日后網(wǎng)絡(luò)安全公司找到有效方法后再進(jìn)行解鎖。

  勒索病毒是怎么傳播的

  該類型病毒的目標(biāo)性強(qiáng),主要以郵件為傳播方式。

  勒索病毒文件一旦被用戶點(diǎn)擊打開,會(huì)利用連接至黑客的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密公鑰和私鑰。然后,將加密公鑰私鑰寫入到注冊(cè)表中,遍歷本地所 有磁盤中的Office 文檔、圖片等文件,對(duì)這些文件進(jìn)行格式篡改和加密;加密完成后,還會(huì)在桌面等明顯位置生成勒索提示文件,指導(dǎo)用戶去繳納贖金。

  勒索病毒文件一旦進(jìn)入本地,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。接下來,勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰,利用私鑰和公鑰對(duì)文件進(jìn)行加密。除了病毒開發(fā)者本人,其他人是幾乎不可能解密。加密完成后,還會(huì)修改壁紙,在桌面等明顯位置生成勒索提示文件,指導(dǎo)用戶去繳納贖金。且變種類型非???,對(duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。

  勒索病毒一般會(huì)攻擊任何人,但一部分針對(duì)企業(yè)用戶(如xtbl,wallet),一部分針對(duì)所有用戶。

  永恒之藍(lán)勒索蠕蟲病毒的危害

  中新網(wǎng)北京5月13日消息,今日全國(guó)多地的中石油加油站加油無法進(jìn)行網(wǎng)絡(luò)支付,只能進(jìn)行現(xiàn)金支付。中石油有關(guān)負(fù)責(zé)人表示,懷疑受到病毒攻擊,具體情況還在核查處置中。

  據(jù)媒體報(bào)道,5月13日,全國(guó)多地包括北京、上海、重慶、成都等多城的部分中石油旗下加油站在今日0點(diǎn)左右突然斷網(wǎng),而因斷網(wǎng)目前無法使用支付寶、微信等聯(lián)網(wǎng)支付方式,只能使用現(xiàn)金。

  中石油有關(guān)負(fù)責(zé)人表示,目前公司加油站的加油業(yè)務(wù)和現(xiàn)金支付業(yè)務(wù)正常運(yùn)行,但是第三方支付無法使用,懷疑受到病毒攻擊,具體情況還在核查處置中。

  永恒之藍(lán)勒索蠕蟲病毒爆發(fā),國(guó)內(nèi)高校成為重災(zāi)區(qū),360安全監(jiān)測(cè)與響應(yīng)中心對(duì)此事的風(fēng)險(xiǎn)評(píng)級(jí)為“危急”。

  高校是永恒之藍(lán)的重災(zāi)區(qū),當(dāng)你某一天,高高興興的把電腦打開的時(shí)候,感覺都正常,但是用著用著電腦突然就卡了,再過幾秒鐘,桌面背景就變了,彈出一個(gè)提示框來,說你的文件都被加密了,讓你交錢。然后你再看你的文件,真的都被加密了。

  勒索病毒開發(fā)者是誰(shuí)

  近日,一則勒索病毒出變種新聞引關(guān)注。如今網(wǎng)絡(luò)黑客商業(yè)化已經(jīng)非常成熟了,造槍(制造)、賣槍(販賣)、拿箱子(購(gòu)買實(shí)施者)、掛馬(傳播)、分銷、變現(xiàn),“一條龍”下環(huán)環(huán)相扣,每天在全球黑產(chǎn)網(wǎng)絡(luò)中流轉(zhuǎn)的交易額數(shù)以億元計(jì)算。

  國(guó)內(nèi)遭勒索病毒襲擊的重災(zāi)區(qū)是校園網(wǎng),相比之下,英國(guó)遭到攻擊的醫(yī)院已經(jīng)陷入了一片混亂。據(jù)英國(guó)鏡報(bào)等報(bào)道,受病毒影響的40家醫(yī)院所有IT系統(tǒng)、電話系統(tǒng)、患者管理系統(tǒng)等目前通通暫停。這意味著所有系統(tǒng)都處于離線狀態(tài),醫(yī)院根本無法接聽來電。候診的急癥病人會(huì)根據(jù)醫(yī)生的安排,轉(zhuǎn)移到其他地方,且至少一家醫(yī)院被迫關(guān)閉。

  報(bào)道稱,目前已經(jīng)發(fā)生了超過45000次攻擊,主要發(fā)生在俄羅斯,已經(jīng)至少有10筆每筆額度300美元左右的贖金被打到黑客提供的比特幣賬戶。

  360安全中心分析,此次校園網(wǎng)勒索病毒是由NSA泄漏的“永恒之藍(lán)”黑客武器傳播的。“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口(文件共享),如果系統(tǒng)沒有安裝今年3月的微軟補(bǔ)丁,無需用戶任何操作,只要開機(jī)上網(wǎng),不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

  由于國(guó)內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲病毒,部分運(yùn)營(yíng)商對(duì)個(gè)人用戶封掉了445端口。但是教育網(wǎng)并無此限制,存在大量暴露著445端口的機(jī)器,因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū)。

  360針對(duì)校園網(wǎng)勒索病毒事件的監(jiān)測(cè)數(shù)據(jù)顯示,國(guó)內(nèi)首先出現(xiàn)的是ONION病毒,平均每小時(shí)攻擊約200次,夜間高峰期達(dá)到每小時(shí)1000多次;WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊,并在中國(guó)的校園網(wǎng)迅速擴(kuò)散,夜間高峰期每小時(shí)攻擊約4000次。

  至此,幕后開發(fā)者還未找到,攻擊還在持續(xù)中......

  比特幣勒索病毒怎么預(yù)防

  1、不要給錢。贖金很貴并且交了之后未必能恢復(fù)。

  2、未中毒的電腦迅速多次備份數(shù)據(jù)。已中毒的,重裝系統(tǒng)前把硬盤低格,然后安操作系統(tǒng)。

  3、安裝反勒索防護(hù)工具,但僅在病毒侵入前有作用,但對(duì)已經(jīng)中病毒的電腦無能為力,還是要做好重要文檔備份工作。不要訪問可以網(wǎng)站、不打開可疑郵件和文件

  4、關(guān)閉電腦包括TCP和UDP協(xié)議135和445端口

  5、還看不懂的,把網(wǎng)掐了。


  看過勒索蠕蟲病毒是什么的人還看了:

1.勒索蠕蟲病毒是什么

2.勒索蠕蟲病毒是什么

3.如何防范勒索蠕蟲病毒

4.蠕蟲病毒屬于什么病毒

5.電腦中了蠕蟲病毒怎么辦

6.勒索病毒補(bǔ)丁下載地址

3317466