浅析勒索病毒 WannaCry 永恒之蓝

现在是2017年5月14号晚上9点

对于勒索病毒WannaCry病毒刚刚结束了他的工作

···

  2017 年 5 月 12 日晚间起,我国各大高校的师生陆续发现自己电脑中的文件 和程序

被加密而无法打开,弹出对话框要求支付比特币赎金后才能恢复,如若不 在规定时间内

供赎金,被加密的文件将被彻底删除。

5月13日,英国16家医院遭到网络攻击。医院内网被攻陷,电脑被锁、电话不通。

黑客索要每家医院300比特币(接近400万人民币)的赎金,否则将删除所有资料。

现在这16家机构对外联系基本中断,内部恢复使用纸笔进行紧急预案。

英国国家网络安全部门介入调查,但病毒攻击仍在进行中。意大利俄罗斯西班牙越南土耳其日本

近 100 个国家遭受 了攻击。加油站、火车站、ATM 机、

政府办事终端等设备以及邮政、医院、电信 运营商,部分工业设施等行业都被“中招”,

部分设备已完全罢工,无法使用。 目前,该事件的影响已逐步扩展到国内各类规模的企

业内网、教育网、政府机构 等多类单位。

在国内,由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了该端口。

但教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑。

目前,多处高校网络出现ONION/Wannacry勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,

很多学生资料被锁,毕业设计等资料和个人数据造成严重损失。受影响的有贺州学院、桂林电子科技大学、

桂林航天工业学院以及广西等地区的大学。另外有网友反映,大连海事大学、山东大学等也受到了病毒攻击。

全国多地中石油加油站出现断网,加油卡无法使用,疑似遭遇敲诈病毒攻击。

根据网络安全机构通报,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的病毒攻击事件。

恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,

不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

  与以往病毒攻击不同的是,此次大规模的恶意攻击是以勒索为目的的,并且其攻击的对象以及由计算机系统、

设备,转向了数据!这有可能成为恶意攻击由以破坏为目的转向勒索、牟利的一个标志性事件。

此次攻击已经不再是单纯的炫技,而是直接危险到了每个人的数据数字财产、数据权利,

乃至威胁到了社会经济、国家安全。这给我们敲响了大数据时代网络安全的警钟,网络空间安全建设亟待加强。

大数据时代数据源更加多样化,数据对象范围分布更为广泛,对数据的安全保护提出了新的要求,

大数据应用内在安全机制和外部的网络安全都亟待完善。

因此在推动大数据技术应用的同时也面临着很多安全风险和挑战,对数据的安全保护成为大数据应用安全的重中之重。

数据保护的边界需要重新确定,数据应用、接口技术等安全风险的防范需要重新设立标准与规范。

那么问题来了!

这么大一票,到底谁干?

据可靠消息:这次攻击始作俑者是美国一位高中生,

在缅因州波特兰高中,FBI已经在路上,如果他没有价值的话,就会上新闻了,

这货真强,犯了大忌,触犯了黑客联盟的宗旨:“不对学生下手,也不针对任何盈利组织”

惹出了全球170多万黑客在线找,首当其冲的是俄罗斯黑客。现在从FBI,到国家安全局,到全球黑客都在通缉

“好了,忘记了告诉你,对半年以上没有钱付款的穷人,会有活动免费恢复。” 感动了有没有? 

下面谈谈这个病毒

为什么会被感染?

该勒索蠕虫一旦攻击进入能连接公网的用户机器,则会扫描内网和公网的ip,

若被扫描到的ip打开了445端口,则会使用“EnternalBlue”(蓝之永恒)漏洞安装后门。

一旦执行后门,则会释放一个名为Wana Crypt0r敲诈者病毒,从而加密用户机器上所有的文档文件,进行勒索。

 为什么使用比特币?

比特币是一种点对点网络支付系统和虚拟计价工具,

通俗的说法是数字货币。比特币在网络犯罪分子之中很受欢迎,

因为它是分散的、不受管制的,而且几乎难以追踪。

 历史病毒介绍同原理如下

在此之前(一)

不断变换作案手法的敲诈者病毒木马令用户越来越难以察觉。

备受开发者青睐的网站搭建平台WordPress被大范围攻陷,

致使用户在Chrome或Chrome内核浏览器中打开部分使用WordPress平台搭建的网站时出现乱码,

并提示需要下载字体更新程序并执行后才能正常访问。

一旦用户点击下载更新,植入其中的新型敲诈者病毒Spora便会自动运行,将所有用户文件加密。

此次攻击系臭名昭著的“EITest”恶意软件活动所为,已发现不法分子攻陷了Wordpress框架的网站之后,

在该网站正常的页面代码末尾添加JavaScript代码,致使该页面在用户访问时出现乱码,

然后提示下载字体更新程序并执行后才能正常访问。下面可以看到这个代码在源代码中的样子。

当访问者访问此页面时,脚本将干扰页面的文本,使其出现乱码:

随后弹出一个警告窗口,指出该页面因为缺少“HoeflerText”字体无法正确显示,同时提示点击Update按钮从而下载该Chrome字体包。

当用户单击Update按钮时,弹出窗口会自动下载名为Chrome Font v1.55.exe的文件并将其保存到默认下载文件夹,

然后跳转到一个说明页面,提示如何找到和运行下载的字体更新程序。

Chrome Font v1.55.exe实际上是Spora 系列敲诈者病毒。用户一旦运行该病毒,

电脑上所有工作和个人文件将会被加密而无法使用。当完成对文件的加密时,

电脑将显示敲诈页面,告知中招者登录Spora支付网站以确定赎金金额或付款。

目前已知存在Wordpress漏洞并且遭到攻击的网站有:

攻击者将病毒程序伪装成Chrome的Google字体更新程序,从而诱骗人们运行它。

由于用户身处攻击者造成的网页乱码“环境”中,很容易误以为真的是字体出现问题,进而下载运行准备好的“修复程序”,

一旦用户双击并执行该程序,就会中招。这种攻击方式技术难度不算太高,但是借由网站字体更新很容易令用户降低防备。

同时提醒大家,上网时如若遇到类似的情况,建议暂时停止访问该网站,并开启杀毒软件,实时拦截木马。

“敲诈者”(二) 

只需一封邮件,便能锁定电脑重要文件进行敲诈

席卷全球的敲诈风暴,公司被迫支付赎金

这些破坏力强大、影响恶劣的木马,是如何传播到受害者电脑上的呢?

木马的常用传播渠道是通过邮件进行传播,将木马伪装成邮件附件,吸引受害者打开。

其中,最常见的附件格式是微软的Office文档,木马使用文档中的宏功能执行恶意命令,

再从网上下载真正的恶意程序,对受害者电脑进行攻击。

在木马入侵受害者电脑的每一步,都有一些固定的套路和模式。

在木马传播的第一步,即发送带木马的邮件时,不法分子通常会使用一些正常的公务主题进行伪装,

诱使受害者打开附件。此前汪为遇到的假冒邮件,是假称快递除了问题;除此之外,常见的主题还包括发票、

费用确认等。一个明显的现象是,处于财务、会计、对外关系等职位的员工,每日收发的同类邮件较多,

对于这类邮件容易降低警惕心,因此容易成为不法分子发送邮件的目标。

如果受害者打开了带木马的宏文档,由于高版本Office中,默认是不开启宏的,

所以木马会在文档正文中诱导用户启用宏,使得恶意代码得以执行。

在恶意可执行文件被运行起来之后,不法分子就可以任意操作受害者的电脑。

比如下面这个木马,在检测虚拟机和两步注入后,最终在svchost里边进行实际恶意行为,将可执行文件添加至启动项并连接远程服务器:

在可执行程序与黑客的远程服务器保持通信之后,受害者的电脑已经被黑客占领,

最重要的一步已经完成。当然,这个例子中木马的目的是在受害者的电脑中植入后门,

不过同样的手法,在加密敲诈类木马中已经被证明同样有效。

除了在邮件附件中放置文档之外,还有一些其它的文件格式被用于木马的传播。这些格式有的是可以直接运行的脚本格式,

例如Powershell、js、vbs等,有的是格式关联的可执行文件具有一定的任意执行能力,例如JAR、CHM等。

哈勃分析系统此前捕获的“窃听狂魔”、“冥王”等木马,都是通过不同的格式执行恶意行为。

到此谈谈我们的WannaCry

这个病毒与以往的不同

我感觉就是摆明了要钱

永恒之蓝的背景

永恒之蓝是什么

方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,

有着极高的技术手段。但是就是这个很厉害的组织也是明枪易躲暗箭难防。

在2016 年 8 月有一个 叫“Shadow Brokers”的黑客组织入侵了方程式组织并搞到了了大量方程式组织的机密文件。

本来“Shadow Brokers”想把这些工具高价卖给各国政府或者其他的神秘组织,

但是因为没人理他,这个组织就把他们窃取到的机密文件公开了出来博人眼球。

这些机密文件包括很多Windows系统的0day漏洞,永恒之蓝(ETERNALBLUE)就是其中的一个。

这个漏洞破坏性极强,可以远程执行破坏性代码而不被发觉。

如何预防 

1、及时更新最新的操作系统补丁。
2、关闭操作系统不必要开放的端口如445、135、137、138、139等,关闭网络共享。

3、定期备份重要文件数据。 

4、 也可参考360解决方案下载360的NSA武器库免疫工具:http://dl.360safe.com/nsa/nsatool.exe

5、360解决方案参考地址:http://www.360.cn/weishi/news.html?i=news0513p

 

    该漏洞的相关说明、补丁:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

但是关键是很多人不知道怎样关闭这些端口,如果你本周末还没有使用电脑,在打开电脑前,切记要先断掉电脑的网络(比如拔掉网线、关闭路由器、wifi的电源等等)

接下来打开电脑,进行端口关闭的操作,关闭网络共享也可以避免中招,然后在联网打补丁。

关闭 445、135、137、138、139 端口

本文章为本人网络收集整理而成

如有侵权请务必转告  

时间: 2024-11-04 09:51:16

浅析勒索病毒 WannaCry 永恒之蓝的相关文章

勒索病毒WannaCry针对服务器及其内部网络操作指引

5月12日,全球爆发勒索病毒WannaCry,大量企业和组织遭受大规模的勒索攻击,国内高校内网.大型企业内网和政府机构专网相继中招. 系统中毒后,会加密系统中的照片.图片.文档.压缩包.音频等几乎所有类型的文件,不法分子据此向受害者提出勒索要求,支付高额赎金才能解密恢复文件,对重要数据造成严重损失. 一.序言    本操作指引分为三个步骤展开: 1.隔离受感染主机 2.切断传染途径 3.修复系统隐患 二.隔离受感染服务器主机 如果发现已经有主机被感染,立刻对此主机进行隔离.对于不确定是否已经被感

防范勒索病毒WannaCry的措施

1.有道云笔记防范勒索病毒的措施(注意:补丁不要用这篇文章中链接里的,用 <2.补丁地址> 里的,因为这个是微软官方的,一共是两个补丁,名字和教程中的一样,还有关闭端口后要重启计算机才能生效,可以用cmd命令netstat -an查看已开启的所有端口号): http://mp.weixin.qq.com/s?__biz=MjM5NjAyNjkwMA==&mid=2723942762&idx=1&sn=5545e33edca63bda98bf4c6981d3a948&am

对于Wannacry“永恒之蓝”病毒 查看自己电脑是否安全

对于window7 及以上系统只要正常更新过微软补丁就不会感染,微软早在2017年3月已得到相关消息 所以及时打好补丁. 那如何查看自己电脑已打过补丁呢?MS17-010 网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010 打开后我们能看到: 从括号中看出这个补丁编号是4013429.从而得知更新是KB4013429,那么怎么查看自己电脑有没有装这个补丁的问题就很简单了! 只要自己电脑有此版本更新就行: 打开控制面板-

安全提示:勒索病毒漏洞与CPU漏洞务必小心

近段时间来,国内一些信息安全团队陆续发出安全警报,称国内勒索病毒疫情非常严峻,政府.企业和个人用户都在被攻击之列,而系统漏洞是勒索软件攻击的主要入口.老友科技这里提醒广大计算机用户,对于关键系统漏洞必须及时打上补丁,并做相关的检查.本文说明2个高危系统漏洞的处理方法. 1. 永恒之蓝(Eternalblue)勒索病毒漏洞 永恒之蓝是指2017年5月12日起,全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中"永恒之蓝"

WannaCry勒索病毒事件的“来龙去脉”

Jackzhai 一.背景: 2017年5月12日是个平静的日子,大家都高高兴兴地收拾回家度周末了.然而,从下午开始,网络安全公司就不断接到用户求救电话,越来越多的用户遭受计算机病毒袭击,电脑被加密锁闭--周末的深夜,公司的灯被陆续点亮,售后工程师被召回,研发经理被召回,测试人员被召回,售前工程师被召回,销售也被召回-一场大规模.全球性的计算机病毒事件就这样悄然来到了.银行的ATM提款机"罢工"了,加油站的电脑"停业"了,学校即将答辩学生的论文被加密了,机场预告飞机

勒索病毒防护

1 概述 WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播.该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金.勒索金额为300至600美元.2017年5月14日

如何应对勒索病毒

前言:勒索病毒WannaCry肆虐全球,利用Windows操作系统漏洞,因链式反应迅猛自动传播,校园电脑.个人电脑.政府机关都是重灾区.中毒电脑所有文档被加密,将被勒索高达300美元以上.管家与你,一起防治! 防治指南: I:天呐!原来正确开机可以防毒! 无论是在家庭.公司还是公共网络,普通的网络使用者,只要在开机前完成以下4件事,就可以完美避开勒索病毒. 1.开机前断网 如果电脑插了网线,则先拔掉网线:如果是通过路由器连接wifi,则先关闭路由器. 2.备份重要文档 将电脑中的重要文档拷贝至移

“永恒之蓝”第一弹-关于防范感染勒索蠕虫病毒的紧急通知

北京时间2017年5月12日20时起,一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播.感染该病毒后的用户系统重要数据会被黑客加密,并索取一定价值的比特币后,数据才会被解密. 本文为第一时间全员群发通知邮件内容:关于防范感染勒索蠕虫病毒的紧急通知,内容如下: 各位小伙伴,大家好: 北京时间2017年5月12日20时起,一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播.感染该病毒后的用户系统重要数据会被黑客加密,并索取一定价值的比特币后,数据才会被解密.因此该病

&quot;永恒之蓝&quot;勒索软件病毒防范方法及措施

目前微软已发布补丁MS17-010修复了"永恒之蓝"攻击的系统漏洞,请广大师生尽快根据各自操作系统安装补丁,地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010:对于XP.2003等微软已不再提供安全更新的机器,推荐使用360"NSA武器库免疫工具"检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害.NSA武器库免疫工具下载地址:dl.360safe.com/n