比特幣勒索病毒

出自 MBA智库百科(http://wiki.mbalib.com/)

比特幣勒索病毒(Wanna Decryptor,又叫WannaCry)

目錄

什麼是比特幣勒索病毒

  比特幣勒索病毒,WannaCry,一種“蠕蟲式”的勒索病毒軟體,大小3.3MB,由不法分子利用NSA泄露的危險漏洞“EternalBlue”(永恆之藍)進行傳播

  該惡意軟體會掃描電腦上的TCP 445(Server Message Block/SMB),以類似於蠕蟲病毒的方式傳播,攻擊主機並加密主機上存儲的文件,然後要求以比特幣的形式支付贖金。勒索金額為300至600美元。

  2017年5月14日,WannaCry 勒索病毒出現了變種:WannaCry 2.0,取消Kill Switch 傳播速度或更快。截止2017年5月15日,WannaCry造成至少有150個國家受到網路攻擊,已經影響到金融能源,醫療等行業,造成嚴重的危機管理問題。中國部分Window操作系統用戶遭受感染,校園網用戶首當其衝,受害嚴重,大量實驗室數據和畢業設計被鎖定加密。

  目前,安全業界暫未能有效破除該勒索軟體的惡意加密行為。微軟總裁兼首席法務官Brad Smith稱,美國國家安全局未披露更多的安全漏洞,給了犯罪組織可乘之機,最終帶來了這一次攻擊了150個國家的勒索病毒。

比特幣病毒的概況

  2017年4月16日,CNCERT主辦的CNVD發佈《關於加強防範Windows操作系統和相關軟體漏洞攻擊風險的情況公告》,對影子紀經人“Shadow Brokers”披露的多款涉及Windows操作系統SMB服務的漏洞攻擊工具情況進行了通報(相關工具列表如下),並對有可能產生的大規模攻擊進行了預警:

工具名稱主要用途
ETERNALROMANCESMB 和NBT漏洞,對應MS17-010漏洞,針對139和445埠發起攻擊,影響範圍:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2
EMERALDTHREADSMB和NETBIOS漏洞,對應MS10-061漏洞,針對139和445埠,影響範圍:Windows XP、Windows 2003
EDUCATEDSCHOLARSMB服務漏洞,對應MS09-050漏洞,針對445埠
ERRATICGOPHERSMBv1服務漏洞,針對445埠,影響範圍:Windows XP、 Windows server 2003,不影響windows Vista及之後的操作系統
ETERNALBLUESMBv1、SMBv2漏洞,對應MS17-010,針對445埠,影響範圍:較廣,從WindowsXP到Windows 2012
ETERNALSYNERGYSMBv3漏洞,對應MS17-010,針對445埠,影響範圍:Windows8、Server2012
ETERNALCHAMPIONSMB v2漏洞,針對445埠

  當用戶主機系統被該勒索軟體入侵後,彈出如下勒索對話框,提示勒索目的並向用戶索要比特幣。而對於用戶主機上的重要文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執行程式等幾乎所有類型的文件,都被加密的文件尾碼名被統一修改為“.WNCRY”。目前,安全業界暫未能有效破除該勒索軟的惡意加密行為,用戶主機一旦被勒索軟體滲透,只能通過重裝操作系統的方式來解除勒索行為,但用戶重要數據文件不能直接恢復[1]

  WannaCry主要利用了微軟“視窗”系統的漏洞,以獲得自動傳播的能力,能夠在數小時內感染一個系統內的全部電腦。勒索病毒被漏洞遠程執行後,會從資源文件夾下釋放一個壓縮包,此壓縮包會在記憶體中通過密碼:WNcry@2ol7解密並釋放文件。這些文件包含了後續彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字體,還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄,並設置為隱藏。(#註釋:說明一下,“永恆之藍”是NSA泄露的漏洞利用工具的名稱,並不是該病毒的名稱#。永恆之藍”是指NSA泄露的危險漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也通過“永恆之藍”這個漏洞傳播,因此給系統打補丁是必須的。)

  2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,感染了大量的電腦,該蠕蟲感染電腦後會向電腦中植入敲詐者病毒,導致電腦大量文件被加密。受害者電腦被黑客鎖定後,病毒會提示支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。

  2017年5月13日晚間,由一名英國研究員於無意間發現的WannaCry隱藏開關(Kill Switch)功能變數名稱,意外的遏制了病毒的進一步大規模擴散。2017年5月14日,監測發現,WannaCry 勒索病毒出現了變種:WannaCry 2.0, 與之前版本的不同是,這個變種取消了Kill Switch,不能通過註冊某個功能變數名稱來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。請廣大網民儘快升級安裝Windows操作系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染。

比特幣的攻擊特點

  WannaCry利用Windows操作系統445埠存在的漏洞進行傳播,並具有自我複製、主動傳播的特性。

  被該勒索軟體入侵後,用戶主機系統內的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密,加密文件的尾碼名被統一修改為.WNCRY,並會在桌面彈出勒索對話框,要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包,且贖金金額還會隨著時間的推移而增加。。

  攻擊類型

  常用的Office文件(擴展名為.ppt、.doc、.docx、.xlsx、.sxi)

  並不常用,但是某些特定國家使用的office文件格式(.sxw、.odt、.hwp)

  壓縮文檔和媒體文件(.zip、.rar、.tar、.mp4、.mkv)

  電子郵件和郵件資料庫(.eml、.msg、.ost、.pst、.deb)

  資料庫文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)

  開發者使用的源代碼項目文件(.php、.java、.cpp、.pas、.asm)

  密匙和證書(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)

  美術設計人員、藝術家和攝影師使用的文件(.vsd、.odg、.raw、.nef、.svg、.psd)

  虛擬機文件(.vmx、.vmdk、.vdi)

比特幣勒索病毒的波及範圍

  國內

  2017年5月12日晚,中國大陸部分高校學生反映電腦被病毒攻擊,文檔被加密。病毒疑似通過校園網傳播。隨後,山東大學、南昌大學廣西師範大學東北財經大學等十幾家高校發佈通知,提醒師生註意防範。除了教育網、校園網以外,新浪微博上不少用戶反饋,北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊。

  中石油所屬部分加油站運行受到波及。5月13日,包括北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在當天凌晨突然斷網,因斷網無法刷銀行卡及使用網路支付,只能使用現金,加油站加油業務正常運行。

  截至14日10時30分,國家互聯網應急中心已監測到約242.3萬個IP地址遭受“永恆之藍”漏洞攻擊;被該勒索軟體感染的IP地址數量近3.5萬個,其中中國境內IP約1.8萬個。

  2017年5月15日,珠海市公積金中心下發了《關於5月15日暫停辦理住房公積金業務的緊急通知》,為有效應對Windows操作系統敲詐者病毒在互聯網和政企專網大面積蔓延,對住房公積金業務數據和服務終端資料可能造成的安全威脅,珠海市住房公積金管理中心決定加固升級內外網路,暫停辦理所有住房公積金業務。

  陝西部分地市的交通管理網路也受到了勒索病毒爆發的影響,暫停了業務辦理。此外,部分地區因“系統維護”發佈相關通知,暫停辦理交管、出入境等業務。

  國外

  俄羅斯:內政部稱約1000台Windows電腦遭到攻擊,但表示這些電腦已經從該部門電腦網路上被隔離。

  英國:2017年5月13日,全球多地爆發“WannaCry”勒索病毒,受影響的包括英國16家醫院(截止北京時間5月13日5點)。

  北韓:在這大範圍的攻擊下逃過一劫,守住了一方凈土。

  日本:日本警察廳當天表示在該國國內確認了2起,分別為某綜合醫院和個人電腦感染病毒,並未造成財產損失。尚不清楚日本的案例是否包含在這150個國家中。

  西班牙:國家情報中心證實,西班牙多家公司遭受了“大規模”的網路黑客攻擊。該國電信業巨頭西班牙電信總部的多臺電腦陷入癱瘓。

比特幣病毒的預防

  目前,安全業界暫未能有效破除該勒索軟體的惡意加密行為。網路安全專家建議,用戶要斷網開機,即先拔掉網線再開機,這樣基本可以避免被勒索軟體感染。開機後應儘快想辦法打上安全補丁,或安裝各家網路安全公司針對此事推出的防禦工具,才可以聯網。建議儘快備份電腦中的重要文件資料到移動硬碟、U 盤,備份完後離線保存該磁碟,同時對於不明鏈接、文件和郵件要提高警惕,加強防範。

  臨時解決方案:

  開啟系統防火牆

  利用系統防火牆高級設置阻止向445埠進行連接(該操作會影響使用445埠的服務

  打開系統自動更新,並檢測更新進行安裝

  Win7、Win8、Win10的處理流程

  1、打開控制面板-系統與安全-Windows防火牆,點擊左側啟動或關閉Windows防火牆。

  2、選擇啟動防火牆,並點擊確定

  3、點擊高級設置

  4、點擊入站規則,新建規則

  5、選擇埠,下一步

  6、特定本地埠,輸入445,下一步

  7、選擇阻止連接,下一步

  8、配置文件,全選,下一步

  9、名稱,可以任意輸入,完成即可。

  XP系統的處理流程

  1、依次打開控制面板,安全中心,Windows防火牆,選擇啟用

  2、點擊開始,運行,輸入cmd,確定執行下麵三條命令:net stop rdr 、net stop srv 、net stop netbt


相關條目

參考文獻

本條目對我有幫助13

分享到:
  如果您認為本條目還有待完善,需要補充新內容或修改錯誤內容,請編輯條目

本条目由以下用户参与贡献

LuyinT.

評論(共3條)

提示:評論內容為網友針對條目"比特幣勒索病毒"展開的討論,與本站觀點立場無關。
似儒似丐又似仙 (討論 | 貢獻) 在 2017年5月17日 07:10 發表

又是哪位神仙發怒了?

回複評論
A852819096 (討論 | 貢獻) 在 2017年5月18日 01:09 發表

這種陰謀論也寫上來。看來水平不行

回複評論
121.49.120.* 在 2017年5月22日 23:34 發表

北韓守住一方凈土hhh

回複評論

發表評論請文明上網,理性發言並遵守有關規定。

以上内容根据网友推荐自动排序生成