本文目录一览:
勒索病毒是什么
很难再次有大爆发,首次爆发的根本原因是教育网以及内网单位对445端口的麻痹大意造成的,是防御上的弱B,而非病毒的牛B,有了第一次的教训后没谁还敢轻易开放445端口了,病毒大范围爆发的根本条件已经不具备。
本次爆发的勒索病毒借用了最新的“永恒之蓝”windows攻击工具,使其可以对局域网中所有未防备445端口的开机电脑主动进行感染,具备了之前电脑病毒不具有的主动入侵性,所以才造成大爆发。勒索病毒和其他病毒一样,依旧可以经由网络下载和U盘感染等传统方式入侵计算机,并不是防备了445端口就万无一失。
盗号什么的不必担心,勒索病毒只是强制给你电脑中所有的文档、图片、视频、压缩包等等重要文件进行加密,而且加密强度极高,基本不存在强行解密的可能,对特殊人群的电脑有毁灭性的伤害,而其盈利也正是针对这些特殊人群索要赎金而已。
勒索蠕虫病毒的最新数据以及你不知道的几个事实是什么?
5月15日,在众所瞩目的周一,在此次大规模勒索蠕虫爆发事件中,响应很快的360公司在下午2点40分左右召开了勒索蠕虫最新情况通报会,并接受了包括宅客频道在内的多家媒体采访。
该情况通报会上获得的最新信息,以及可能此前读者没有注意到的知识点:
1.勒索蠕虫病毒“周一见”,周一有很多用户中招吗?
360安全产品负责人孙晓骏:从个人用户看,勒索蠕虫病毒的感染速度已经放缓。在360安全卫士的5亿用户中,绝大多数用户在3月修复漏洞,不受影响,约20万没有打补丁的用户电脑被病毒攻击,基本全部拦截。
360企业安全的总裁吴云坤:我们很多工程师今天没有来公司上班,直接去客户公司上门服务。在这几天中,接到的相关客服电话2万多次。
某著名银行在周六上午六点半就建立了响应群,将免疫工具下发,八点半部署全国防护策略,从网络、服务器、终端360度无死角,到今天早晨十点半,全行无一例感染;
南宁市网信办联合发改委信息中心、南宁公安局网安支队在13日下午召开紧急会议,由网安支队提供360的第七套解决方案,并由网安支队刻了600张光盘,由发改委、网信办、网安支队一起发放全市各政府企事业单位,整个南宁的病毒感染率极低。
从我们的实际反馈看,证明了之前所有处置和响应工作是有成效的,360威胁情报中心接到的求助信息看,周一只有个别机构和企业有零星电脑感染。
2.此前,网称许多高校和政企用户受到了此次勒索蠕虫病毒攻击,到底数据是多少?
360安全产品负责人孙晓骏:基于病毒网络活动特征监测统计(覆盖非360用户)在5月12日至13日期间,国内出现 29000 多个感染WNCRY 1.0 勒索病毒的IP,备受关注的教育科研感染用户占比 14.7%,4316例,各行业具体分布情况如下图:
3.360公司首家发布了勒索蠕虫病毒文件恢复工具,到底恢复文件情况如何?
360安全产品负责人孙晓骏:离线版修复软件目前下载次数是50万次左右。
360核心安全技术总负责人郑文彬:具体文件恢复情况还要看用户处理的时间及系统情况。
4.关于勒索蠕虫病毒,你不知道的几个事实:
360核心安全技术总负责人郑文彬:
美国国家安全局(NSA)曾通过“永恒之蓝”武器控制了几乎整个中东的银行和金融机构。
已经有国外研究机构验证,交付赎金后确实可以解密文件,截至5月15日早晨,136人交了赎金,总价值约3.6万美元,三天后不交赎金就会涨价到600美元,距离最早一批被感染者的赎金涨价还有数个小时,目前依然有一些被感染者观望,希冀有破解工具。
其实,“想哭”勒索病毒有三波:0.1版:黑客通过网络武器传播,勒索用户,没有蠕虫功能;1.0版:具备蠕虫功能,大规模传播,5月12日到5月14日主力传播;2.0版:“想哭”勒索病毒,更换及取消了“自杀开关”。所谓“自杀开关”,是病毒作者为了防止蠕虫爆发不可控制设置的一个“开关”,如果检查特定的域名被注册,就不再继续感染,5月14日,“想哭”2.0更换开关余名,很快也被注册,14日“想哭‘2.0第二个变种,取消了自杀开关,继续传播。
这次事件是NSA 的“锅”吗?如果NSA不用这个漏洞,别人就会用,但在工具被公开后,NSA 应该及时通知公众。
360企业安全的总裁吴云坤:内网不是隔离地带!
此次事件中招的大部分是企业和机构内网以及物理隔离网,事件证明,隔离不是万能的,不能一隔了之、万事大吉。内网是隔离的,本来应该是安全岛,但内网如果没有任何安全措施,一旦被突破,瞬间全部沦陷。
所以在隔离网里要采取更加有效的安全措施。内网还不能轻易打补丁,有的一打补丁就崩溃,因此360首发了一个针对内网的“热补丁”,是通用的免疫措施。
其他重要数据和信息
1.欧洲今日灾情可能更严重。
相比于国内的灾情延缓,中新网5月15日指出,据外媒报道,欧洲刑警组织指出,至欧洲时间14日早上,多达150个国家的20万台电脑遭“想哭”勒索病毒侵害。预料,到15日,人们回返公司上班,这一数字还会进一步增加。
2.变种样本分析情况已出。
5月15日上午,绿盟科技给宅客频道发送了一份最新改勒索蠕虫最新样本分析报告,该报告指出:
5月14日,卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本,此变种没有包含域名开关,同时修改了样本执行过程中的某个跳转,取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。我们对此次的变种事件高度关注,以最快速度拿到样本并进行了分析。
通过初步的分析和与初代WannaCry样本的对比分析,绿盟科技认为目前搜集到的两个变种,应该都是在原有蠕虫样本上直接进行二进制修改而成的,不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种,以造成更大破坏。
从防护方面来看,变种样本仍然利用了MS17-010漏洞和DOUBLEPLUSAR后门进行传播,没有新的传播方式。
3.金山安全、腾讯等厂家在5月15日相继也推出了针对该勒索蠕虫的文件恢复工具。
勒索病毒的攻击过程是怎样的?
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
攻击流程
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
通过系统漏洞扫描网络中的计算机
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
入侵一台机器后再通过漏洞局域网横向传
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
弱口令扫描网络中的计算机
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
入侵一台机器再弱口令爆破局域网机器横
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图:
钓鱼邮件攻击逻辑
文章转载至:2018勒索病毒全面分析报告
勒索病毒是怎么回事,它为何如此凶猛?
勒索病毒是美国NSA用来监视恐怖分子的工具。本来叫做永恒之蓝,利用微软的漏洞侵入电脑,结果前几天永恒之蓝被黑客破解了,然后黑客就做成了勒索病毒。这种病毒不单单下载文件时会藏在文件里。而且还会主动攻击你的电脑。
不过现在微软已经发布了补丁。而且360也进行了一次更新,可以识别并拦截勒索病毒。如果你真想看看勒索病毒啥样,可以在模拟机上做实验。我已经做过一会了。360根本不怂勒索病毒。可以直接删除病毒,但是你原本的文件会丢失。
手打很累,望采纳。