勒索蠕蟲病毒是什麼傳播方式有哪些

General 更新 2024年12月22日

  2017年5月12日起,全球範圍內爆發了基於Windows網路共享協議進行攻擊傳播的蠕蟲惡意程式碼——永恆之藍勒索蠕蟲病毒。五個小時內,包括美國、俄羅斯以及整個歐洲在內的100多個國家,及國內的高校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復檔案,對重要資料造成嚴重損失。那麼永恆之藍勒索蠕蟲病毒到底是什麼?開發者是誰?它又怎麼傳播的呢?下面小編就帶大家一起來詳細瞭解下吧。

  勒索蠕蟲病毒詳細介紹

  這次的“永恆之藍”勒索蠕蟲,是NSA網路軍火民用化的全球第一例。一個月前,第四批NSA相關網路攻擊工具及文件被Shadow Brokers組織公佈,包含了涉及多個Windows系統服務SMB、RDP、IIS的遠端命令執行工具,其中就包括“永恆之藍”攻擊程式。

  在之前就已經爆發的多次利用445埠進行蠕蟲攻擊的事件中,部分運營商在主幹網路上已經封禁了445埠,但是教育網以及大量企業內網並沒有此限制,而且並未及時安裝補丁,仍然存在大量暴露445埠且存在漏洞的電腦,導致了這次“永恆之藍”勒索蠕蟲的泛濫。

  資深安全專家表示,“隔離不等於安全,高校以及企業隔離的專網本身就是一個小規模的網際網路,需要當作網際網路來建設。”針對此次安全事件,強烈建議企業安全管理員在網路邊界的防火牆上阻斷445埠的訪問,並升級裝置的檢測規則到最新版本,同時設定相應漏洞攻擊的阻斷,直到確認網路內的電腦已經安裝了微軟MS17-010補丁或關閉了Server服務。

  而通過此次“永恆之藍”勒索蠕蟲事件我們發現,目前在國內一些大型企業客戶的IT系統中,存在著防火牆品牌不一致的問題,這就導致安全事件爆發時防火牆無法實現安全策略的集中下發,直接影響到了企業對安全事件的應急響應速度。

  勒索蠕蟲病毒的真面目

  5月12日開始散播勒索蠕蟲病毒,從發現到大面積傳播,僅僅用了幾個小時,其中高校成為了重災區。那麼,這款病毒是一個什麼樣的病毒,如何傳播,何以造成如此嚴重的後果呢?

  這款勒索蠕蟲病毒是針對微軟的永恆之藍的漏洞進行傳播和攻擊的。一旦電腦感染該病毒,被感染電腦會主動對區域網內的其他電腦進行隨機攻擊,區域網內沒有修補漏洞的電腦理論上將無一倖免的感染該病毒。而該漏洞微軟在今年3月份已經發布補丁,對漏洞進行了修復。

  網路安全專家孫曉駿說這個病毒利用了一個漏洞,但是我們使用者沒有打補丁的習慣,沒有及時修復這次漏洞,這個病毒樣本通過漏洞攻擊了非常多的電腦。

  根據網路安全公司資料統計,截止5月13日晚8點,我國共有39730家機構被感染,其中教育科研機構有4341家,高校成為了這次蠕蟲病毒的重災區。

  這次病毒利用了445的一個重要的埠。校園網因為ip直連的情況,導致沒有一個nat和防火牆來阻斷對445埠的訪問所以在校園網沒有打補丁的機器就直接暴露在病毒之下了。

  因為電腦蠕蟲病毒有主動攻擊的特性,所以每一次蠕蟲病毒的傳播範圍都很廣。然而在5月12號爆發的蠕蟲病毒與以往不同,它入侵電腦後會加密電腦中圖片、文件、視訊、壓縮包等各類資料,並跳出彈窗,被告之只有交了贖金,才能解密電腦中被加密的資料。

  被感染蠕蟲病毒後,不到十秒,電腦裡的所有使用者檔案全部被加密無法開啟。網路安全專家介紹,使用者電腦一旦被感染這種勒索病毒,被加密的檔案目前還沒有找到有效的辦法可以解鎖。而專家並不建議使用者支付贖金取得解鎖。

  加密的檔案會根據病毒指引去付贖金獲得金鑰,但是根據目前的研究看成功的機率非常低,整個網際網路安全界在積極的探索有沒有辦法解開這個金鑰。因為它用的是高強度非對稱加密的演算法,這個金鑰空間非常大,就算用暴力破解也需要非常長的時間,目前來看是不可接受的。

  針對已經被感染病毒的使用者,專家建議首先使用安全軟體查殺蠕蟲病毒,並保留被加密的檔案,待日後網路安全公司找到有效方法後再進行解鎖。

  勒索病毒是怎麼傳播的

  該型別病毒的目標性強,主要以郵件為傳播方式。

  勒索病毒檔案一旦被使用者點選開啟,會利用連線至黑客的C&C伺服器,進而上傳本機資訊並下載加密公鑰和私鑰。然後,將加密公鑰私鑰寫入到登錄檔中,遍歷本地所 有磁碟中的Office 文件、圖片等檔案,對這些檔案進行格式篡改和加密;加密完成後,還會在桌面等明顯位置生成勒索提示檔案,指導使用者去繳納贖金。

  勒索病毒檔案一旦進入本地,就會自動執行,同時刪除勒索軟體樣本,以躲避查殺和分析。接下來,勒索病毒利用本地的網際網路訪問許可權連線至黑客的C&C伺服器,進而上傳本機資訊並下載加密私鑰與公鑰,利用私鑰和公鑰對檔案進行加密。除了病毒開發者本人,其他人是幾乎不可能解密。加密完成後,還會修改桌布,在桌面等明顯位置生成勒索提示檔案,指導使用者去繳納贖金。且變種型別非常快,對常規的防毒軟體都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等型別為主,對常規依靠特徵檢測的安全產品是一個極大的挑戰。

  勒索病毒一般會攻擊任何人,但一部分針對企業使用者如xtbl,wallet,一部分針對所有使用者。

  永恆之藍勒索蠕蟲病毒的危害

  中新網北京5月13日訊息,今日全國多地的中石油加油站加油無法進行網路支付,只能進行現金支付。中石油有關負責人表示,懷疑受到病毒攻擊,具體情況還在核查處置中。

  據媒體報道,5月13日,全國多地包括北京、上海、重慶、成都等多城的部分中石油旗下加油站在今日0點左右突然斷網,而因斷網目前無法使用支付寶、微信等聯網支付方式,只能使用現金。

  中石油有關負責人表示,目前公司加油站的加油業務和現金支付業務正常執行,但是第三方支付無法使用,懷疑受到病毒攻擊,具體情況還在核查處置中。

  永恆之藍勒索蠕蟲病毒爆發,國內高校成為重災區,360安全監測與響應中心對此事的風險評級為“危急”。

  高校是永恆之藍的重災區,當你某一天,高高興興的把電腦開啟的時候,感覺都正常,但是用著用著電腦突然就卡了,再過幾秒鐘,桌面背景就變了,彈出一個提示框來,說你的檔案都被加密了,讓你交錢。然後你再看你的檔案,真的都被加密了。

  勒索病毒開發者是誰

  近日,一則勒索病毒出變種新聞引關注。如今網路黑客商業化已經非常成熟了,造槍製造、賣槍販賣、拿箱子購買實施者、掛馬傳播、分銷、變現,“一條龍”下環環相扣,每天在全球黑產網路中流轉的交易額數以億元計算。

  國內遭勒索病毒襲擊的重災區是校園網,相比之下,英國遭到攻擊的醫院已經陷入了一片混亂。據英國鏡報等報道,受病毒影響的40家醫院所有IT系統、電話系統、患者管理系統等目前通通暫停。這意味著所有系統都處於離線狀態,醫院根本無法接聽來電。候診的急症病人會根據醫生的安排,轉移到其他地方,且至少一家醫院被迫關閉。

  報道稱,目前已經發生了超過45000次攻擊,主要發生在俄羅斯,已經至少有10筆每筆額度300美元左右的贖金被打到黑客提供的比特幣賬戶。

  360安全中心分析,此次校園網勒索病毒是由NSA洩漏的“永恆之藍”黑客武器傳播的。“永恆之藍”可遠端攻擊Windows的445埠檔案共享,如果系統沒有安裝今年3月的微軟補丁,無需使用者任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等惡意程式。

  由於國內曾多次出現利用445埠傳播的蠕蟲病毒,部分運營商對個人使用者封掉了445埠。但是教育網並無此限制,存在大量暴露著445埠的機器,因此成為不法分子使用NSA黑客武器攻擊的重災區。

  360針對校園網勒索病毒事件的監測資料顯示,國內首先出現的是ONION病毒,平均每小時攻擊約200次,夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊,並在中國的校園網迅速擴散,夜間高峰期每小時攻擊約4000次。

  至此,幕後開發者還未找到,攻擊還在持續中......

  比特幣勒索病毒怎麼預防

  1、不要給錢。贖金很貴並且交了之後未必能恢復。

  2、未中毒的電腦迅速多次備份資料。已中毒的,重灌系統前把硬碟低格,然後安作業系統。

  3、安裝反勒索防護工具,但僅在病毒侵入前有作用,但對已經中病毒的電腦無能為力,還是要做好重要文件備份工作。不要訪問可以網站、不開啟可疑郵件和檔案

  4、關閉電腦包括TCP和UDP協議135和445埠

  5、還看不懂的,把網掐了。


  看過勒索蠕蟲病毒是什麼的人還:

如何防範感染勒索蠕蟲病毒
有趣的科技知識
相關知識
勒索蠕蟲病毒是什麼傳播方式有哪些
搖錢樹正確養殖方法是什麼繁殖方式有哪些
蠕蟲病毒是什麼以及解決辦法
***蠕蟲病毒是什麼要如何防範
***蠕蟲病毒是什麼
計算機病毒的主要傳播途徑有哪些
婚紗吊蘭是什麼養殖方法有哪些
電腦病毒木馬入侵的方式有哪些
營養土的用法是什麼自制方法有哪些
銷售模式是什麼意思模式有哪些