从5月12日开始,勒索者的两种病原体变种洋葱和WNCRY在全国各地甚至全球范围内呈现爆发趋势,其中不乏公司和组织的客户被抓。
与以往不同的是,这种新的变种病原体添加了NSA(美国国家安全局)黑客工具包中“比特币病毒”0day的漏洞检测,蠕虫感染是根据端口445(共享文件)在内网传播的。
其他未安装防护软件或未立即升级漏洞补丁的内网客户很可能被动感染,所以现阶段重点感染客户集中在公司、高校等内网自然环境。
一旦感染蠕虫病原体变种,系统软件的关键资料和文件将被加密,并被勒索巨额BTC保释金,折算人民币从2000元到2000-50000元不等。
从目前的监管情况来看,各大网站已经有数十万客户被感染,QQ、新浪微博等社交网络平台也遭受了不可估量的苦难,因此事后的威胁联想不容小觑。
勒索病原体+远程控制,系统漏洞,蠕虫传播,导致危险剧增,对于近期我国网络信息安全形势来说是一个严峻的形势。
事件发生后,微软和各安全公司第一时间跟踪升级了该集团的防护软件。特别是针对这个勒索蠕虫,金山毒霸制定了详细的安全防御方案、传播分析等安全建议。
我们也汇总了所有Windows系统版本的补丁下载,请尽快安装升级。
[传播感染]
此轮勒索蠕虫病毒主要包括Onion和WNCRY两个家族变种,首先在美国、乌克兰等多个国家爆发。几个公司和定点医疗机构的系统软件到底有没有被抓到,损害是非常惨痛的。
全球安全测试组织已经发现,现阶段有多达74个国家受到了这种勒索蠕虫的攻击。
从5月12日开始,感染在中国的传播刚刚开始大大增加,在几所大学和企业中愈演愈烈。
世界上有74个国家遭到过洋葱和WNCRY敲诈者的攻击。
24小时内检测到的WNCRY勒索蠕虫攻击频率超过10W。
感染大规模爆发的关键原因在于不久前泄露的美国国家安全局(NSA)黑客工具包中“比特币病毒”系统漏洞的应用(微软已经在3月份公布了补丁下载,系统漏洞序列号为MS17-010)。
与历史上的“冲击波”、“冲击波”等大规模蠕虫感染类似,此次传播攻击所利用的“比特币病毒”系统漏洞,可以根据445端口即时远程控制对整体目标服务器的攻击,传播感染速度非常快。
该勒索蠕虫病原体变种根据“比特币病毒”系统漏洞发起黑客攻击。
虽然国内部分运营商已经屏蔽了普通用户的445网络端口,但是在教育信息网、部分运营商的整体网络以及校园公司的内网中,仍然存在很多暴露的通用目标。
对于公司而言,尤其是情况严重时,内部重要网站服务器一旦遭到攻击,造成的损失无法估计。
从检查反馈来看,国内几所高校集中爆发了感染传播的恶性事件,甚至包括机场航班动态、加油站等终端设备系统软件。受到了伤害。估计最近勒索者的蠕虫病原体带来的危害会进一步加重。
国内高校内网爆发勒索者蠕虫感染事件。
某高等学府的所有主机房都被WNCRY勒索蠕虫攻击了。
国内某省某加油站的系统软件被勒索蠕虫攻击。
某机场航班动态终端设备被勒索蠕虫攻击。
[勒索蠕虫病原体感染状况]
常见的文档如文本文档、照片、压缩文件、音视频等。系统软件会对病原体数据进行加密,然后向客户勒索巨额BTC保释金。
WNCRY变体一般使用价值300-600美元的BTC,洋葱变体甚至需要客户支付3BTCs,以目前的比特币行情可以兑换成3万左右的人民币。
这种病原体一般使用RSA等非对称加密优化算法,没有公钥无法破译文档。WNCRY勒索者病原体要求客户三天内付款,否则解码费用翻倍,预付款一周内删除密钥,无法修复。
从某种程度上来说,这种敲诈者病原体是“可防而不可解”的,所以安全生产者和消费者有必要增强自己的安全防御措施和观念。
感染WNCRY勒索病毒的客户端系统软件d出比特币勒索病毒对话框。
客户文档资料数据加密,后缀改为“wncry”,桌面改为勒索。
跟踪BTC的一些变种的详细付款地址显示,在这个阶段,一小部分客户刚刚开始向病原体创造者支付勒索保释金。
从下图中我们可以看到,这个变种的病原体创造者已经从19个客户那里获得了BTC保释金,共计3.58BTCs,总市值约为人民币4万元。
BTC支付信息跟踪勒索蠕虫
[防御措施提案]
1.安装电脑杀毒软件,保持安全防御功能开启。比如金山毒霸可以屏蔽(下载链接http://www.duba.net),微软内置的WindowsDefender也可以。
金山毒霸查杀WNCRY勒索者蠕虫病原体。
金山毒霸勒索者病毒防御阻止WNCRY病毒数据加密客户文档。
2.打开WindowsUpdate自动升级并立即在线升级。
3月份,微软已经公布了针对NSA泄露的系统漏洞的MS17-010升级补丁,其中包括勒索者蠕虫病原体利用的“比特币病毒”系统漏洞。此外,它还宣布了适用于终止的WindowsXP、WindowsServer2003和Windows8的专业恢复补丁下载。
最新版本的Windows101703美工升级本系统没有漏洞,不需要下载补丁。
官网每个漏洞补丁的详细下载地址如下:
【kb4012598】:http://www.catalog.update.Microsoft.com/search.aspx?q=KB4012598
适用于WindowsXP32位/64位/嵌入式、windowsvista32位/64位、WindowsServer2003SP232位/64位、Windows832位/64位/安腾。
【kb4012212】:http://www.catalog.update.Microsoft.com/search.aspx?q=KB4012212
适用于Windows732位/64位/嵌入式、WindowsServer2008R232位/64位
【kb4012213】:http://catalog.update.Microsoft.com/V7/site/search.aspx?q=KB4012213
适用于Windows8.132位/64位和WindowsServer2012R232位/64位
【kb4012214】:http://catalog.update.Microsoft.com/V7/site/search.aspx?q=KB4012214
Windows8嵌入式,WindowsServer2012
【kb4012606】:http://www.catalog.update.Microsoft.com/search.aspx?q=KB4012606
Windows10RTM32位/64位/LTSB
【kb4013198】:http://www.catalog.update.Microsoft.com/search.aspx?q=KB4013198
适用于Windows101511年11月最新版本32/64位
【kb4013429】:http://www.catalog.update.Microsoft.com/search.aspx?q=KB4013429
对于最新版本的Windows101607周年32/64位,WindowsServer201632/64位
3.WindowsXP和WindowsServer2003系统软件客户也可以关闭445端口,以免被这种勒索者的蠕虫病原体感染。
流程如下:
(1)打开系统防火墙进行维护。 *** 作面板->:安全管家->:Windows服务器防火墙->:打开。
打开系统防火墙维护。
(2)关闭445端口。
(a)键盘快捷键WINR启动运行窗口,键入cmd并执行,打开cmd实际 *** 作对话框,键入指令“netstat-an”,检查445端口是否打开。
(b)如图所示,如果端口445是打开的,请依次键入以下指令将其关闭:
网络停止rdr/网络停止srv/网络停止netbt
工作后的实际效果如下:
4.小心打开来历不明的网址和邮件,打开Office文本文档时禁用宏打开。互联网图像劫持和钓鱼邮件一直是勒索病毒在全球传播的主要方式。
勒索病毒隐藏在钓鱼邮件文本文档中,诱导客户打开宏 *** 作病原体。
5.养成备份数据的好习惯,马上用百度云盘或者移动硬盘备份我的秘密文件。
在这次勒索蠕虫的恶性爆发中,国内多所高校和公司遭到攻击,多项重要关键资料被病原体数据加密勒索,期待众多客户增强安全防范意识,防范关键文件备份。
2017-05-14升级:金山毒霸宣布推出比特币勒索病毒免疫专用工具:免费文档恢复。
针对洋葱和WNCRY两个勒索病毒变种在全国范围内的爆发,金山毒霸安全管理中心已经公布了比特币勒索病毒免疫的专用工具和应急管理方案。
据了解,勒索病毒变种改进了NSA黑客工具包中对“比特币病毒”0day漏洞的检测,该漏洞可以以蠕虫状的方式在局域网中主动传播。没有修复系统漏洞的系统软件会被迅速感染,敲诈勒索的巨额BTC保释金会折算成人民币2000~50000元。
现阶段已确认被感染电脑集中在政府机构、政府部门、高校等内网自然环境中。毒安全权威专家强调,病原体数据加密用户文档后会删除源文件,因此有一定几率修复部分或全部被删除的源文件。提出电脑中了病毒后,尽量避免实际 *** 作,立即应用专门的工具进行技术专业的数据修复,修复的概率很大。
金山毒霸11免费下载(强烈推荐!停止勒索病原体):戳这个
专杀免疫系统工具:戳这里直接下载。
详细示例教程:
检查现在的电脑上是否有免疫系统比特币勒索病毒入侵。
成功免疫系统的实际效果如下所示。
我们知道,在没有获得密钥的情况下,不可能破译这些已经被数据加密的数据库文件的基础。但在掌握了病原体数据加密的基本原理后,发现还是有一定几率找到初始文件的:病原体数据加密源文件时,源文件会被删除,如果文件夹被简单删除的电脑硬盘不进行多次加载 *** 作,是有可能成功修复的。
应用金山毒霸数据修复查找受损前的文本文档
请使用完全免费的账号ksda679795862和登录密码金山词霸开启金山词霸的数据修复功能。
1.选择并删除要修复的文件夹。
2.选择扫描仪目标:选择文件在页面中丢失之前所属的硬盘或文件夹的名称,然后单击“启动扫描仪”。
3.扫描仪全流程:文档越多,扫描时间越长。请耐心等待。(一般扫描仪速度是2分钟3G)
4.扫描仪扫描完毕后扫描结果:点击文档浏览,能浏览到的是还有机会成功修复。必须启用数据恢复(文件夹),通过单击第一次修复可以恢复数据。
5.选择修复路径:修复的文档将存储在您选择的文件夹名称路径中,并选择要修复的文件夹名称。(强烈要求待修复的文件存放在另一个电脑硬盘,而不是文件已经丢失的电脑硬盘,防止二次损坏。)
6.查询修复结果:修复后的文件夹名称将存储在您选择的文件夹名称通道中。打开文件目录以检查修复的文档。
必须注意以下情况:
1.扫描仪发出来的照片和office文本文档,如果显示的信息无法浏览,是无法修复的。(无法浏览office文本文档,说明文本文档部分损坏)
2.浏览文件属性不兼容,修复后才能知道一切能否正常应用。
3.通过使用误删文档功能,扫描仪完成后,每个文档都会显示修复概率的信息,高修复概率导致高修复通过率。
4.视频文件格式非常容易造成碎片和数据信息覆盖,所以完全还原视频文件格式的可能性不大。
5.计算机硬盘或其他移动存储设备被物理损坏,修复后的文件可能是损坏的文件。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)