最近幾天很多人遭受了名為WannaCry(想哭,又叫Wanna Decryptor)勒索病毒的攻擊��,一種“蠕蟲式”的勒索病毒軟件���,該病毒會鎖定并加密電腦各種文件,用戶打開會彈出索要比特幣的彈窗�,勒索金額300-600美元����,部分用戶支付贖金后也沒有解密���,搞得人心惶惶�,而且勒索病毒又出現(xiàn)了變種升級版本���,那么勒索病毒攻擊原理是什么呢�����?這邊系統(tǒng)城小編跟大家介紹比特幣病毒原理��。
一����、5.12勒索病毒原理
WannaCry勒索病毒由不法分子利用NSA(National Security Agency��,美國國家安全局)泄露的危險漏洞“EternalBlue”(永恒之藍(lán))進(jìn)行傳播�����,勒索病毒主要攻擊沒有更新到最新版本的windows系統(tǒng)設(shè)備,比如xp��、vista���、win7����、win8等�����。
該惡意軟件會掃描電腦上的TCP 445端口(Server Message Block/SMB)��,以類似于蠕蟲病毒的方式傳播��,攻擊主機(jī)并加密主機(jī)上存儲的文件���,然后要求以比特幣的形式支付贖金�����。勒索金額為300至600美元����。
當(dāng)用戶主機(jī)系統(tǒng)被該勒索軟件入侵后�����,彈出勒索對話框�����,提示勒索目的并向用戶索要比特幣���。而對于用戶主機(jī)上的重要文件����,如:照片���、圖片�����、文檔�����、壓縮包�、音頻、視頻��、可執(zhí)行程序等幾乎所有類型的文件����,都被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。目前��,安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為��,用戶主機(jī)一旦被勒索軟件滲透�����,只能通過重裝操作系統(tǒng)的方式來解除勒索行為���,但用戶重要數(shù)據(jù)文件不能直接恢復(fù)��。
WannaCry主要利用了微軟“視窗”系統(tǒng)的漏洞�,以獲得自動傳播的能力���,能夠在數(shù)小時內(nèi)感染一個系統(tǒng)內(nèi)的全部電腦�。勒索病毒被漏洞遠(yuǎn)程執(zhí)行后���,會從資源文件夾下釋放一個壓縮包����,此壓縮包會在內(nèi)存中通過密碼:WNcry@2ol7解密并釋放文件���。這些文件包含了后續(xù)彈出勒索框的exe�����,桌面背景圖片的bmp����,包含各國語言的勒索字體���,還有輔助攻擊的兩個exe文件����。這些文件會釋放到了本地目錄�,并設(shè)置為隱藏。(注釋:“永恒之藍(lán)”是NSA泄露的漏洞利用工具的名稱�����,并不是該病毒的名稱。永恒之藍(lán)”是指NSA泄露的危險漏洞“EternalBlue”�����,此次的勒索病毒W(wǎng)annaCry是利用該漏洞進(jìn)行傳播的��,當(dāng)然還可能有其他病毒也通過“永恒之藍(lán)”這個漏洞傳播���,因此給系統(tǒng)打補(bǔ)丁是必須的���。)
2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā)���,感染了大量的計算機(jī)���,該蠕蟲感染計算機(jī)后會向計算機(jī)中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密��。受害者電腦被黑客鎖定后�,病毒會提示支付價值相當(dāng)于300美元(約合人民幣2069元)的比特幣才可解鎖。
2017年5月13日晚間����,由一名英國研究員于無意間發(fā)現(xiàn)的WannaCry隱藏開關(guān)(Kill Switch)域名�,意外的遏制了病毒的進(jìn)一步大規(guī)模擴(kuò)散�,研究人員分析此次Wannacrypt勒索軟件時,發(fā)現(xiàn)它并沒有對原文件進(jìn)行這樣的 “深度處理”�,而是直接刪除。這看來算是一個比較低級的 “失策”����,而360此次正是利用了勒索者的 “失策”�,實現(xiàn)了部分文件恢復(fù)。
2017年5月14日����,監(jiān)測發(fā)現(xiàn),WannaCry 勒索病毒出現(xiàn)了變種:WannaCry 2.0����, 與之前版本的不同是,這個變種取消了Kill Switch�,不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播,該變種傳播速度可能會更快���。請廣大網(wǎng)民盡快升級安裝Windows操作系統(tǒng)相關(guān)補(bǔ)丁����,已感染病毒機(jī)器請立即斷網(wǎng),避免進(jìn)一步傳播感染��。
二��、勒索病毒攻擊類型
常用的Office文件(擴(kuò)展名為.ppt�、.doc、.docx�����、.xlsx��、.sxi)
并不常用���,但是某些特定國家使用的office文件格式(.sxw����、.odt��、.hwp)
壓縮文檔和媒體文件(.zip�、.rar、.tar��、.mp4���、.mkv)
電子郵件和郵件數(shù)據(jù)庫(.eml�、.msg、.ost�、.pst、.deb)
數(shù)據(jù)庫文件(.sql����、.accdb、.mdb�、.dbf、.odb���、.myd)
開發(fā)者使用的源代碼和項目文件(.php、.java����、.cpp、.pas��、.asm)
密匙和證書(.key����、.pfx、.pem���、.p12��、.csr�����、.gpg�����、.aes)
美術(shù)設(shè)計人員��、藝術(shù)家和攝影師使用的文件(.vsd����、.odg、.raw�、.nef、.svg�����、.psd)
虛擬機(jī)文件(.vmx���、.vmdk����、.vdi)
三、勒索病毒應(yīng)對方法
如何預(yù)防Windows勒索病毒���?防止感染ONION�、WNCRY勒索病毒補(bǔ)丁下載
開機(jī)怎么防止被勒索病毒感染?360預(yù)防勒索病毒開機(jī)指南
Win7快速關(guān)閉135,137,138,139,445端口預(yù)防比特幣勒索病毒的方法
電腦感染勒索病毒后通過DiskGenius恢復(fù)數(shù)據(jù)的方法
沒有及時更新補(bǔ)丁的Windows設(shè)備極其容易遭受勒索病毒的攻擊���,所以為了防止電腦中招����,大家務(wù)必做好必要的更新和預(yù)防工作�����。
