勒索病毒攻擊原理是什麽|比特幣勒索病毒原理介紹
壹、5.12勒索病毒原理
WannaCry勒索病毒由不法分子利用NSA(NationalSecurityAgency,美國國家安全局)泄露的危險漏洞“EternalBlue”(永恒之藍)進行傳播,勒索病毒主要攻擊沒有更新到最新版本的windows系統設備,比如xp、vista、win7、win8等。
該惡意軟件會掃描電腦上的TCP445端口(ServerMessageBlock/SMB),以類似於蠕蟲病毒的方式傳播,攻擊主機並加密主機上存儲的文件,然後要求以比特幣的形式支付贖金。勒索金額為300至600美元。
當用戶主機系統被該勒索軟件入侵後,彈出勒索對話框,提示勒索目的並向用戶索要比特幣。而對於用戶主機上的重要文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,都被加密的文件後綴名被統壹修改為“.WNCRY”。目前,安全業界暫未能有效破除該勒索軟的惡意加密行為,用戶主機壹旦被勒索軟件滲透,只能通過重裝操作系統的方式來解除勒索行為,但用戶重要數據文件不能直接恢復。
WannaCry主要利用了微軟“視窗”系統的漏洞,以獲得自動傳播的能力,能夠在數小時內感染壹個系統內的全部電腦。勒索病毒被漏洞遠程執行後,會從資源文件夾下釋放壹個壓縮包,此壓縮包會在內存中通過密碼:WNcry@2ol7解密並釋放文件。這些文件包含了後續彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字體,還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄,並設置為隱藏。(註釋:“永恒之藍”是NSA泄露的漏洞利用工具的名稱,並不是該病毒的名稱。永恒之藍”是指NSA泄露的危險漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也通過“永恒之藍”這個漏洞傳播,因此給系統打補丁是必須的。)
2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導致電腦大量文件被加密。受害者電腦被黑客鎖定後,病毒會提示支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。
2017年5月13日晚間,由壹名英國研究員於無意間發現的WannaCry隱藏開關(KillSwitch)域名,意外的遏制了病毒的進壹步大規模擴散,研究人員分析此次Wannacrypt勒索軟件時,發現它並沒有對原文件進行這樣的“深度處理”,而是直接刪除。這看來算是壹個比較低級的“失策”,而360此次正是利用了勒索者的“失策”,實現了部分文件恢復。
2017年5月14日,監測發現,WannaCry勒索病毒出現了變種:WannaCry2.0,與之前版本的不同是,這個變種取消了KillSwitch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。請廣大網民盡快升級安裝Windows操作系統相關補丁,已感染病毒機器請立即斷網,避免進壹步傳播感染。
二、勒索病毒攻擊類型
常用的Office文件(擴展名為.ppt、.doc、.docx、.xlsx、.sxi)
並不常用,但是某些特定國家使用的office文件格式(.sxw、.odt、.hwp)
壓縮文檔和媒體文件(.zip、.rar、.tar、.mp4、.mkv)
電子郵件和郵件數據庫(.eml、.msg、.ost、.pst、.deb)
數據庫文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)
開發者使用的源代碼和項目文件(.php、.java、.cpp、.pas、.asm)
密匙和證書(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)
美術設計人員、藝術家和攝影師使用的文件(.vsd、.odg、.raw、.nef、.svg、.psd)
虛擬機文件(.vmx、.vmdk、.vdi)
三、勒索病毒應對方法
如何預防Windows勒索病毒?防止感染ONION、WNCRY勒索病毒補丁下載
開機怎麽防止被勒索病毒感染?360預防勒索病毒開機指南
Win7快速關閉135,137,138,139,445端口預防比特幣勒索病毒的方法
電腦感染勒索病毒後通過DiskGenius恢復數據的方法
沒有及時更新補丁的Windows設備極其容易遭受勒索病毒的攻擊,所以為了防止電腦中招,大家務必做好必要的更新和預防工作。