金山安全:不需要對勒索軟體WannaCry過分恐慌

2020-12-27 趣味科技

5月12日侵襲中國的「蠕蟲式」勒索軟體WanaCry(也稱作WannaCry或WanaCry0r 2.0),已致中國部分行業企業內網、教育網規模化感染。金山安全的專家說:已席捲全球99國的WanaCry,只是勒索者家族10多種惡意軟體中最新的變種之一。

金山大數據安全中心的專家指出,國內絕大多數廠商並未獲取WanaCry的樣本,更談不上樣本分析及安全防禦措施的形成。金山安全的專家在基於樣本的技術分析後指出:不需對WanaCry過於恐慌。在迅速安裝官方的漏洞補丁更新,並開啟金山的反病毒軟體的防禦加固等措施後,可規避機構及個人電腦免受感染。

一、WanaCry長啥樣?

此次爆發的勒索惡意軟體為名稱為WanaCry,此病毒名在樣本中已有提及。翻譯、截取並給與其他名稱的廠商,可證明其尚未獲得樣本,並且無法對該樣本進行深入分析,他們提及的防禦方案的針對性及有效性,更值得懷疑。

1、WanaCry的基本情況:

WanaCry也被稱為WanaCrypt0r 2.0,此病毒文件的大小3.3MB,金山安全將其定義為一種「蠕蟲式」勒索軟體。

WannaCry被認為是使用了ETERNALBLUE漏洞,ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB伺服器協議進行傳播,該漏洞並不是0Day漏洞, 補丁程序已於17年3月14日發布,但未打補丁的用戶有可能遭受此次攻擊。

2、中招WanaCry後的機器桌面:

病毒的文件名並不固定, 但中招後的機器桌面一般會出現如下情形:

勒索贖金的彈框:

告訴你交付贖金的方法:

然後你的桌面背景會變成這樣:

3、WanaCry的運行方式

3.1、病毒主要釋放的文件都是幹什麼的,並且如何運行的?

可以看出,作者把文件的分工分得很細, 尤其是msg這個文件夾, 裡面幾乎涵蓋了所有語言版本的勒索說明。其中涵蓋的語言版本不少於28種。

這是一份中文版的:

3.2、病毒的運行方式。

第一步:病毒運行後會生成啟動項:

病毒會加密的文件後綴名有:

這裡可以清晰的看到病毒的家族名。

而且病毒作者鍾愛VC6.0,各個模塊均為VC6.0開發。

第二步:遍歷磁碟:

第三步:遍歷文件後實施加密:

其他說明:

1):病毒還嘗試並創建服務達到自啟動:

2):除此之外, 病毒通過動態加載加密API方式阻礙逆向分析取證:

在此之後,具體的加密行為流程與傳統勒索已經並無區別了,就不再描述了。

4、WanaCry的危害性

感染WanaCry後,用戶的終端與受到大多數的勒索軟體侵蝕後一樣,會將各類型數據、文檔文件加密,被加密的文件後綴名會改成.WNCRY,並索要贖金。

二、針對WanaCry的防禦措施:

1、任何終端電腦使用者,均不要輕易打開不信任的連結、郵件、QQ附件等。

2、通過金山V8+終端防禦系統的補丁修復功能,全網修復KB4012598。

3、所有已採購並安裝金山安全的V8+終端安全防護系統(病毒庫版本2017.05.1209)的用戶,同時請開啟安全加固模塊。此加固模塊已內置了基於HIPS的勒索者主動防禦機制,能有效對抗各類已知和未知勒索軟體(已申請專利)。開啟此安全加固模塊後,所有用戶的終端均可免於WanaCry這一勒索者病毒的侵襲,免於中招。

開啟後的查殺、防禦效果分別是:

金山安全的專家指出,勒索者軟體家族及其變種的數量眾多,形態各異。截止目前,金山安全相關產品可防禦下列勒索者軟體的侵襲。名單:

勒索者軟體家族及變種

1、CTB-Locker,發現最早

2、Cerber

3、Crysis

4、CryptoLocker

5、CryptoWall

6、Jigsaw

7、KeRanger

8、LeChiffre

9、Locky, 最近的大規模爆發

10、TeslaCrypt,版本迭代快

11、TorrentLocker

12、ZCryptor

13、WanaCry

金山安全的專家指出:針對WanaCry並不需要過分恐慌,有好的產品就能有強的防禦。在WanaCry侵襲中國用戶時,我們願意站在用戶身邊,時刻保障安全!

相關焦點

  • 一份安全報告顯示WannaCry是2019年頂級勒索軟體
    Precise Security公布的一份新報告顯示,WannaCry在去年勒索軟體感染排行榜當中位居第一。 Precise Security稱,超過23.5%的設備最終被勒索軟體鎖定,其中垃圾郵件和網絡釣魚郵件仍然是去年最常見的感染源。
  • WannaCry爆發三周年,回顧勒索病毒帶給我們的恐懼
    時過3年,回顧當時wannacry所造成的影響依舊是令人震驚的,這一次的事件讓很多人聞「勒索病毒」色變,也真正讓許多企業和機構正視網絡安全的重要性。各種新型勒索病毒迅速發展,其攻擊手段也在不斷更新迭代,過去傳統而單一的方式已經逐步被拋棄,如今的勒索病毒有著技術更成熟,攻擊目標更精準,產業分工更具體的特性。還不止如此,在進步的不只有安全廠商的防禦策略,黑客們同樣在進步,這是一場不會停下來的戰鬥。
  • 思科Talos深度解析「WannaCry"勒索軟體
    發起這一攻擊的惡意軟體是一種名為「WannaCry」的勒索軟體變種。該惡意軟體會掃描電腦上的TCP 445埠(Server Message Block/SMB),以類似於蠕蟲病毒的方式傳播,攻擊主機並加密主機上存儲的文件,然後要求以比特幣的形式支付贖金。
  • WannaCry 勒索軟體背後的開發者可能是中國人?
    在病毒獲得大家關注的同時, 病毒的來源也引發了大家的猜測,病毒爆發後,Google、卡巴斯基和賽門鐵克等公司安全研究者相繼發布消息稱,WannaCry勒索蠕蟲與朝鮮黑客組織Lazarus存在聯繫,他們的分析基於惡意軟體代碼中的相似性。不過也有人認為,這場攻擊並不符合朝鮮的作風,也不符合朝鮮利益。
  • wannacry病毒是紙老虎,沒什麼技術含量,殺毒公司pr有點多了
    找到不是問題,問題是,一次入侵後就可以實現全面的掌控,比如你在國內安裝一個軟體,往往安裝的都是全家桶,你隨便點擊一個「確定」,一堆軟體就到桌面上了,任何軟體都有能力操控底層代碼,這是由於過分開放導致的必然結果。  智慧型手機的權限就比較嚴格。
  • 360發布《2017勒索軟體威脅形勢分析報告》WannaCry成年度毒王
    為進一步深入研究勒索軟體的攻擊特點和技術手段,幫助個人電腦用戶和廣大政企機構做好網絡安全防範措施,近日360網際網路安全中心發布了《2017勒索軟體威脅形勢分析報告》,對2017年勒索軟體攻擊形勢展開了全面的研究,分別從攻擊規模、攻擊特點、受害者特徵、典型案例、趨勢預測等幾個方面進行深入分析。
  • 勒索病毒「想哭」席捲下,你的電腦還安全嗎?
    時間:2017年5月12日 方式:自我複製、主動傳播、加密文件 經過分析,這是一起勒索軟體與高危漏洞相結合的惡性蠕蟲傳播事件,其嚴重性不亞於當年的「衝擊波」病毒。 勒索軟體為最新的「wannacry」的家族,目前尚無法對加密後的文件進行解密,中招後只能重裝系統或向黑客支付贖金解決。
  • Precise Security:2019年勒索軟體感染排行榜 WannaCry依然排名榜首
    Precise Security公布的一份新報告顯示,WannaCry在去年勒索軟體感染排行榜當中位居第一。Precise Security稱,超過23.5%的設備最終被勒索軟體鎖定,其中垃圾郵件和網絡釣魚郵件仍然是去年最常見的感染源。
  • 國內著名安全機構:揭開勒索軟體的真面目!
    藉助可移動存儲介質傳播1.3 主要表現形式一旦用戶受到勒索軟體的感染,通常會有如下表現形式,包括:1. 鎖定計算機或移動終端屏幕2. 借殺毒軟體之名,假稱在用戶系統發現了安全威脅,令用戶感到恐慌,從而購買所謂的"殺毒軟體"3. 計算機屏幕彈出類似下圖的提示消息,稱用戶文件被加密,要求支付贖金
  • 玩家惡搞 我的世界版WannaCry病毒圖片
    今天為大家帶來我的世界惡搞圖片,關於最近爆炸性發作的軟體病毒wannacry和Minecraft有能有怎樣的火花呢? WannaCry(想哭,又叫Wanna Decryptor),一種「蠕蟲式」的勒索病毒軟體,大小3.3MB,由不法分子利用NSA洩露的危險漏洞「EternalBlue」(永恆之藍)進行傳播。最近,該病毒進行了一場爆發,現已對高校的教育網、校園網已經造成了影響,致使許多實驗室數據和畢業設計被鎖。
  • 連載|網絡法典型案例評析——WannaCry勒索病毒事件
    對100家單位的調查表明,過半單位在近一年內未對系統進行全面風險評估及定期補丁更新,部分行業單位的業務部門與安全部門溝通不夠順暢,網絡安全管理措施落實不到位,安全工作有盲區,為大規模網絡安全事件的爆發提供了可乘之機。
  • 妻子遭黑客勒索卻安然無恙,當事人親述如何防止勒索軟體
    而在今年的RSA安全大會上,主辦方第一次用一整天的時間舉行了關于勒索軟體的研討會。會議詳細討論了哪種人最容易被攻擊,以及勒索的具體金額等,更重要的是,還探討了如何阻止、刪除勒索軟體,甚至如何與幕後黑手進行談判。
  • 勒索病毒WannaCry到底是什麼?
    這類病毒被稱為勒索病毒。WannaCry病毒及其變種,如Wana-Crypt和Wanna Decryptor的攻擊對象是使用微軟Windows作業系統的電腦。   How does it infect computers?   問:病毒如何感染電腦?   By e-mail.
  • 全球遭受新一輪勒索病毒攻擊 新勒索病毒在中國沒有蔓延土壤
    網絡安全專家、中國工程院院士沈昌祥表示,勒索病毒的頻繁爆發,暴露出現有安全防護軟體的兩個問題:一是重點關注第三方應用對於作業系統核心服務完全信任問題,導致這次作業系統服務被攻破後,攻擊者如入無人之境,產生「燈下黑」。二是傳統安全軟體和服務的工作邏輯是「找壞人」,需要先收集到病毒樣本、提取樣本特徵、將特徵加入病毒庫之後才能實現對病毒的查殺。
  • 繼WannaCry之後 WannaRen病毒也來勒索比特幣了
    但WannaRen也存在改變進攻方式的可能,已知在國內網站的開源編輯器 Notepad++下載連結中發現了WannaRen相關代碼,並且WannaRen病毒目前只有中文版本,需要注意國內潛在的二次爆發可能。勒索病毒偏愛比特幣?
  • 勒索軟體 「Locky」深度分析
    幾乎同時,金山安全接到多個企業報警顯示Locky已在其內網蔓延,並影響到生產環節,事態進一步升級。金山安全反病毒實驗室採集到Locky樣本,分析發現勒索提示可以顯示中文,可見此次勒索事件與以往「國外中招,中國躺槍」不同,犯罪集團的矛頭開始指向中國用戶。
  • 騰訊反病毒實驗室:揭秘WannaCry勒索病毒的前世今生
    在病毒爆發的96小時內,騰訊安全團隊吹響了抗擊勒索病毒的先鋒號,並且現在對病毒變種也提供了完善的處理方案。實際上,WannaCry勒索病毒的實際破壞性也不像部分廠商描述的那樣可怕。馬勁松表示,騰訊安全反病毒實驗室也在跟進研究,同時呼籲行業在捕獲確切證據之前,不要過度渲染新病毒變種的危害,以免給用戶造成不必要的恐慌。
  • 勒索軟體攻擊創新高,郵件安全需警惕
    近日,國內第三方平臺發布數據顯示,2020年三大最具破壞性的網絡安全威脅:勒索軟體、針對性釣魚攻擊及BEC商務郵件攻擊,都與郵件安全有關。而排名第一的勒索軟體更是在今年達到了新高,幾款流行的勒索軟體已經攻陷了全球眾多知名企業。
  • WannaCry勒索病毒的啟示 與其亡羊補牢不如未雨綢繆
    對此,IBM大中華區企業信息安全事業部總經理Vincent Chen認為,之所以稱其為「勒索經濟」的開始,是因為這次WannaCry的爆發與以往的勒索病毒的爆發,在傳播形式、實施成本、兌現方式等許多方面存在很大的不同。首先,在過去沒有比特幣的時候,勒索軟體作為一種勒索經濟形式,在投入上具有很高的風險成本,因此傳播範圍較為有限。
  • 專題|勒索軟體簡史
    勒索軟體已經成為當今網絡安全的主流威脅之一。如果說前幾年我們對勒索軟體這一名詞還略感陌生,那麼現在則不得不重新對其進行認識與審視。從最初的偽裝反病毒軟體到勒索比特幣,再到開始感染不同平臺,不斷進行開發與更新,如今勒索軟體已然呈爆發性增長,成為不可小覷的威脅。因此,我們必須要重視這一威脅,並提早部署有效的防禦措施,安天等很多網絡安全廠商也都在其安全防護產品中添加了針對勒索軟體的防護模塊。本文我們將回顧以往關于勒索軟體的內容,並結合2016年至今勒索軟體發生的新變化,更加系統和深入地帶領讀者認識勒索軟體。