NSA「永恆之藍」勒索蟎蟲爆發,這裡或許可以幫到你!

2021-02-23 培正夢飛翔

【事件回顧】

5月12日晚8點左右,全國各地的高校學生紛紛反映,自己的電腦遭到病毒的攻擊,文檔被加密,壁紙遭到篡改,並且在桌面上出現窗口,強制學生支付等價300美元的比特幣到攻擊者帳戶上。事實上,不只是國內各地的高校,全球各地的大量組織機構都遭受了攻擊。包括各大醫院,政府機構,受害者電腦會被黑客鎖定,並進行勒索。針對這一現象的發生,PC服務隊鄭重提醒各位培正學子,做好重要文件的備份工作(移動硬碟/u盤/雲盤),特別是應屆畢業生,論文一定要備份好.

這次事件是不法分子通過改造之前洩露的 NSA 黑客武器庫中「永恆之藍」攻擊程序發起的網絡攻擊事件。

這次的「永恆之藍」勒索蠕蟲,是 NSA 網絡軍火民用化的全球第一例。一個月前,第四批 NSA 相關網絡攻擊工具及文檔被 Shadow Brokers 組織公布,包含了涉及多個 Windows 系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中就包括「永恆之藍」攻擊程序。

惡意代碼會掃描開放 445 文件共享埠的 Windows 機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

目前,「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁碟文件會被篡改為相應的後綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復。這兩類勒索病毒,勒索金額分別是5個比特幣和300美元,折合人民幣分別為 5 萬多元和 2000 多元。

安全專家還發現,ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播,形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」,專門選擇高性能伺服器挖礦牟利,對普通電腦則會加密文件敲詐錢財,最大化地壓榨受害機器的經濟價值。

Q:什麼是Wanna Decryptor?


A: Wanna Decryptor是一種基於加密的勒索軟體,也被稱為WCRY,主要針對Windows Vista,Windows 7和Windows 8的Windows版本,它會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入執行勒索程序、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

軟體利用美國國家安全局黑客武器庫洩露的「永恆之藍」發起病毒攻擊。事實上,微軟已經在三月份發布相關漏洞(MS17-010)修復補丁,但很多用戶都沒有及時修復更新,因而遭到此次攻擊。Win7以下的Windows XP/2003目前沒有補丁,只要開啟SMB服務就受影響。一旦電腦感染了Wannacry病毒,受害者要高達300美元比特幣的勒索金才可解鎖。否則,電腦就無法使用,且文件會被一直封鎖加密。

Q:如果我的感染了ONION和WNCRY,我該怎麼辦?


A:如果你是想恢復你的電腦,這個並不難,全盤格式化後重裝系統就好。

如果你是想通過破解來恢復你被加密的文件,我只能很遺憾地告訴你,這不可能。


勒索軟體將受感染電腦裡的文件使用AES-128算法加密(不排除後續變種使用AES-256算法), AES和RSA加密方法在理論上是無法破解的,,這意味著只能使用相應的唯一密鑰來解密系統文件,除非使用窮盡法。使用窮盡法破解密鑰長度在128位以上的加密數據是不現實的,僅存在理論上的可能性。統計顯示,即使使用目前世界上運算速度最快的計算機,窮盡128位密鑰也要花上幾十億年的時間,更不用說去破解採用256位密鑰長度的AES算法了。

Q:那我是否應該支付勒索的金額以找回被加密的文件?


A:事實上,即使你支付了勒索的金額也未必能找回被加密的文件,因為攻擊者也不一定知道是哪臺電腦支付了贖金.如果病毒被逆向工程破解,為病毒留下的域名/ip對攻擊者而言無疑是滅頂之災。

如果中招了,也暫時不要絕望,這次事件引起的業內關注是空前的,不僅微軟破例為已經停止服務的XP和2003發布了補丁,而且國家、政府、各個信息安全公司和從業人員也都盯著這件事,這種情況下,受害者並不需要絕望,歷史上出現過幾次最終勒索者伺服器被攻破,部分用戶的加密數據最終被解密的先例,那麼這次也有這個可能(或者說我們可以這麼希望)。

在清空硬碟重裝系統之前,把被加密勒索的數據備份下來,等待進一步的結果也是一個必要的措施,這樣一旦勒索者被抓捕或者相關伺服器/加密算法被破解,就有可能恢復數據。


Q:我該怎麼防範「永恆之藍」攻擊程序發起的網絡攻擊?


A:1,關閉445及其他危險埠.為方便培正學子,PC服務隊已集合成工具以供同學們下載:

(http://pan.baidu.com/wap/init?shareid=278956221&uk=3944083501 密碼:eurx)

下載工具後,右鍵 –「以管理員身份運行」

彈出以下畫面,則運行成功。

2, 安裝微軟補丁MS17-010 :

https://technet.microsoft.com/zh-cn/library/security/MS17-010。


3, 安裝正版windows作業系統,Office 軟體,並且開啟自動更新。


4, 不下載、不運行未知來源的軟體,不點開不明連結,要有網絡安全防範意識。


5, 做好重要文件的備份工作(移動硬碟/u盤/雲盤),特別是應屆畢業生,論文一定要備份好.

儘管阻止埠不失去為一個好方法,但也別忘了最重要的事:打上安全更新補丁!

微軟官方的WIN7補丁下載地址:

32位:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu

64位:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu

另外WIN8.1補丁地址如下:

32位:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x86_d4facfdaf4b1791efbc3612fe299e41515569443.msu

64位:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu

使用WIN7和WIN8.1的用戶如果沒有通過Windows更新打上補丁KB4012215(WIN8.1是KB4012216)的話,請務必記得手動更新上述補丁。

而WIN10隻要沒有關閉自動更新,或者更新受阻,通常已經更新了補丁,不過保險起見還是檢查一下有沒有打上相應的安全補丁。

如果你不知道你自己電腦上的Windows 10的版本號,你可以通過Win+R,打開運行窗口,輸入「winver」,在彈出的窗口中就可以看到系統版本號了。

(如圖為1024版本)

WIN10 64位 1507:KB4012606

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

WIN10 64位 1511:KB4013198

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

WIN10 64位 1607:KB4013429

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

免疫工具的原理是通過防火牆對埠進行過濾,如果擔心防火牆被繞過或者不想開啟防火牆的話,也可以用這個哦☞☞☞組策略版(http://t.cn/RaCsEgc 密碼:b57c)同理 右鍵以管理員身份運行就好了。

PC出品,必屬精品

微信編輯 | 拓展部關銘霖

相關焦點

  • NSA 「永恆之藍」 勒索蠕蟲全球爆發,已波及 99 個國家 |...
    警告!NSA 「永恆之藍」 勒索蠕蟲全球爆發,已波及 99 個國家據 BBC 等媒體報導,全球多國爆發電腦勒索病毒,受害者電腦會被黑客鎖定,提示支付價值相當於 300 美元(約合人民幣 2069 元)的比特幣才可解鎖。目前已經波及 99 個國家。
  • 永恆之藍是什麼?永恆之藍比特幣勒索病毒傳播途徑特點介紹
    永恆之藍是什麼?永恆之藍勒索病毒特點介紹。勒索病毒是最近廣泛爆發的病毒程序,給多國造成嚴重損失,很多網友都不知道永恆之藍是什麼,與勒索病毒有什麼聯繫?隨著小編一起來看看吧。  永恆之藍是什麼?
  • 騰訊電腦管家推勒索免疫工具應對「永恆之藍」勒索病毒
    騰訊電腦管家推勒索免疫工具應對「永恆之藍」勒索病毒 5 月 12 日,英國、義大利、俄羅斯等全球多個國家爆發勒索病毒攻擊,中國的校園網也未能倖免,部分高校電腦被感染,有學生畢業論文被病毒加密
  • 勒索病毒再添新成員alanwalker 利用「永恆之藍」傳播
    圖1 alanwalker勒索病毒勒索信息可加密超420種文件 利用「永恆之藍」蔓延區域網據監測統計,alanwalker勒索病毒可加密文件類型較多,目前已加密超過420種文件類型,主要為在Windows伺服器中較為重要的資料庫文件、壓縮包、文檔和可執行文件等。
  • 國內爆發新型勒索病毒,廣西多所高校已中招!
    ▲圖片來源網絡據悉,從12日晚8時開始,桂林理工大學、廣西藝術學院相思湖校區以及廣西區外多個院校的學生電腦集中爆發被攻擊的現象!據網絡安全機構分析,此次攻擊是不法分子通過美國國家安全局(NSA)旗下的「方程式黑客組織」洩露的「永恆之藍」黑客工具發起的病毒攻擊事件。
  • 撒旦(Satan)勒索病毒再升級 僅修復「永恆之藍」漏洞已不能防禦
    2個月前,騰訊企業安全曾預警撒旦(Satan)勒索病毒利用「永恆之藍」漏洞襲擊企業伺服器資料庫。在被安全軟體封殺後,撒旦(Satan)勒索病毒賊心不改再次升級,新增4種以上新漏洞攻擊模塊,感染擴散能力更強,對企業資料庫文件安全造成嚴重威脅。
  • 勒索病毒WannaCry「想哭」再現2.0版 手機電腦都跑不了
    《通知》指出,有關部門監測發現,在全球範圍內爆發的WannaCry勒索病毒出現了變種,暫命名為「WannaCry 2.0」。  與之前版本不同,這個變種取消了Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,因此傳播速度可能會更快。  提醒廣大網民儘快升級安裝Windows系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染。
  • 【緊急】800萬大學生畢業或受影響 勒索病毒正在全球爆發
    從5月12日開始,勒索病毒在全球範圍內爆發。這裡先說重點:每一個用戶都不能大意,否則電腦裡的資料將有可能徹底消失。不管三七二十一,先把電腦保護起來。每個人先做兩件事:第一:確認自己是否中毒。確認方法:先拔網線再開機,確認360安全衛士運轉正常,office正常之後,再插網線。如果360正常、office正常,說明還沒有中毒。
  • 勒索病毒來了咋辦?別怕,開電腦前先熟讀這份攻略
    北京時間5月12日開始,全球範圍內爆發了基於Windows網絡共享協議進行攻擊傳播的「永恆之藍」勒索病毒,目前已有100多個國家和地區的數萬臺電腦遭勒索病毒感染,我國部分Windows系列作業系統用戶已經遭到感染
  • 白帽子黑客教你:如何判斷你的計算機是否存在永恆之藍漏洞?
    一、背景介紹永恆之藍是指2017年4月14日晚,黑客團體Shadow Brokers(影子經紀人)公布一大批網絡攻擊工具,其中包含「永恆之藍」工具,「永恆之藍」利用Windows系統的SMB漏洞可以獲取系統最高權限。
  • 緊急通知:全國高校爆發勒索病毒,請師生及時更新系統,備份重要文件!
    ONION勒索軟體(永恆之藍)病毒是近些年出現的一種病毒:RansomWare(勒索病毒)病毒對通過網頁、郵件、甚至手機侵入。目前ONION病毒開始針對高校進行瘋狂攻擊,遭到攻擊的電腦子盤文件會被病毒加密位.onion後綴文件,只有支付高額的贖金才能解密恢復文件。
  • 這幾天一種最新勒索病毒全球爆發攻擊,中國校園網被大面積感染...
    時間在5月13日左右吧,英國、義大利、俄羅斯等全球多個國家爆發勒索病毒「永恆之藍」攻擊,中國大批高校也出現感染情況,很多老師和學生的電腦文件被病毒給加密無法打開,只有支付贖金才能恢復。目前根據國家網絡安全部門通知,不法分子使用NSA洩漏的黑客武器攻擊Windows漏洞,把ONION、WNCRY等勒索病毒在校園網快速傳播感染,建議電腦用戶儘快使用「NSA武器庫免疫工具」進行防禦。
  • 全球遭受新一輪勒索病毒攻擊 新勒索病毒在中國沒有蔓延土壤
    「永恆之藍」的威脅風波還未完全過去,一種新的勒索蠕蟲病毒攻擊再次席捲全球。勒索病毒造成了怎樣的影響?中國用戶是否會遭受大規模攻擊?如何防範勒索病毒?這已經成為了網際網路時代地球村居民最關心的問題。「永恆之藍」的威脅風波還未完全過去,一種新的勒索蠕蟲病毒攻擊再次席捲全球。6月27日,多國政府、銀行、電力系統、通訊系統受到攻擊,甚至包括我國部分跨境企業的歐洲分部。
  • WannaRen病毒大規模傳播,疑似永恆之藍變種
    目前,「WannaRen」病毒存在兩個變體,一個通過文字,另一個通過圖片發送勒索信息。這次勒索比特幣用的錢包地址與2017年相同,基本可以確定這是同一人所為。據了解,2017年的「WannaCry」病毒使至少150個國家,30萬臺電腦中招,造成經濟損失達80億美元,影響到了金融、能源、醫療等眾多行業,給社會和民生安全造成了嚴重的危機。電腦感染病毒後,文件將被加密,要求贖金為0.05比特幣(約2500元人民幣)。
  • 模仿WannaCry新勒索病毒WannaRen爆發 多家機構發布解密工具
    近日,一款新型勒索病毒WannaRen意外爆發。該勒索病毒可以加密Windows系統中幾乎所有類型文件,想要恢復文件則需支付0.05個比特幣(約2580人民幣)的贖金。據安全機構分析,WannaRen與2017年全球爆發的WannaCry病毒類似,兩者不僅都是藉助「永恆之藍」漏洞擴散,入侵電腦後顯示的勒索信息,界面布局及文件信息也都神似Wannacry。如病毒入侵電腦後,都會彈出勒索對話框,並向用戶索要比特幣。
  • WannaCry爆發兩周年,會有下一個「網紅級勒索病毒」出現嗎?
    2017年5月12日,全球爆發的勒索病毒WannaCry藉助高危漏洞「永恆之藍」在世界範圍內爆發。據報導包括美國、英國、中國、俄羅斯、西班牙等全球至少150個國家、30萬名用戶中招,金融、能源、醫療等眾多行業受到波及,造成損失達80億美元。
  • 網絡安全工程師教你Kali Linux:如何防禦計算機永恆之藍勒索病毒?
    防禦方式: 一、關閉文件共享 1.1 首先我們接著永恆之藍攻擊篇,測試是否能夠連接目標電腦。 1.3 我們再次打開kali再次使用永恆之藍漏洞進行攻擊嘗試。
  • WannaCry勒索病毒的啟示 與其亡羊補牢不如未雨綢繆
    對於安全廠商而言,這次大規模勒索病毒網絡攻擊事件也成為一場「大考」。在我看來,這並不是第一次全球範圍爆發類似的勒索病毒。但是,此次WannaCrypt病毒已經不再是單純的「炫技」,而是直接威脅到了每個人的數據財產、數據權利,乃至威脅到了社會經濟和國家安全。從這個角度來看,面對新時代、新環境下的安全挑戰,與其在問題集中爆發後進行亡羊補牢,肯定不如現在未雨綢繆的好。
  • 勒索病毒「想哭」全面爆發,360安全衛士首當其衝突顯企業擔當
    這個勒索病毒有個非常浪漫的名字,叫做WannaCrypt(永恆之藍),也被稱為「想哭」,然而就是這樣一個勒索病毒影響遍布全球近百個國家,包括英國醫療系統、快遞公司FedEx、俄羅斯電信公司Megafon都成為這起事故的受害者
  • 全球爆發電腦勒索病毒 醫院、高校皆中招!使用Windows系統的用戶要小心了
    根據網絡安全機構通報,這是不法分子利用NSA黑客武器庫洩漏的「永恆之藍」發起的病毒攻擊事件。病毒源頭:美國網絡武器庫洩漏據了解,這種勒索軟體是不法分子利用了美國國家安全局網絡武器庫中洩漏出的黑客工具。「勒索」軟體利用的是微軟作業系統的一個漏洞,而這個漏洞最早是美國國家安全局(NSA)發現的,美國國安局將其命名為「永恆之藍」(EternalBlue)。