我們找到了勒索病毒原代碼中最關鍵的部分 還查到了拯救世界的英雄照片和名字……

2021-02-14 TechWeb

WannaCry 1.0的勒索病毒被一個小夥子給無意中解救了..現在勒索病毒二代強勢來襲,相關部門也已經聯合發出通知和處置方法。鳥叔就給不知情的人講一下這位小夥如何一不小心拯救世界的過程。

剛爆發不久的病毒肆虐網絡時,一位二十二歲的國外安全研究人員Marcus Hutchins在病毒樣本中發現了一串看上去很長,像是滾鍵盤隨意打出來的域名:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  

英雄Marcus Hutchins的照片

此時他還不知道這是什麼,但當他發現這個域名沒有被註冊啟用,出於好奇,就花了十幾美金註冊這個域名。

然後他震驚了(UC部報導)—— 該域名出現了成千上萬的訪問量,而且訪問者來自全世界的各個PC埠……


域名訪問請求數據

隨著對病毒代碼的分析,越來越多的安全研究機構注意到這域名,他們發現這似乎是黑客設計的緊急制止開關。(這也解釋了為什麼訪問量這麼大)

根據威脅情報平臺微步在線提供的線索中來看到,勒索樣本啟動後會首先請求如下域名:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  

請求失敗後,才會執行加密;否則放棄加密直接退出,他們將該域名稱之為「開關域名」。 感染的機器如果能夠成功連通秘密開關域名,這樣就不會被加密 !


原代碼最關鍵部分

有媒體向專家求證,可能黑客他希望自己的病毒最後能夠得以控制,而不是一放出就任其傳播,最後無法收場。這相當於一個停止開關,註冊這個域名來實現控制,就能控制病毒的傳播。

但是勒索病毒的開發者始料未及,這個域名被安全人員發現,並搶先註冊了。如今打開這個域名,會出現這樣一段比較悶騷的話「你再厲害我比你更厲害」(英文單詞有限,但是語境一定是這樣):

事後,這位小哥在自己的社交媒體上表示:在我註冊這個域名之前,完全不知道他能停止這次病毒的傳播.這完全是一場美麗的意外...此時他的事跡已經被所有人知道,人們把他稱之為「意外英雄」(美國英雄主義,讓壞人更加恨英雄,鳥叔無話可說)。而他也自述道:「以後我的簡歷裡面可以加一條:一不小心就阻止了一場全球網絡攻擊」。Fidus的聯合創始人Andrew Mabbitt在Twitter上表示,哈欽斯是我認識的最聰明和有才華的人之一。


雖然只是碰巧制止,但是的確緩和一段時間,爭取了讓各大殺毒軟體公司發布防護補丁。

在最新統計數據顯示,勒索病毒自5月12日首次爆發至今,全球已經有超過20萬PC收到感染,而如今事情正在變得更糟。

研究人員在剛剛過去的這個周末已經發現,黑客偷偷對勒索病毒的代碼進行修改,許多病毒樣本的「自毀開關」被設計成ping到與已知域名不同的新域名,或乾脆取消「自毀開關」設置。(有網友猜測可能是因為研究人員發現舊域名阻止病毒傳播導致黑客覺得顏面無存過激做了這個改動)

安全人員表示,黑客的這種做法非常危險,恐怕打開電腦時就會發現自己也中招。

而與此同時早在14日時,北京市委網信辦、北京市公安局、北京市經信委聯合發出《關於WannaCry勒索蠕蟲出現變種及處置工作建議的通知》,有關部門也監測發現,WannaCry勒索蠕蟲出現變種:WannaCry 2.0,確定該變種的傳播速度可能會更快...

以下為《通知》全文:

各有關單位:

有關部門監測發現,WannaCry勒索蠕蟲出現了變種:WannaCry 2.0,與之前版本的不同是,這個變種取消了所謂的Kill Switch,不能通過註冊某個域名來關閉變種勒索蠕蟲的傳播。該變種的傳播速度可能會更快,該變種的有關處置方法與之前版本相同,建議立即進行關注和處置。

一、請立即組織內網檢測,查找所有開放445SMB服務埠的終端和伺服器,一旦發現中毒機器,立即斷網處置,目前看來對硬碟格式化可清除病毒。

二、目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞,請儘快為電腦安裝此補丁,網址點擊閱讀原文可快速進入(https://technet.microsoft.com/zh-cn/library/security/MS17-010);對於XP、2003等微軟已不再提供安全更新的機器,建議升級作業系統版本,或關閉受到漏洞影響的埠,可以避免遭到勒索軟體等病毒的侵害。

三、一旦發現中毒機器,立即斷網。

四、啟用並打開「Windows防火牆」,進入「高級設置」,在入站規則裡禁用「文件和印表機共享」相關規則。關閉UDP135、445、137、138、139埠,關閉網絡文件共享。

五、嚴格禁止使用U盤、移動硬碟等可執行擺渡攻擊的設備。

六、儘快備份自己電腦中的重要文件資料到存儲設備上。

七、及時更新作業系統和應用程式到最新的版本。

八、加強電子郵件安全,有效的阻攔掉釣魚郵件,可以消除很多隱患。

九、安裝正版作業系統、Office軟體等。


北京市委網信辦

北京市公安局

北京市經信委

2017年5月14日

鳥叔只想說,一不小心拯救了世界是什麼感覺.要是一不小心又加速了毀滅的狀況怎麼辦……讓人好難抉擇

精彩文章回顧:

勒索比特幣病毒製造者現身!!!

大事情!全球突發大規模網絡攻擊:國內多所高校被劫持 黑客勒索比特幣

突發!全球爆發勒索病毒 這四招能救你的電腦

小編語錄:這小夥子以後的路好走了.

相關焦點

  • 勒索病毒一直在我們身邊!B站百萬粉絲博主中招
    文章意思大家猜都能猜到,要你花錢消災。有路人表示對方會索要0.3個比特幣,而且被加密的文件並不會被殺毒軟體識別成加密文件。留言中最關鍵的其實是一點:Buran勒索病毒目前無法解密該評論是4月28日留下的,距離現在沒過幾天信息應該還有效。
  • 會直呼你名字 知道你家地址,病毒勒索近乎瘋狂還很囂張
    這是國內出現的一種新型敲詐者病毒,它感染計算機中的文檔、圖片、視頻等重要資料,在文件名前加入「windows-文件發生意外問題-可修復(嚴禁修改)-錯誤代碼×××」的字樣,致使文件無法正常打開。2月20日,中了勒索病毒的網友在貼吧內求助勒索軟體成新「病毒之王」「殺毒軟體沒有攔截到,辦公文件全部變成了.cerber加密文件,除了付出勒索金,真的是一點招都木有麼
  • 全球英雄Marcus Hutchins!他是阻止勒索病毒蔓延的IT小哥
    英國小哥意外「拯救世界」 三天不眠阻止勒索病毒蔓延Wannary勒索病毒上周五起肆虐,被一位化名MalwareTech的英國電腦奇才暫時制止。這位英雄身份日前曝光,他是22歲的哈欽斯(Marcus Hutchins),因為協助發現黑客漏洞阻止了災情繼續擴大,救了10萬電腦用戶。
  • 啟明星辰ADLab:Crysis家族勒索病毒最新變種分析
    通過對現場感染機勘驗後,我們發現加密後的文件被統一冠以「.bip」後綴名,另外我們還發現被加密的文件目錄中有一個勒索提示文件「FILES ENCRYPTED.txt」,它是由勒索病毒創建的,目的是通知受害者其數據已經被加密,如果想要解密文件,需按照攻擊者提供的聯繫方式支付贖金。
  • 「WannaRen」勒索病毒攻擊源曝光,360安全大腦獨家揭秘幕後「匿影」
    (PowerShell下載器部分代碼)而此次新型比特幣勒索病毒「WannaRen」的擴散活動中,從表面看與此前的「WannaCry」病毒類似,都是病毒入侵電腦後,彈出勒索對話框,告知已加密文件並向用戶索要比特幣
  • 鏘鏘三人行2017/5/18|勒索病毒肆虐世界
    竇文濤:今天咱們終於有專家了,因為世界不安全了,不安全是因為什麼呢?病毒。吳軍:病毒。竇文濤:病毒不是咱們身體裡的,但是是在咱們的電腦身體裡的,天吶,這種病毒叫什麼呢,叫WannaCry。吳軍:對。竇文濤:叫想哭。李菁:想哭。吳軍:想哭,這是他自己起的名字。
  • 22 歲時阻止Wannary勒索病毒擴散的黑客「英雄」 因製造惡意程序被 FBI 逮捕,現在他想做個好人
    他回到了自己 2013 年建立的博客 MalwareTech :https://www.malwaretech.com,並在其中發布有關惡意軟體的技術細節,同時對世界上最大殭屍網絡中的 Kelihos 和 Necurs 進行反向工程。這吸引了網絡安全創業公司 Kryptos Logic CEO Salim Neino 的注意,為他提供了一份年薪六位數的工作邀約。
  • 勒索病毒又來了?!應對勒索病毒的災備建設勢在必行
    大量實踐經驗告訴我們,面對勒索病毒,亡羊補牢不如未雨綢繆,需要在事前防禦、事中判斷化解、事後補救三個環節都採取措施才能解決因勒索病毒帶來的不可挽回的重大損失。而數據保護則是安全防禦的最後一道防線,必須要通過建立完善的災備體系將安全牢牢掌握在自己手裡,才能保障用戶自身的數據安全和業務連續性。
  • 「佛系」Crysis勒索病毒突然變種 變身黑客工具合輯
    Crysis勒索病毒家族從2016年出現至今已達近4年的傳播歷史 無論是在傳播手段上還是在核心功能的代碼實現上都鮮有改動,算得上是最
  • 騰訊反病毒實驗室對GandCrab勒索病毒家族的總結分析
    GandCrab勒索病毒堪稱2018年勒索病毒界的「新星」,該勒索家族於2018年01月面世,短短幾個月的時間,歷經三大版本更迭。第一版本的GandCrab勒索病毒因C&C被安全公司與警方合作後控制而登上各大科技媒體頭條,兩個月後GandCrab V2勒索病毒出現,在V2家族的樣本中,病毒作者使用極具挑釁意味的C&C地址(C&C地址中包含針對警方和安全公司的字符內容),又一次登上科技新聞版面。
  • 慘痛教訓:若相信微軟就不會被比特幣勒索病毒攻擊
    勒索病毒「WanaCrypt0r 2.0」也已在99個國家被發現。據悉,該病毒入侵用戶主機系統後,會彈出勒索對話框,提示勒索目的並索要比特幣。而對於用戶主機上的重要文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,都被加密的文件後綴名統一修改為「.WNCRY」。
  • 中了敲詐者病毒,文件恢復有可能嗎?你長著一張被勒索木馬敲詐的臉? 硬創公開課
    王亮:一直以來做的分析工作都是針對木馬病毒的,更多的是一種技術性的工作,並沒有太多感情因素在其中,但通過與受害者的溝通,才真切感受到他們的無奈與無助,也更加堅定了我們與木馬對抗到底的決心。那段時間掛馬中招的反饋確實比較多,當時是想儘快了解一下具體情況。聯繫確認後,發現受害者主要是因為使用了某款沒有升級的flash插件的瀏覽器,訪問掛馬頁面而中招。
  • 勒索病毒再添新成員alanwalker 利用「永恆之藍」傳播
    圖1 alanwalker勒索病毒勒索信息可加密超420種文件 利用「永恆之藍」蔓延區域網據監測統計,alanwalker勒索病毒可加密文件類型較多,目前已加密超過420種文件類型,主要為在Windows伺服器中較為重要的資料庫文件、壓縮包、文檔和可執行文件等。
  • 勒索病毒背後的比特幣「暗網」疑雲
    就在不久前勒索病毒「想哭」肆虐全球,也為中國網絡安全防範敲響警鐘。在這起病毒襲擊事件中,黑客索要的贖金指定比特幣。何為比特幣?緣何受黑客青睞?央視記者在獨家調查中發現,比特幣背後還有一個普通人難以觸及的「暗網」江湖,那裡藏汙納垢,充滿罪惡……眼下勒索病毒「想哭」到底控制的如何?在網絡安全實時監控系統的實驗室,央視記者朱慧容見到「想哭」在我國的分布情況。
  • 回顧2019:撕開勒索病毒的年度危機
    2月 VS 6月勒索病毒不按常規套路的攻勢總會讓人出乎意料,其中,2月擁有著全年最短的工作天數和最長的春節休假,理應「休兵整頓」的勒索病毒卻並未迎來休假期。在兩大地區的PK中,360安全大腦顯示,2019年中勒索病毒攻擊在地域分布方面,依舊以數字經濟發達地區和人口密集地區為主,廣東地區反饋中招者以24.6%的高佔比,成為名副其實的全國最抗造地區。
  • 「我被勒索了」——Buran病毒丨專欄
    黨妹遭遇的Buran病毒是比較初級的病毒,傳播途徑很傳統,主要利用郵件附件傳播,附件通常是一個Word或者Excel文件。小白:我覺得勒索病毒還是值得我們對其加大關注。大東:勒索病毒加密的文件基本上沒辦法破解,最主要是很多加密方法在密碼學上是安全的,也就是密碼很難破解,計算機需要運算非常長的時間,時間長到無法接受,不如放棄嘗試。
  • 好萊塢翻拍《你的名字》真人版,騰訊斥資千萬收購藍洞,黃牛熱炒《英雄聯盟》S7門票,新型勒索病毒不要錢要裸照,這就是今天的大新聞
    而就在今日(9月28日),《你的名字》宣布將會推出好萊塢的真人版電影,東寶動畫公司和派拉蒙影業、壞機器人電影公司(代表作:《星艦迷航11》、《星球大戰7:原力覺醒》)達成合作,在宣布真人版消息的同時也公布了部分的製作陣容。
  • 「獅子」瑞星:對抗勒索病毒防禦才是解決之道
    唐威看著圖片上的獅子和旁邊的1991,默默淘寶了一百次,找到了同款。「真的很酷,我已經下單了。」▲唐威朋友圈1991對瑞星來說是個有紀念意義的數字,這年幼獅出生,沒多久趕上大規模爆發的宏病毒和 CIH 病毒,靠著徵戰殺軟市場登上鼎盛期,卻又因免殺鋪天蓋地而來被迫放棄個人收費殺軟。隨後瑞星轉戰企業市場,相比起來這頭青年獅子低調了許多。
  • 迄今為止最惡毒的勒索病毒之一「比特幣敲詐者」現身中國,沒錢你就認栽吧
    一、摘要CTB-Locker病毒通過郵件附件傳播,如果用戶不小心運行,用戶系統中的文檔、照片等114種文件會被病毒加密。病毒在用戶桌面顯示勒索信息,要求向病毒作者支付8比特幣贖金才能夠解密還原文件內容。
  • Medusalocker勒索病毒,小心勒索加密無得解
    背景概述近日,深信服安全團隊接到用戶的勒索求助,排查發現是一款名為MedusaLocker的勒索軟體家族。