關於Onion病毒的一些事情

「病毒」一詞已經多年沒有出現在大眾視野中了，最近卻因為Wanna cry(國際通用名稱Onion)的出現，再一次為人們所關注。

 

這是繼2007年前後的熊貓燒香之後的首次大規模PC病毒爆發。目前世界上多個國家遭受病毒攻擊，萬裡長城也沒有擋住這個病毒，反而擋住了急救包，而朝鮮居然能安然無恙

在近期與此病毒相關的事件被網絡媒體多次報導，此次的受災人數多，範圍廣，並且病毒的破壞力強，而且有些政府部門都被直接命中，但是，這些報導中不免有些偏差，看了很多報導之後發現其實說的都是大同小異，完全沒有說到重點，也沒有什麼乾貨，其中更有甚者為了博取點擊量還加入部分誤導成分，這是及其不負澤滴。

 

回到正題，目前針對這種病毒能做的多數也只能做到防範，已經中毒的PC暫時沒有什麼比較好的辦法，文件會被病毒加密為.onion後綴，4096位的加密算法你永遠也破解不開，會對你的資料造成沉重打擊，就算你放棄資料，那也需要進行全盤格式化重裝。

 

經過群裡大佬親身試驗之後發現，即便是作過預防的Windows10的1703版本，如若直接運行病毒本體，那麼你的PC裡的文件資料等依舊會被鎖定，翻車之後想必是頭都大了，對於期末即將上交作業或是論文的同學，怕是想要一斧子下去讓這位俄羅斯的黑客知道什麼叫做多麼痛的領悟，後面附上病毒本體資源，有興趣的可以自行提取嘗試。

 

 

據說此次攻擊的策劃者是一名名為Alexsey Belan俄羅斯黑客，因涉嫌計算機入侵罪被起訴三次。在FBI網絡黑客通緝名單上位列第二。

 

AlexseyBelan是俄羅斯國民，據報導，Alexsey Belan涉嫌2012年至2013年攻擊華達州和加利福尼亞州的主要電子商務公司。聯邦調查局聲稱，貝蘭竊取用戶資料庫以獲取帳戶信息和密碼;一旦他得到了他所需要的，他就會立刻賣掉這些數據。

 

貝蘭是拉脫維亞人，說俄羅斯語，擁有俄羅斯戶籍，極有可能居住在俄羅斯，希臘，馬爾地夫或泰國。他的別名可能包括Magg，M4G，Moy.Yawik和Abyrvaig，FBI還注意到他可能會戴上眼鏡，並且已經知道他會將自然的棕色頭髮染紅或金髮; 他最後被發現是在為在雅典，希臘。

(以上資料來自Google)

 

如果有人能夠提供線索導致貝蘭被捕，FBI將會提供巨額賞金，當然了，和我們是沒有什麼關係的。

 

 

震驚！某知名黑客花費巨大代價盜取武器庫後竟然做出這種事情！

「Wanna Cry」病毒旳爆發，是黑客組織影子經紀人(Shadow Brokers)盜竊了美國「方程式組織」的0day（NSA武器庫)所造成旳後果，NSA武器庫的公開被稱為是網絡世界「核彈危機」

 

去年8月，黑客組織「影子經紀人」就開始在網上公開拍賣盜取來的網絡攻擊黑客工具，但購買旳人數寥寥無幾。(可憐啊，看來這個組織缺少商業經營經驗)

 

今年四月份，在受到上次拍賣失敗旳影響，「影子經紀人」主動公開了此前拍賣旳工具包，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。並重新拍賣從「方程式組織」中竊取旳惡意攻擊工具。

 

而Wanna Cry，正是由於不法分子通過改造之前洩露的NSA黑客武器庫中「永恆之藍」所產生的。

 

ONION勒索病毒傳播時還會自帶挖礦機，在被感染的電腦中挑選高性能伺服器進行挖礦作業，以賺取比特幣，對此感興趣可以百度「比特幣」了解相關知識，而略低一級的個人PC則會加密文件以詐取錢財，確保經濟效益最大化。

 

比特幣

據美國有線電視新聞網此前報導，至少有針対微軟旳15個系統漏洞工具被洩露，製作此次病毒的永恆之藍，不過只是其中之—。

 

針對windows個人用戶黑客工具

EtemalBlue永恆之藍

EtemalChampion永恆王者

EtemalRomance永恆浪漫

EtemalSynergy永恆協作

EmeraldThread翡翠纖維

ErraticGopher古怪地鼠

EskimoRoll愛斯基摩卷

EducatedScholar文雅學者

EclipsedWing日食之翼

EsteemAudit尊重審查

 

 

「永恆之藍」會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

 

國內此前已經多次爆發利用445埠傳播的病毒，所以部分運營商已經對此類危險埠如135等進行了過濾監聽，但是教育網和一些企業內網並沒有對此作防範，因此中招的大多為學生用戶，此前出現過報導醫院以及政府機構也出現感染，這些機構由於一些合作商的問題，系統的升級或是統一維護都是極大的困難。

 

據有關機構統計，目前國內平均每天有5000多臺機器遭到NSA「永恆之藍」黑客武器的遠程攻擊，平均每小時攻擊約200次，夜間高峰期達到每小時約4000多次；在中國校園網迅速擴散的則是從5月12日下午新出現的WNCRY勒索病毒。

 

 

中毒導致數據被加密後，想要暴力破解基本不可能，因為病毒採用的是4096位算法，所以破解時間要幾十萬年，即使是量子計算機解密所需要的時間依舊要以年為單位來計算。

 

所以說破解是無望了，這對於一些急需數據的人來說就不是什麼好消息了，那麼自然就想到向黑客付款這一條路了，但是這行得通嗎？

 

首先要明確的告訴你，不管出於什麼原因，付款之後你的數據並不會恢復，這點是肯定的。

順帶一提，如果真的要付款，1比特幣≈1萬RMB

至於為什麼給不恢復，目前有多種說法，有一種說法可信度還是比較高的，病毒的密鑰是通過tor網絡發送給作者伺服器，進行密鑰回送也是通過tor網絡，但是在萬裡長城面前，你的密鑰可能已經一頭撞死在牆上隨後不知去向了。或許黑客根本就沒打算幫你恢復，都有一定的可能性。

 

所以，千萬不要付款，也可以說成，千萬不要向犯罪分子妥協。

 

 

本次病毒攻擊Windows10 1703以及Mac用戶可以吃瓜圍觀，

 

關於預防方法可以參考極客灣的視頻，連結如下。

http://www.bilibili.com/video/av10515686/?from=search&seid=18161865219772435725

 

如果覺著這樣做預防很是麻煩，想要省點力氣，也可以選擇安裝一些殺毒軟體，雖然 360的「NSA武器庫免疫工具」也可以達到同樣的效果，省力氣，但是會帶來360全家桶大禮包，如何選擇，自行斟酌，但是，所有的殺毒軟體能做到的是預防，而不是幫助已經中招的電腦恢復。

 

另外，360的所謂的「NSA武器庫免疫工具」最好持保留態度，這一次的病毒只是基本「永恆之藍」修改製作得來，其餘流出的工具包暫時還沒有被進行改造，360吹自己能預防全部，怕是吹的過火了，這次的「永恆之藍」勒索蠕蟲，目前只是NSA網絡軍火民用化的全球第一例，所以最好保持隨時更新系統的好習慣，防範於未然。

 

目前來說破解是不可能的，那麼比較可靠的方法是通過下面的數據恢復工具對文件進行恢復，將想要解救的文件刪除，隨後對磁碟進行數據恢復是就現階段看來比較可靠的方法。

下面貼出關於此次病毒相關連結：

病毒本體樣本：

http://pan.baidu.com/s/1slub6ln

OFFICE數據恢復：

http://pan.baidu.com/s/1dE8wJS1?qq-pf-to=pcqq.discussion

Microsoft官方補丁下載：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

Windows7補丁(KB4012212)：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

數據恢復(面對變種病毒導致數據被刪除的情況)

Finaldata

http://www.shujuhuifu.cc/partner_bd.html

Recuva

http://ruanjian.99x11.com/datarecovery/