原创作品,允许转载。 转载时请务必以超链接形式注明文章的原始来源、作者信息、本声明。 否则就追究法律责任。 3358 solin.blog.51cto.com/11319413/1925890
勒索病毒WannaCry(永恒之蓝)
日前,“永恒之蓝”席卷全球,已有90个国家遭遇***。 国内教育网是遭遇***的重灾区。 但是,在安装了较旧版本的Windows的计算机普遍***的同时,大多数安装了linux派生操作系统的计算机和苹果计算机都逃了出来。 很多网友在网上表示感谢,并对linux和苹果的安全性表示极大的赞赏。 但实际上,这些操作系统在技术上并没有明显高于Windows,只是没有专门针对***进行* *。
病毒恐吓事件的概况始于5月12日,恐吓病毒在全球范围内爆发。
首先招募了大英帝国。 全英国最多有25家医院和医疗机构连接到广域网***。 医院网络沦陷,电脑被锁,电话不通……**每家医院索要300比特币(近400万元人民币)赎金,3天内未交的,赎金加倍,7天内未交的.
后来***面积不断扩大,中国大批高校也出现感染情况很多师生的电脑文件都是病毒加密的,需要支付赎金才能恢复。 985所大学之一的山东大学也未能幸免。
目前感染的勒索病毒以ONION和WNCRY两个家庭成员为主,中毒后的表现为受害设备磁盘文件被篡改为相应的后缀,图像、文档、视频、压缩包等各种资料无法正常打开,只需支付赎金即可解密恢复这两种勒索病毒,勒索金额分别为5个比特币和300美元,折合人民币分别为5万余元和2000余元。
恐吓事件的起源
事情是从两个顶级***组织的X: NSA (美国国家安全局(的最强****组织(方程式)和专门销售重磅信息的顶级***组织)暗影zrdqb )开始的。
事件时间轴2016年8月,"Shadow Brokers"的****组织被称为***的方程式组织窃取了大量机密文件,并将部分文件公开在网上。 方程式(Equation Group )是美国国家安全局(NSA ) ) *下属的组织
这部分公开的文件包含了很多隐藏的地下***工具。 此外,“Shadow Brokers”还保留了部分文件,计划通过公开拍卖的形式出售给最高竞价者,“Shadow Brokers”的预计价格为100万比特币(价值近5亿美元)。 “Shadow Brokers”的道具一直没卖出去。
2 .北京时间2017年4月8日,“Shadow Brokers”发布保留部分解压密码,有人将其解压后上传到Github网站提供下载。
3 .北京时间2017年4月14日晚,继上次公开解压密码后,“Shadow Brokers”在推特上发出了第二波保留的部分文件。 这次发现包括23个新的***工具。 这些***工具是OddJob、EasyBee、EternalRomance、FuzzBunch、EducatedScholar、EskimoRoll、EclipsedWing、EsteemAudit、engit EternalSynergy、EternalBLUE、EwokFrenzy、ZippyBeer、ExplodingCan、DoublePulsar等。
之后的事情是
>EternalBLUE(永恒之蓝)被***利用来进行敲诈。Shadow Brokers这家***组织公布了NSA的一些***工具,"永恒之蓝"只是其中一个利用445端口进行***的工具。这些工具被人利用,所以导致此病毒爆发。
勒索病毒是由NSA泄漏的"永恒之蓝"***武器传播的。"永恒之蓝"可远程***Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,"永恒之蓝"就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。
前面已经说过,病毒是利用445端口进行***。由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA***武器***的重灾区。
很抱歉,目前几乎无解。
先不说高昂的勒索金额,有网友表示即使支付了勒索金额也无法解除。
如何防范勒索病毒? 1.备份重要文件病毒以加密文件为手段进行勒索,倘若重要文件均已备份,用户就可以无所畏惧了。
2.更新补丁微软发布了新的系统补丁帮助用户防范本次大范围病毒***,甚至连被抛弃N年的Windows XP 系统都得到更新补丁,这也从侧面证明了本次事件的影响有多恶劣。
3.关闭网络端口(应急)3.1键盘Win + R运行,输入"CMD",启动命令行窗口,注意,Win 8以上版本用户,需要按Win + X,选择"命令提示符(管理员)A"。接着输入:netstat -an 命令,检查打开的端口中,是否有445端口。
3.22.如果出现上图式样,就需要把445端口关闭,需要依次输入以下命令:
1 2 3 net stop rdr net stop srv net stop netbt安全人员发现,病毒在勒索行为开始前,会尝试访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个网址,一旦病毒无法访问到网址,就会开始勒索行为。好消息是,该域名现在已被注册,所以病毒的传播有望停止。
由于众所周知的原因,建议大家修改一下HOST,将此网址指向国内可以稳定访问的目标网址。当然,这种方法在***花几分钟修改一下访问域名后就会失效,所以还是建议大家采取前两条方法。
本次事件的启示?1.信息安全是一个永恒的话题,总是在不断地演进中。道高一尺,魔高一丈,就是在不断斗法中不断深入。
2.感谢三大运营商,漏洞泄露的第一时间(3月份)就封锁了个人用户的445端口,否则现在受影响的就不仅限于高校用户了。
3.对于一部分人来说,迁移到其他操作系统比如Linux真的非常必要,即使仅仅是为了保护自己的资料安全也该进行迁移了。
4.以后的IT学习道路中,必不可少的学习模块必然是安全。虽然此次Linux未受冲击,但将来***必然会越来越多,安全也将越来越重要。
想要了解更多可以其他文章:《Wannacry勒索软件母体主程序逆向分析》《腾讯安全团队深入解析wannacry蠕虫病毒》
本文出自 “运维小当家” 博客,请务必保留此出处http://solin.blog.51cto.com/11319413/1925890