勒索软件的攻击目标包括学校,勒索软件的攻击目标通常
作者:hacker | 分类:破解 | 浏览:107 | 日期:2022年07月15日目录:
勒索病毒攻击哪些系统
只要是win系统都有可能被感染,Windows用户不幸遭受wanacry勒索病毒攻击目前解决办法如下:(无论如何切勿支付赎金,有大量证据表明即使支付赎金文件也无法解密。)
Windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。
个人用户可以联系国内外安全厂商例如:奇虎360,金山毒霸,卡巴斯基,麦克菲尔,腾讯安全管家等安全中心寻求协助恢复重要数据。
利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版,并将文件拷贝至安全、无毒的U盘;再将指定电脑在关闭WiFi,拔掉网线,断网状态下开机,并尽快备份重要文件;然后通过U盘使用“勒索病毒免疫工具”离线版,进行一键修复漏洞;联网即可正常使用电脑。
利用“文件恢复工具”进行恢复。已经中了病毒的用户,可以使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复您的文档。
注意:也可持续关注相关安全厂商的处理办法,等待更加优越的完美解锁。
全球爆发勒索病毒 不是校园用户有危险吗
“wanacry”主要针对Windows操作系统的用户(包含家庭电脑)主要感染以学校勒索软件的攻击目标包括学校,机场,企业,医疗机构等大型用户。非校园用户同样有可能遭受感染,但目前病毒已被基本控制,请广大用户不要惊慌,及时安装 *** 17-010安全补丁,持续更新杀毒软件,避免访问高危网页即可。
因为:
敲诈者木马本身没什么不一样,但是Wana系列敲诈者木马的传播渠道是利用勒索软件的攻击目标包括学校了445端口传播扩散的 *** B漏洞MS17-101,微软在17年3月发布勒索软件的攻击目标包括学校了该漏洞的补丁。2017年4月,黑客组织Shadow Brokers公布的Equation Group(方程式组织)使用的“ *** 军火库”中包含了该漏洞的利用程序,而该勒索软件的攻击者或者攻击组织就是在借鉴了“ *** 军火库”后进行了这次全球大规模的攻击,主要影响校园网,医院、事业单位等内网用户。
勒索软件主要针对Windows PC用户。
谁是勒索软件真正的攻击目标
据悉,这个在国内被大家简称为“比特币病毒”的恶意软件,目前攻陷的国家已经达到99个,并且大型机构、组织是头号目标。
在英国NHS中招之后,紧接着位于桑德兰的尼桑造车厂也宣告“沦陷”。西班牙除了最早被黑的通讯巨头Telefonica,能源公司Iberdrola和燃气公司Gas Natural也没能幸免于难。德国干脆直接被搞得在火车站“示众”。
这个被大家称之为“比特币病毒”的勒索蠕虫,英文大名叫做WannaCry,另外还有俩比较常见的小名,分别是WanaCrypt0r和WCry。
它是今年三月底就已经出现过的一种勒索程序的最新变种,而追根溯源的话是来自于微软操作系统一个叫做“永恒之蓝”(Eternal Blue)的漏洞。美国国家安全局(NSA)曾经根据它开发了一种 *** 武器,上个月刚刚由于微软发布了新补丁而被“抛弃”。
三月底那次勒索程序就叫WannaCry,所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的说法,所指也是本次爆发的勒索程序。
随后,微软在3月发布的补丁编号为MS17-010,结果众多大企业们和一部分个人用户没能及时安装它,才让不知道从什么途径获取并改造了NSA *** 武器的WannaCry有机可乘。
而且这回的勒索软件目标并非只有英国NHS,而是遍布全球,总觉得有种“人家不是只针对英国医疗系统”一样、奇怪的“有人跟我一样糟就放心”了的潜台词。虽然最后事实证明确实全球遭殃。
但WannaCry最早从英国NHS开始爆发,真的只是巧合吗?
对于任何勒索病毒而言,都是最有可能被攻击的“肥肉”:医护人员很可能遇到紧急状况,需要通过电脑系统获取信息(例如病人记录、过敏史等)来完成急救任务,这种时候是最有可能被逼无奈支付“赎金”的。
医疗信息与管理系统学会的隐私和安全总监Lee
Kim也解释说,出于信息储备过于庞大以及隐私考虑,“在医疗和其他一些行业,我们在处理这些(系统)漏洞方面确实会不那么及时”。这也是为什么科技领域普遍认为WannaCry幕后黑手的时机把握得非常巧妙,毕竟微软更新MS17-010补丁还不到两个月。
从开发并释放WannaCry人士角度来考虑这个问题,他们其实并不在乎具体要把哪个行业作为攻击目标,因为他们的逻辑就是任何有利可图的领域都是“肥肉”,都要上手捞一笔。所以他们确实并不是非要跟英国NHS过不去,只不过是好下手罢了。
个人电脑用户被攻击的比例比企业和大型机构低很多,这不仅仅是因为个人电脑打补丁比较方便快捷,也因为这样攻击不仅效率不高、获利的可能也更小。WannaCry的运作机制,根本就是为局域网大规模攻击而设计的。
这样看来,前面提到的全世界其他受攻击大型企业和组织,无论交通、制造、通讯行业,还是国内比较惨烈的学校,确实都是典型存在需要及时从数据库调取信息的领域。
至于敲诈信息的语言问题,Wired在多方搜集信息后发现,WannaCry其实能以总共27种语言运行并勒索赎金,每一种语言也都相当流利,绝对不是简单机器翻译的结果。截至发稿前,WannaCry病毒的发源地都还没能确认下来。
与其说WannaCry幕后是某种单兵作战的“黑客”,倒不如说更有可能是招募了多国人手的大型团伙,并且很有可能“醉温之意不在酒”。毕竟想要简单捞一笔的人,根本没有理由做出如此周全的全球性敲诈方案。
WannaCry在隐藏操作者真实身份这方面,提前完成的工作相当缜密。不仅仅在语言系统上声东击西,利用比特币来索取赎金的道理其实也是一样:杜绝现实货币转账后被通过汇入账户“顺藤摸瓜”的可能。
而且WannaCry的开发者早就有了一个范围宽广、长期作战的策划:“在情况好转之前,它会先变糟糕的——相当糟糕。”(This’ll get worse—a lot worse—before it gets better.)
不过,在晚些时候,一位22岁的英国程序猿小哥就似乎“误打误撞”阻止了WannaCry的进一步扩散。
这位小哥在社交 *** 上的昵称是MalwareTech(中文意思大概是“恶意软件技术”,听起来反而更像个黑客),阻止了WannaCry的进一步全球肆虐后,他在自己的博客上写下了全过程,甚至英国情报机关GCHQ都在官网转po了这篇博文。
MalwareTech本来应该在度假中,不过他还是迅速反应,找到了一份WannaCry软件的样本。阅读代码时,他发现了一个没有被注册过的域名,下面的代码意思就是WannaCry在黑点电脑前的运行中会先试图访问该域名,如果访问失败就黑掉系统,如果成功则自动退出。
于是MalwareTech就把这个域名给注册了。
在后来一些中文媒体的报道中,小哥的这一举动被强调成是“突发奇想”或者“下意识”之举。正是因为无效域名被注册,后来被WannaCry感染的电脑都在访问该域名时得到了肯定的返回值,于是没有再锁定信息、展开敲诈。
不过MalwareTech自己解释却不是这样的。他在博客中写道,注册这个域名是他作为 *** 安全工作人员的“标准做法”(standard practice)。过去一年里,遇到所有这样短时间访问量激增的无效域名,他都会将其注册后扔进前面图里提到的“天坑”(sinkhole)里,而这个“天坑”的作用就是“捕获恶意流量”。
WannaCry样本中域名,在昨天全球范围攻击开始后访问量瞬间激增,此前却没有任何被访迹象。
然而MalwareTech职业灵敏度,让他开始考虑WannaCry是否会定期或在特请情况下修改程序中的无效域名,因为如果是这样的话,仅仅注册他所发现的这个域名就无法阻止未来袭击。
即使软件里没有这样的部分,开发者依然能够手动升级WannaCry后再度把它传播开来,所需要做的也就仅仅是替换一个新的无效域名而已。
还有一种更糟糕的情况:如果WannaCry程序中还有另一层自我保护机制,那么无效域名的注册很有可能导致目前所有被感染电脑自动为所有信息加密,无法复原。
为了排除后一种情况,MalwareTech干脆修改了自己一台电脑的主机文件,让它无法连接那个已经被注册了的前无效域名。
电脑成功蓝屏了。
MalwareTech写道:“你可能无法想象一个成年男人在屋里兴奋得跳来跳去,原因竟然是自己电脑被勒索软件搞失灵了。但我当时确实就那样了。”测试结果表明,他的“标准做法”确实阻止了WannaCry的进一步传播。
但是小哥亲自警告:“这事没完”
和某些信息平台热炒MalwareTech“拯救了全世界”的梗不同,英国《卫报》和《英国电讯报》都在标题里明确告诉大家,小哥自己都已经作出警告:“这事没完!”
域名被注册后WannaCry的停止扩散,在他看来只是病毒制造者一个不够成熟的自我保护机制。对方的真正意图并非通过域名是否能连接上来“指挥”病毒的运行,而是通过这种方式判断病毒是否被电脑安全高手捕获。
一旦WannaCry运行时发现域名有反应,真实反应并不是“好心”地停止攻击,而是避免自己被扔进“沙盒”(sandbox)安全机制被人全面分析,干脆退出获得域名响应的电脑系统。
MalwareTech虽然功不可没,但他只是阻止了“比特币病毒”现行样本的扩散,但开发者也已经意识到了这项弱点,随时可能用升级版勒索程序卷土重来。
当然,也不排除,此次勒索软件的最终目的,不是真的想勒索,而是想展现给一些有不法分子查看这个病毒的威力,从而出售这个病毒给他们。如果真的是这样的话,那么接下来的日子, *** 安全,将会面临一个很严峻的挑战。
此次勒索软件威胁的不仅是个人用户,还有众多机构和企业。
因此提醒,所有 *** 用户今后都应加强安全意识,注意更新安全补丁和使用各种杀毒工具。
国内高校为何成勒索病毒攻击的"重灾区"?
日前,全球近百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击,被攻击者被要求支付比特币才能解锁。据悉,目前已经在99个国家观察到超过57000个感染例子。
据社交媒体上用户贴出的照片显示,该勒索软件在锁定电脑后,索要价值300美元的比特币,并显示有“哎哟,你的文件被加密了!”(Ooops, your files have been encrypted!)字样等的对话框。
据了解,这是最近几年极为流行的、依靠强加密算法进行勒索的攻击手段。
与之前的攻击不同的是,此次勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久美国国家安全局(NSA)被泄漏出来的MS17-010漏洞,因此无需受害者下载、查看或打开任何文件即可发动攻击。
国内多个高校电脑遭遇病毒入侵
中国国家互联网应急中心还表示,勒索软件的攻击涉及到国内用户(已收到多起高校案例报告),已经构成较为严重的攻击威胁。
从5月12日晚间起,中国多个高校的师生陆续发现自己电脑中的文件和程序无法打开,而是弹出对话框要求支付比特币等赎金后才能恢复。
目前,山东大学、南昌大学、广西师范大学、东北财经大学、电子科技大学中山学院在内十几家高校发布遭受病毒攻击的通知,提醒师生注意防范。
部分高校通知称,近期国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。根据 *** 安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。
国内外被攻击的电脑中的是同一病毒
在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的媒体报道称此次攻击为“永恒之蓝”。
不过,这次WanaCry2.0系列攻击,实际上是一次蠕虫攻击,威力等同于当年的conficker。该蠕虫一旦攻击进入能连接公网的用户机器,就会利用内置了EnternalBlue的攻击代码,自动在内网里寻找开启了445端口的机器进行渗透。
中国国家互联网应急中心称,当用户主机系统被该勒索软件入侵后,用户主机上的重要数据文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件,都被恶意加密且后缀名统一修改为 “.WNCRY”。
国内高校为何此次成病毒攻击“重灾区”?
据悉,各大高校通常接入的 *** 是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。
此外,如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但中国高校内,一些同学为了打局域网游戏,有时需要关闭防火墙,也是此次事件在中国高校内大肆传播的另一原因。
不过,相关 *** 运营商在骨干网ISP策略中习惯性禁止445端口的数据传输,防止蠕虫等病毒传播的策略,发挥了重要的作用。在本次漏洞事件中,间接地降低了本次漏洞所带来的风险。
电脑若中了勒索病毒怎么办?
根据中国国家信息安全漏洞共享平台(CNVD)秘书处普查的结果,互联网上共有900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。
据外媒报道,一名 *** 安全研究员声称他找到 *** 能停止这个病毒扩散,但警告这只是暂时性质的。
中国国家互联网应急中心表示,目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
此病毒与以往的勒索攻击事件一样,采用了高强度的加密算法,因此在事后想要恢复文件是很难的,重点还是在于事前的预防。
及时更新
Windows已发布的安全补丁。
在3月MS17-010漏洞刚被爆出的时候,微软已经针对Win7、Win10等系统在内提供了安全更新;此次事件爆发后,微软也迅速对此前尚未提供官方支持的Windows
XP等系统发布了特别补丁。
更好是在电脑上安装安全类软件,并保持实时监控功能开启,可以拦截木马病毒的入侵。
Windows 7系统用户可打开控制面板点击防火墙-高级设置-入站规则-新建规则-勾中“端口”-点击“协议与端口”,勾选“特定本地端口”,填写445后点击下一步,继续点击“阻止链接”,一直下一步,并给规则命名,可完成关闭445端口。
关闭445等端口(其他关联端口如:
135、137、139)的外部 *** 访问权限,在服务器上关闭不必要的上述服务端口;
加强对445等端口(其他关联端口如:
135、137、139)的内部 *** 区域访问审计,及时发现非授权行为或潜在的攻击行为;
由于微软对部分操作系统停止安全更新,建议对Window
XP和Windows server 2003主机进行排查(MS17-010更新已不支持),使用替代操作系统;做好信息系统业务和个人数据的备份。
