高级模式   | 热搜 : 模擬器  PSP  模拟器  体育  最终幻想 
查看: 1036 | 回复: 0
只看楼主
离线
nnm11111(好ID:5690169)   发表于 2017-05-22 20:03:03     
1#

5月12日起,Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大範圍內出現爆發態勢,大量個人和企業、機構用戶中招。

與以往不同的是,這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恆之藍”0day漏洞利用,通過445端口(文件共享)在內網進行蠕蟲式感染傳播。

沒有安裝安全軟件或及時更新系統補丁的其他內網用戶極有可能被動感染,所以目前感染用戶主要集中在企業、高校等內網環境下。

一旦感染該蠕蟲病毒變種,系統重要資料文件就會被加密,並勒索高額的比特幣贖金,折合人民幣2000-50000元不等。

從目前監控到的情況來看,全網已經有數萬用戶感染,QQ、微博等社交平台上也是哀鴻遍野,後續威脅也不容小覷。

敲詐勒索病毒+遠程執行漏洞蠕蟲傳播的組合致使危險度劇增,對近期國內的網絡安全形勢一次的嚴峻考驗。

事發後,微軟和各大安全公司都第一時間跟進,更新旗下安全軟件。金山毒霸也特別針對本次敲詐者蠕蟲,給出了詳細的安全防禦方案、傳播分析,以及其他安全建議。

我們也匯總了所有Windows系統版本的補丁,請大家務必盡快安裝更新。

【傳播感染背景】

本輪敲詐者蠕蟲病毒傳播主要包括Onion、WNCRY兩大家族變種,首先在英國、俄羅斯等多個國家爆發,有多家企業、醫療機構的系統中招,損失非常慘重。

安全機構全球監測已經發現目前多達74個國家遭遇本次敲詐者蠕蟲攻擊。

從5月12日開始,國內的感染傳播量也開始急劇增加,在多個高校和企業內部集中爆發並且愈演愈烈。


全球74個國家遭遇Onion、WNCRY敲詐者蠕蟲感染攻擊


24小時內監測到的WNCRY敲詐者蠕蟲攻擊次數超過10W+

本次感染急劇爆發的主要原因在於其傳播過程中使用了前段時間泄漏的美國國家安全局(NSA)黑客工具包中的“永恆之藍”漏洞(微軟3月份已經發布補丁,漏洞編號MS17-010)。

和歷史上的“震盪波”、“衝擊波”等大規模蠕蟲感染類似,本次傳播攻擊利用的“永恆之藍”漏洞可以通過445端口直接遠程攻擊目標主機,傳播感染速度非常快。


本次敲詐者蠕蟲病毒變種通過“永恆之藍”漏洞進行網絡攻擊

雖然國內部分網絡運營商已經屏蔽掉個人用戶的445網絡端口,但是在教育網、部分運行商的大局域網、校園企業內網依舊存在大量暴漏的攻擊目標。

對於企業來說尤其嚴重,一旦內部的關鍵服務器系統遭遇攻擊,帶來的損失不可估量。

從檢測到反饋情況看,國內多個高校都集中爆發了感染傳播事件,甚至包括機場航班信息、加油站等終端系統遭受影響,預計近期由本次敲詐者蠕蟲病毒造成的影響會進一步加劇。


全國各地的高校內網的敲詐者蠕蟲感染攻擊爆發


某高校機房全部遭遇WNCRY敲詐者蠕蟲攻擊


國內某地加油站系統遭遇本次敲詐者蠕蟲變種攻擊


某機場航班信息終端同樣遭遇了敲詐者蠕蟲攻擊

【敲詐蠕蟲病毒感染現象】

中招系統中的文檔、圖片、壓縮包、影音等常見文件都會被病毒加密,然後向用戶勒索高額比特幣贖金。

WNCRY變種一般勒索價值300-600美金的比特幣,Onion變種甚至要求用戶支付3個比特幣,以目前的比特幣行情,折合人民幣在3萬左右。

此類病毒一般使用RSA等非對稱算法,沒有私鑰就無法解密文件。WNCRY敲詐者病毒要求用戶在3天內付款,否則解密費用翻倍,並且一周內未付款將刪除密鑰導致無法恢復。

從某種意義上來說,這種敲詐者病毒“可防不可解”,需要安全廠商和用戶共同加強安全防禦措施和意識。


感染WNCRY勒索病毒的用戶系統彈出比特幣勒索窗口


用戶文件資料被加密,後綴改為“wncry”,桌面被改為勒索恐嚇

對部分變種的比特幣支付地址進行追蹤發現,目前已經有少量用戶開始向病毒作者支付勒索贖金。

從下圖中我們可以看到這個變種的病毒作者已經收到19個用戶的比特幣贖金,累計3.58個比特幣,市值約人民幣4萬元。


某個敲詐者蠕蟲的比特幣支付信息追蹤

【防禦措施建議】

1、安裝殺毒軟件,保持安全防禦功能開啟,比如金山毒霸已可攔截(下載地址http://www.duba.net),微軟自帶的Windows Defender也可以。


金山毒霸查殺WNCRY敲詐者蠕蟲病毒


金山毒霸敲詐者病毒防禦攔截WNCRY病毒加密用戶文件

2、打開Windows Update自動更新,及時升級系統。

微軟在3月份已經針對NSA泄漏的漏洞發布了MS17-010升級補丁,包括本次被敲詐者蠕蟲病毒利用的“永恆之藍”漏洞,同時針對停止支持的Windows XP、Windows Server 2003、Windows 8也發布了專門的修復補丁

最新版的Windows 10 1703創意者更新已經不存在此漏洞,不需要補丁。

各系統補丁官方下載地址如下:

KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

適用於Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安騰

KB4012212】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

適用於Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位

KB4012213】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

適用於Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位

KB4012214】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214

適用於Windows 8嵌入式、Windows Server 2012

KB4012606】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

適用於Windows 10 RTM 32位/64位/LTSB

KB4013198】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

適用於Windows 10 1511十一月更新版32/64位

KB4013429】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

適用於Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位

3、Windows XP、Windows Server 2003系統用戶還可以關閉445端口,規避遭遇此次敲詐者蠕蟲病毒的感染攻擊。

步驟如下:

(1)、開啟系統防火墻保護。控制面板->安全中心->Windows防火墻->啟用。


開啟系統防火墻保護

(2)、關閉系統445端口。

(a)、快捷鍵WIN+R啟動運行窗口,輸入cmd並執行,打開命令行操作窗口,輸入命令“netstat -an”,檢測445端口是否開啟。

(b)、如上圖假如445端口開啟,依次輸入以下命令進行關閉:

net stop rdr  / net stop srv / net stop netbt

功後的效果如下:

4、謹慎打開不明來源的網址和郵件,打開Office文檔的時候禁用宏開啟,網絡掛馬和釣魚郵件一直是國內外勒索病毒傳播的重要渠道。


釣魚郵件文檔中暗藏勒索者病毒,誘導用戶開啟宏運行病毒

5、養成良好的備份習慣,及時使用網盤或移動硬盤備份個人重要文件。

本次敲詐者蠕蟲爆發事件中,國內很多高校和企業都遭遇攻擊,很多關鍵重要資料都被病毒加密勒索,希望廣大用戶由此提高重要文件備份的安全意識。


2017-05-14更新金山毒霸發布比特幣勒索病毒免疫工具:免費恢復文件

面對肆虐的Onion、WNCRY兩類勒索病毒變種在全國範圍內出現爆發的情況,金山毒霸中心已緊急發布比特幣勒索病毒免疫工具及應急處置方案。

據悉,勒索病毒變種增加了NSA黑客工具包中的“永恆之藍”0day漏洞利用,可在局域網內蠕蟲式主動傳播,未修補漏洞的系統會被迅速感染,勒索高額的比特幣贖金折合人民幣2000~50000不等。

目前已證實受感染的電腦集中在企事業單位、政府機關、高校等內網環境。毒霸安全專家指出,病毒加密用戶文檔後會刪除原文件,所以,存在一定機會恢復部分或全部被刪除的原文件。建議電腦中毒後,盡量減少操作,及時使用專業數據恢復工具,恢復概率較高。

金山毒霸11下載(推薦!攔截敲詐病毒):戳此

專殺免疫工具戳此直接下載

詳細教程:

檢測當前電腦是否有免疫比特幣勒索病毒攻擊

已成功免疫效果如下圖

我們知道,那些已經被加密的數據文件,在沒有取得密鑰的情況下,解密基本沒有可能。但在了解到病毒加密的原理之後,發現仍有一定機會找回原始文件:病毒加密原文件時,會刪除原文件,被簡單刪除文件的硬盤只要未進行大量寫入操作,就存在成功恢復的可能。

使用金山毒霸數據恢復找回受損前的文檔

請使用免費帳號ksda679795862,密碼:kingsoft,來啟用金山毒霸的數據恢復功能。

1.選擇刪除文件恢復

2.選擇掃描對象:在界面中選擇文件丟失前所在的磁盤或文件夾,然後點擊“開始掃描”。

3.掃描過程:文件數量越多,掃描時間越長,請耐心等待。(一般掃描速度2分鐘3G)

4.掃描完結果預覽:點擊文件可進行預覽,可預覽的就是可有機會成功恢復的。勾選需要恢復文件(夾),點擊開始恢復即可恢復文件。

5.選擇恢復路徑:恢復的文件將保存再您選擇的文件夾路徑,請選擇您要恢復到哪個文件夾。(強烈建議將要恢復的文件保存到其他硬盤,而非丟失文件的硬盤,以避免造成二次損傷。)

6.查看恢復結果:恢復的文件夾將保存在您選擇的文件夾路徑,打開目錄可檢查恢復的文件。

以下幾種情況需要注意:

1.掃描出來的照片、office文檔,顯示不可預覽的,是無法恢復的。(無法預覽office文檔,表示文檔已部分受損)

2.不支持預覽的文件類型,只能恢復後才能知道是否可以正常使用

3.使用誤刪除文件功能,掃描完後,每個文件會有恢復概率顯示,恢復概率高,恢復成功率就高

4.視頻文件極易產生碎片和數據覆蓋,所以視頻文件完全恢復的可能性很小。

5.物理損壞的硬盤或其他存儲介質,恢復後的文件可能是已損壞的文件。

赞 0
 
遊戲年代新網址
http://www.gmera.ga/
 
 
你需要登录入才可以回帖  登入  |  会员注册

备案号: 版权所有:遊戲年代
当前时间:UTC+8:00, 2018-05-24 17:54:46