Top
首页 > 网络和信息安全 > 重磅推荐 > 正文

全球爆发勒索病毒 来扒一扒它的前世今生

从2017年5月12日起勒索病毒攻击席卷全球,这次攻击被认为是迄今为止最巨大的勒索行为,影响包括我国在内、英国、美国、意大利、俄罗斯等全球多个国家,近千家企业及公共组织,国内、外媒体纷纷对此事进行了重点报道,“应急处理”的文章铺天盖地,这次小编想跟大家分享下“它”的“前世今生”。
发布时间:2017-05-18 14:08        来源:赛迪网        作者:yao

【赛迪网讯】从2017年5月12日起勒索病毒攻击席卷全球,这次攻击被认为是迄今为止最巨大的勒索行为,影响包括我国在内、英国、美国、意大利、俄罗斯等全球多个国家,近千家企业及公共组织,国内、外媒体纷纷对此事进行了重点报道,“应急处理”的文章铺天盖地,这次小编想跟大家分享下“它”的“前世今生”。

14948442566531

本次的勒索病毒攻击是一种蠕虫病毒(也被称为“WannaCry”)。 与其他勒索病毒的变种一样,WannaCry通过计算机相互传播,并阻止用户访问计算机或文件,以付费做为解锁条件。(本次收取的是比特币)  

“永恒之蓝”和“WannaCry”是什么关系?

“永恒之蓝”是指NSA被泄露的危险漏洞“EternalBlue”,而本次的勒索病毒WannaCry是利用该漏洞进行传播的。用户的主机一旦被WannaCry渗透,用户的数据和文件也无法直接恢复,不过现在网上也出现了文件恢复工具,但只能实现部分恢复。

谁是始作俑者?

据了解,本次爆发的病毒是利用去年被盗的美国国家安全局“NSA武器库”中的ETERNAL BLUE(永恒之蓝)漏洞,而泄露这些漏洞的黑客组织Shadow Brokers便是始作俑者。

其实早在去年8月份,Shadow Brokers便在网上爆出了入侵工具,其隶属于NSA旗下。当时Shadow Brokers将其中一部分加密文档则以100万比特币的价格出售,打脸的是可能是由于价格过于高导致“销量”低迷。

2017年4月14日,Shadow Brokers直接公开了一大批NSA(美国国家安全局)“方程式组织”使用的极具破坏力的黑客工具,其中就包括可以远程攻破全球约70%  Windows机器的漏洞利用工具.

也有媒体爆料,WannaCry勒索蠕虫与朝鲜黑客组织Lazarus存在联系,不过由于同样的代码片段和技巧可能会被不同的病毒编写者采用,该猜测依旧存疑。

“WannaCry”专属于Windows

答案是肯定的,手机、Pad、Mac等终端,包括Unix、Linux、Android等系统均不会受到影响。本次的勒索病毒只限于攻击Windows系统,不过几乎所有的Windows系统如果没有安装补丁都存在被攻击的可能。

MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows2008,Windows2012,Windows XP,Windows Vista,Windows7,Windows8,Windows10。

以下系统如果开启了自动更新或安装了更新补丁,可以抵御该病毒:Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016。

勒索者真的赚钱了吗?

截至到5月13日20点,国内有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招。可想而知黑客们一定大捞一笔,但是由于媒体们的报道,受害者们正迅速达成“不交赎金”的共识,而且本次攻击爆发于周末,尴尬的时间,给了人们在周一前大量的反应时间,这也大大影响了黑客们的“收入”。

“WannaCry”新变种

根据火绒安全的资料显示,早期版本的“WannaCry”病毒存在“Kill Switch”开关,也就是病毒中检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问的代码片段,如果可以访问则不会利用“永恒之蓝”漏洞继续传播。

现在这个域名已经被注册,这个版本“WannaCry”传播功能等于已经关闭,因为这段代码本身没有加密,所以很可能会被得到改病毒样本的“骇客”修改,放开开关,使病毒继续传播。

截止到今日,火绒已经收集到的所谓“WannaCry”最新版本的“变种”。

6月注定不平静!

最新消息Shadow Brokers组织发布声明,今年六月份,影子经纪人将宣布一项名叫“TheShadowBrokers Data Dump of the Month”的服务,会员将会陆续收到泄露的信息包括:针对浏览器、路由器和智能手机等信息。不过Shadow Brokers这份声明中的情况暂时还无法验证,但基于之前Shadow Brokers泄露文件的真实性,这份声明须严肃对待。

专题访谈

合作站点
stat