旅游新闻 ∠  您当前所在位置:主页 > 旅游新闻 >
勒索病毒
发布日期:2021-06-21 02:53   来源:未知   阅读:

  声明:,,,。详情

  点击“不再出现”,将不再自动出现小窗播放。若有需要,可在词条头部播放器设置里重新打开小窗播放。

  勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。

  据“火绒威胁情报系统”监测和评估,从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。2017年12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。

  2020年4月,勒索病毒“WannaRen”开始传播,大部分杀毒软件无法拦截。

  勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、www.900696.comjs、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。

  通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞,而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7、xp等老旧系统,因此也成为病毒攻击的重灾区,病毒可以通过漏洞在局域网中无限传播。相反,win10系统因为强制更新,几乎不受漏洞攻击的影响。

  通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少,但对于有收发邮件、网页浏览需求的企业而言,蓝天高手论坛依旧会受到威胁。

  此外,对于某些特别依赖U盘、记录仪办公的局域网机构用户来说,外设则成为勒索病毒攻击的特殊途径。

  勒索病毒一般分两种攻击对象,一部分针对企业用户(如xtbl,wallet),一部分针对所有用户。

  勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥和私钥。然后,将加密公钥私钥写入到注册表中,遍历本地所 有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。

  该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。

  一般勒索病毒,运行流程复杂,且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为:

  该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。

  同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。

  根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:

  2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;

  3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;

  2017年5月12日,一种名为“想哭”的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。

  2017年6月27日,欧洲、北美地区多个国家遭到“NotPetya”病毒攻击。乌克兰受害严重,其政府部门、国有企业相继“中招”。

  2017年10月24日,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。

  2018年2月,中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。

  2018年3月1日,有杀毒软件厂商表示,他们监测到了“麒麟2.1”的勒索病毒。

  2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。

  从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。

  2018年12月1日,火绒安全团队曝光了一个以微信为支付手段的勒索病毒在国内爆发。几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。

  2018年12月7日,平安东莞账号证实“12.05”特大新型勒索病毒案已被侦破,根据上级公安机关“净网安网2018”专项行动有关部署,东莞网警在省公安厅网警总队的统筹指挥,24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者罗某某(男,22岁,广东茂名人),缴获木马程序和作案工具一批

  2019年3月,瑞星安全专家发现通过发送恐吓邮件,诱使用户下载附件,导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。

  2020年4月,网络上出现了一种名为“WannaRen”的新型勒索病毒,与此前的“WannaCry”的行为类似,加密Windows系统中几乎所有文件,后缀为.WannaRen,赎金为0.05个比特币。

  2020年4月,B站up主“机智的党妹”发视频称,自己被勒索病毒攻击了,导致正在制作的数百个GB的视频素材文件,全都被病毒加密绑架。据其公司IT人员排查后发现,黑客用的是一种叫做Buran的勒索病毒,它专门攻击Windows系统。

  5月12日,全球突发比特币病毒疯狂袭击公共和商业系统事件!中国多个高校校园网也集体沦陷。全球有接近74个国家受到严重攻击。目前比特币勒索病毒卷土重来,迅速席卷全球,普通民众如何应对?

  如果确实是由于nsa的eternalblue引起的,情况不会扩散太严重。但已感染的用户会很闹心。2,校园网方面,教育网虽然未主动屏蔽445。3,win10用户被微软强制开启自动更新了,应该已经更新ms17-010补丁了;但是校园网中存在了大量关闭了自动更新的win7用户,可能会成为重灾区。

  “永恒之蓝”来了,比当年的“熊猫烧香”势头还猛。昨天 ,根据美联社、英国标准晚报等多家媒体报道,一种名为WannaCry的电脑勒索病毒正在全球蔓延,99个国家受到病毒感染。它几乎是惟一在这场病毒灾难中幸免的国家。而中国的蠕虫病毒感染重灾区集中在高校。

  所谓的“‘微信支付’勒索病毒”,相信这两天已经让很多人人心惶惶了。12月2日,火绒团队表示该勒索病毒已被其成功破解,并发布了解密工具。火绒已将上述个人信息,和被窃取的受害用户支付宝密码等信息,一并交给警方。

  不久前国家信息安全漏洞共享平台正式发布通告“Oracle数据库勒索病毒RushQL死灰复燃”。事实上,RushQL勒索病毒已经不是第一次肆虐Oracle数据库,早在2016年11月就已经在全球掀起了一场血雨腥风。用户在登陆Oracle数据库时出现如下勒索警告信息,被要求上交5个比特币来换取解锁数据库的服务。



Power by DedeCms