美国一个间谍组织NSA开发的,当初叫做永恒之蓝。是一个监控恐怖分子的病毒。但在前几天永恒之蓝被黑客破解,并做成了勒索病毒
勒索病毒,是一种新型电脑病毒,主要以邮件,程序木马,网页挂马的形式进行传播。该病毒性质恶劣、危害极大,勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。勒索病毒利用各种加密算法对文件进行加密,要破解若非病毒开发者本人及其团体,必须拿到解密的私钥才有可能破解。
网页挂马
网页挂马就是在网页的源代码中加入一些代码,利用漏洞实现自动下载他的木马到你的机器里
参考资料
网页被挂马是什么意思.搜狗问问[引用时间2018-1-19]
很难再次有大爆发,首次爆发的根本原因是教育网以及内网单位对445端口的麻痹大意造成的,是防御上的弱B,而非病毒的牛B,有了第一次的教训后没谁还敢轻易开放445端口了,病毒大范围爆发的根本条件已经不具备。
本次爆发的勒索病毒借用了最新的“永恒之蓝”windows攻击工具,使其可以对局域网中所有未防备445端口的开机电脑主动进行感染,具备了之前电脑病毒不具有的主动入侵性,所以才造成大爆发。勒索病毒和其他病毒一样,依旧可以经由网络下载和U盘感染等传统方式入侵计算机,并不是防备了445端口就万无一失。
盗号什么的不必担心,勒索病毒只是强制给你电脑中所有的文档、图片、视频、压缩包等等重要文件进行加密,而且加密强度极高,基本不存在强行解密的可能,对特殊人群的电脑有毁灭性的伤害,而其盈利也正是针对这些特殊人群索要赎金而已。
“永恒之蓝”勒索病毒的开发人员可能是名为“影子经纪人”的用户。
去年8月份,名为“影子经纪人”(The Shadow Brokers) 的神秘黑客组织通过社交平台宣称,他们攻击了一个有美国国家安全局(NSA)背景的黑客组织“方程式组织”,将NSA 用于大规模监控和情报活动的网络武器和文件公布在Github、Tumblr和PastBin 等互联网平台上,文件内容涉及大量的网络武器和文件,包括命令和控制中心(CC)服务器的安装脚本、配置文件,以及针对一些知名网络设备制造商的路由器和防火墙等产品的网络武器。本次感染急剧爆发的主要原因在于其传播过程中使用了其工具包中的“永恒之蓝”漏洞,微软公司今年3月份已经发布补丁,漏洞编号MS17-010, 由于该次攻击使用常用的445端口进行攻击,如果相关企事业单位未对使用Windows系统主机更新相关补丁程序,就会导致病毒大范围在局域网内传播,出现典型的短时间内爆发式攻击。
勒索病毒的溯源一直是比较困难的问题。曾经FBI悬赏300万美元找勒索病毒的作者,但没有结果,目前全球都没有发现勒索病毒的作者来自哪个国家。但从勒索的方式看,电脑感染病毒之后会出现包括中文在内十五种语言的勒索提示,且整个支付通过比特币和匿名网络这样极难追踪的方式进行,很有可能是黑色产业链下的组织行为。
勒索病毒预防方法:
1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁;对于windowsXP、2003等微软已不再提供安全更新的机器,可使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
2、关闭445、135、137、138、139端口,关闭网络共享。
3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开……
4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
5、建议仍在使用windowsxp,
windows2003操作系统的用户尽快升级到windows7/windows10,或windows2008/2012/2016操作系统。
2017年4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:
工具名称
主要用途
ETERNALROMANCE
SMB 和NBT漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2
EMERALDTHREAD
SMB和NETBIOS漏洞,对应MS10-061漏洞,针对139和445端口,影响范围:Windows XP、Windows 2003
EDUCATEDSCHOLAR
SMB服务漏洞,对应MS09-050漏洞,针对445端口
ERRATICGOPHER
SMBv1服务漏洞,针对445端口,影响范围:Windows XP、 Windows server 2003,不影响windows Vista及之后的操作系统
ETERNALBLUE
SMBv1、SMBv2漏洞,对应MS17-010,针对445端口,影响范围:较广,从WindowsXP到Windows 2012
ETERNALSYNERGY
SMBv3漏洞,对应MS17-010,针对445端口,影响范围:Windows8、Server2012
ETERNALCHAMPION
SMB v2漏洞,针对445端口
当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
WannaCry主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。(#注释:说明一下,“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称#。永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。)
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。
2017年5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。
2017年5月14日,监测发现,WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染 。