最近幾天很多人遭受了名為WannaCry(想哭����,又叫Wanna Decryptor)勒索病毒的攻擊����,一種“蠕蟲式”的勒索病毒軟件�����,該病毒會鎖定并加密電腦各種文件��,用戶打開會彈出索要比特幣的彈窗���,勒索金額300-600美元���,部分用戶支付贖金后也沒有解密,搞得人心惶惶���,而且勒索病毒又出現了變種升級版本��,那么勒索病毒攻擊原理是什么呢��?這邊 小編跟大家介紹比特幣病毒原理����。
一��、5.12勒索病毒原理
WannaCry勒索病毒由不法分子利用NSA(National Security Agency�,美國國家安全局)泄露的危險漏洞“EternalBlue”(永恒之藍)進行傳播,勒索病毒主要攻擊沒有更新到最新版本的windows系統設備�����,比如xp����、vista、win7����、win8等�。
該惡意軟件會掃描電腦上的TCP 445端口(Server Message Block/SMB)�,以類似于蠕蟲病毒的方式傳播,攻擊主機并加密主機上存儲的文件����,然后要求以比特幣的形式支付贖金。勒索金額為300至600美元�����。
當用戶主機系統被該勒索軟件入侵后�����,彈出勒索對話框��,提示勒索目的并向用戶索要比特幣�����。而對于用戶主機上的重要文件����,如:照片、圖片����、文檔、壓縮包����、音頻、視頻��、可執行程序等幾乎所有類型的文件�,都被加密的文件后綴名被統一修改為“.WNCRY”。目前��,安全業界暫未能有效破除該勒索軟的惡意加密行為���,用戶主機一旦被勒索軟件滲透���,只能通過重裝操作系統的方式來解除勒索行為,但用戶重要數據文件不能直接恢復����。
WannaCry主要利用了微軟“視窗”系統的漏洞,以獲得自動傳播的能力���,能夠在數小時內感染一個系統內的全部電腦����。勒索病毒被漏洞遠程執行后,會從資源文件夾下釋放一個壓縮包�,此壓縮包會在內存中通過密碼:[email protected]解密并釋放文件。這些文件包含了后續彈出勒索框的exe��,桌面背景圖片的bmp���,包含各國語言的勒索字體����,還有輔助攻擊的兩個exe文件�。這些文件會釋放到了本地目錄,并設置為隱藏���。(注釋:“永恒之藍”是NSA泄露的漏洞利用工具的名稱���,并不是該病毒的名稱。永恒之藍”是指NSA泄露的危險漏洞“EternalBlue”��,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也通過“永恒之藍”這個漏洞傳播���,因此給系統打補丁是必須的�。)
2017年5月12日��,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發�����,感染了大量的計算機��,該蠕蟲感染計算機后會向計算機中植入敲詐者病毒���,導致電腦大量文件被加密。受害者電腦被黑客鎖定后��,病毒會提示支付價值相當于300美元(約合人民幣2069元)的比特幣才可解鎖����。
2017年5月13日晚間,由一名英國研究員于無意間發現的WannaCry隱藏開關(Kill Switch)域名���,意外的遏制了病毒的進一步大規模擴散�,研究人員分析此次Wannacrypt勒索軟件時,發現它并沒有對原文件進行這樣的 “深度處理”����,而是直接刪除。這看來算是一個比較低級的 “失策”���,而360此次正是利用了勒索者的 “失策”��,實現了部分文件恢復�。
2017年5月14日��,監測發現�����,WannaCry 勒索病毒出現了變種:WannaCry 2.0����, 與之前版本的不同是,這個變種取消了Kill Switch�����,不能通過注冊某個域名來關閉變種勒索病毒的傳播����,該變種傳播速度可能會更快�。請廣大網民盡快升級安裝Windows操作系統相關補丁�����,已感染病毒機器請立即斷網�,避免進一步傳播感染。
二�、勒索病毒攻擊類型
常用的Office文件(擴展名為.ppt����、.doc、.docx����、.xlsx、.sxi)
并不常用�,但是某些特定國家使用的html' target='_blank'>office文件格式(.sxw、.odt����、.hwp)
壓縮文檔和媒體文件(.zip、.rar��、.tar、.mp4����、.mkv)
電子郵件和郵件數據庫(.eml、.msg���、.ost��、.pst��、.deb)
數據庫文件(.sql��、.accdb���、.mdb、.dbf���、.odb���、.myd)
開發者使用的源代碼和項目文件(.php、.java��、.cpp��、.pas、.asm)
密匙和證書(.key����、.pfx、.pem����、.p12、.csr�、.gpg、.aes)
美術設計人員�、藝術家和攝影師使用的文件(.vsd、.odg��、.raw���、.nef、.svg�、.psd)
虛擬機文件(.vmx、.vmdk���、.vdi)
三���、勒索病毒應對方法
如何預防Windows勒索病毒����?防止感染ONION��、WNCRY勒索病毒補丁下載
開機怎么防止被勒索病毒感染?360預防勒索病毒開機指南
Win7快速關閉135,137,138,139,445端口預防比特幣勒索病毒的方法
電腦感染勒索病毒后通過DiskGenius恢復數據的方法
沒有及時更新補丁的Windows設備極其容易遭受勒索病毒的攻擊�,所以為了防止電腦中招,大家務必做好必要的更新和預防工作�����。
鄭重聲明:本文版權歸原作者所有�,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤����,請第一時間聯系我們修改或刪除,多謝��。
