一夜之间,身边的好多同学的电脑都中病毒了,特别是许多正在写毕业论文的同学可真是坑大了,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

下面提供一些解决办法:

1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为:https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2、关闭445、135、137、138、139端口,关闭网络共享。

3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。

4、定期备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。

5、建议仍在使用windows xp操作系统的用户尽快升级到 window 7/windows 10,如不便升级,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。NSA武器库免疫工具下载地址:dl.360safe.com/nsa/nsatool.exe

注意:

1最近不要在宿舍区登录教育网。2,尽量用正版wps 。不要用盗版office ,被感染的主要是office 文件。3.及时对杀毒软件升级,做好数据备份。

5月12日晚,新型“蠕虫式”勒索病毒软件 WannaCry 在全球爆发,攻击各国政府,学校,医院等网络。我国众多行业大规模受到感染,其中教育网受损最为严重,攻击造成大量教学系统瘫痪。国内部分高校学生反映电脑被病毒攻击,被攻击的文档将被加密。

据统计,病毒是全国性的。5月13 日凌晨 1 时许,记者从山东大学官方微博看到,微博中发布了一条"关于防范 ONION 勒索软件病毒攻击的紧急通知 "。

金山毒霸安全中心监测到Onion/ wncry敲诈者蠕虫病毒在全国大范围内出现爆发传播趋势,并发布紧急预防措施。

针对境外黑客组织Shadow Brokers爆出微软高危方程式漏洞,天翼云也发出Windows高危漏洞通知,强调WannaCry等攻击者可以利用工具对通过135、137、139、445、3389端口获取Windows系统的操作权限,为保证您的数据及业务安全,强烈建议您用户进行安全整改,以保证您的服务器安全。

WannaCry 事件描述

经过分析,WannaCry 勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010,微软已在今年3月份发布了该漏洞的补丁。

Win7以上所有版本目前已有补丁,但是Win7以下的Windows XP/2003目前没有补丁。对于开放445 SMB服务端口的终端和服务器,确认是否安装了MS17-010补丁,如没有安装则受威胁影响。

Windows系统一旦被WannaCry病毒感染后,会弹出一下对话框,攻击者需要支付比特币来恢复文件。

目前,国内多个政府网和教育网大量出现WannaCry勒索软件感染情况,一旦磁盘文件被病毒加密,只有支付高额赎金才能解密恢复文件,目前技术还无法解密该勒索软件加密的文件。

WannaCry 漏洞介绍

这种攻击应该是利用了微软系统的一个漏洞。该漏洞其实最早是美国国安局发现的,他们还给漏洞取名为EternalBlue(永恒之蓝)。

Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的,用于在计算机间共享文件、打印机等。Windows SMB远程提权漏洞,NSA 泄露工具EternalBlue利用 SMB可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

攻击者与TCP协议的445端口建立请求连接,获得指定局域网内的各种共享信息,并对文件施行加密等破坏性攻击。深信服安全云早在一个月前已更新微软SMB漏洞检测方案,并提供了安全应对方案。

在刚刚结束的RSA2017大会上,勒索软件的防御依然是一个热门话题,RSA大会专门安排了一天的勒索软件专题研讨。尽管勒索软件有愈演愈烈的趋势,危害也越来越大,但是无论个人用户还是企业用户,很多人并不是完全的了解勒索软件,重视程度也不够,甚至还没有找到正确的防御方式。这个系列的软文,希望在以往针对勒索软件防御分析的基础上,能够进一步深度分析勒索软件,探讨勒索软件防御的最佳实践。

什么是勒索软件

首先需要明确的是,勒索软件是一种典型的恶意代码,当电脑被感染了这种恶意代码之后,电脑中的某些文件被加密处理,比如Office文档、图片、视频文件等,造成使用者无法访问这些文件。由于勒索软件是通过对文件进行加密达到勒索金钱的目的,因此又称为加密勒索软件。

在上图中,一种名为CryptolLocker的勒索软件某些权威,已经将电脑上的文件完成了加密,并提醒受害者,唯一的解密方式,就是通过付费来获取解密的密钥,而且必须在规定时间付费,否则将销毁密钥。

勒索软件作为恶意代码的一种类型,已经存在很多年了,恶意代码通常是在系统后台偷偷地运行,比如窃取数据或者进行远程控制,使用者很难发觉,也没有发生明显的后果,很多时候都不去理睬。然而,勒索软件的出现,直接造成了文件被加密,无法访问和使用,受害者遇到了这种情况,必须想办法来解决。

加密勒索软件如何工作

加密勒索软件的传播有多种方式,最常见的是利用了社会工程的攻击方法,即通过钓鱼邮件包含恶意代码,或者利用网站的钓鱼链接,那么当用户点击了邮件包含的恶意代码,或者钓鱼链接后,恶意代码利用电脑系统本身存在的漏洞,侵入系统,并在后台开始运行。我们通过下面的示意图,简单描述了勒索软件的传播过程。

  • 1. 攻击者利用社会工程的方法,含有勒索软件或钓鱼链接的邮件发送到用户的邮箱,或者在某些网站通过挂马的方式,诱骗用户点击。

  • 2. 用户运行恶意文件或点击钓鱼链接后,勒索程序将利用终端系统存在的漏洞,在终端安装并运行,并且有可能向C&C主机发起连接请求。

  • 3. 恶意程序连接到C&C主机后,基于受害者终端的特定信息生成RSA密钥对,并将RSA公钥下载到终端上。

  • 4. 勒索软件在后台检索文件,同时生成一个AES密钥,对检索到的文件进行加密处理;加密完成后,用RSA的公钥再将AES密钥进行加密,并保存到文件中。

  • 5. 攻击者发出勒索信息,以各种方式通知用户支付赎金。

勒索软件在对文件进行查找和加密进行过程中,用户往往没有感知,只有当文件无法访问后才发现,很多文件已经被加密,已经无法访问了。通常攻击者会通过邮件或者替换墙纸的方式,通知受害者来支付赎金。

值得一提,有些攻击者还提供了加密原理的知识介绍,告知受害者,如果文件被加密后,唯一的解决方式,就是要拿到密钥才能解密,通过这种方式去促使受害者尽快支付赎金,才可以拿到密钥来解密文件。

加密勒索软件演变

勒索软件的历史,最早可以追溯到1989年,当时出现了一种被称为PCCyborg的恶意代码,对电脑的文件名称或文件夹进行加密,或者隐藏文件夹,造成用户无法访问文件,必须支付189美元的赎金后,才能够被解密。

我们看到,随着时间推移,各种各样的加密勒索软件不断出现,就如最新的WannaCry及其变种,伴随着勒索软件防御技术的发展,攻击者从加密技术到勒索金钱的支付方式,也在不断开发更加复杂的勒索软件。

加密勒索软件使用的加密方式,从最初的对称加密方式,发展到非对称加密,现在更多的采取了混合加密的方式,并且加密强度也越来越高。例如,2013年出现的Cryptolocker,2016年出现的Locky都采用了混合加密的方式,密钥长度达到了2048位。从加密原理来讲,除非拿到密钥,否则无法实现解密。

为了逃避追踪,攻击者从2008年开始采用数字货币的方式来索取赎金,比如比特币,这样做的目的,就是利用比特币难以追溯的特性,逃避执法部门的追踪,而且比特币方便支付,便于受害者快速支付赎金。

加密勒索软件的攻击对象也在发生变化,从原来的以个人为攻击目标,开始逐渐转向企业。攻击者这样做的目的是,由于企业的数据的重要性,一旦被加密成功,企业迫于自身业务运营的压力,通常会更快的支付勒索金钱,而且数额也更大。根据公开报道,在北美地区有学校、医院等机构感染了勒索软件后,迫于业务运营的压力,不得不支付了数万美元的勒索金。

关于防范ONION勒索软件病毒攻击的解决办法相关推荐

  1. 禁止“勒索病毒”攻击的解决办法

    转载请注明出处:http://blog.csdn.net/dongdong9223/article/details/72179490 本文出自[我是干勾鱼的博客] 上周末开始"勒索病毒&qu ...

  2. 勒索软件病毒肆虐多所高校:中招无法“挽救”

    全球多个国家正在遭受一次勒索软件病毒攻击,中国多所高校相继"沦陷",不少校园网用户电脑中的文件被加密锁住,支付黑客所要求赎金后方能解密恢复. 目前,已有多所已经或尚未遭受病毒攻击的 ...

  3. petya病毒分析_首先是WannaCry,现在是Petya –防范大规模勒索软件攻击

    petya病毒分析 Just a month after the sweeping WannaCry attacks, we now see a new ransomware threat, a Pe ...

  4. 【ONION勒索软件】Win10系统防护ONION勒索病毒的详细步骤

    昨晚惊闻出现了一种强大的电脑病毒,并且已经有很多高校的电脑全部GG.因为有点晚了,我就没管了.一大早起床刷了一波朋友圈,情况比我们想象的要严重. 以下是昨晚在微信群看到的转发. ----------- ...

  5. “永恒之蓝”第一弹-关于防范感染勒索蠕虫病毒的紧急通知

    北京时间2017年5月12日20时起,一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播.感染该病毒后的用户系统重要数据会被***加密,并索取一定价值的比特币后,数据才会被解密. 本文 ...

  6. 知物由学 | 如何从勒索软件的攻击中全身而退

    欢迎访问网易云社区,了解更多网易技术产品运营经验. "知物由学"是网易云易盾打造的一个品牌栏目,词语出自汉·王充<论衡·实知>.人,能力有高下之分,学习才知道事物的道理 ...

  7. Fairware勒索软件频繁攻击Linux服务器 大家赶紧做好备份

    近期,Linux服务器管理员们报告了多次攻击,这些攻击导致服务器的web文件夹消失.网站无限期关闭.在BleepingComputer网站的论坛上,众多帖子证实了大量这样的攻击. 据一个受害者说,此类 ...

  8. 勒索软件Snatch攻击原理分析

    勒索软件Snatch攻击原理分析 0x00 前言 近日有国外安全研究人员发现了一款名为"Snatch"的勒索软件,该勒索软件利用Windows的功能来绕过安装在PC上的安全软件,同 ...

  9. 勒索软件的攻击与防御

    勒索软件的攻击与防御 近几年来,勒索软件相关的安全事件在全球频繁爆发,引起了大众的重视.2017年一种名为"WannaCry"勒索病毒席卷全球近百个国家和地区.只经过了一个周日,W ...

  10. 电脑遭受ARP攻击,解决办法

    这篇文章主要介绍了电脑遭受ARP攻击,解决办法的相关资料,感兴趣的朋友可以一起研究一下! ARP攻击主要是存在于局域网网络中,如果在局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试 ...

最新文章

  1. 详解SSH框架的原理和优点
  2. android23 imei 权限,android------关于API 23的权限问题
  3. smartqq java撤回_基于nodejs的http模块通过smartqq实现自动收发qq消息的程序
  4. 今天收到 OCP 证书
  5. php 数据接口,初识 php 接口
  6. 七年程序员生涯,我学到最重要的 6 个教训,别再中招!
  7. 放弃耳机孔、放弃按键的手机我们是怎么接受并习惯的?
  8. 问题2----网速问题?造成的ORA-01034和ORA-27101
  9. jsp连接mysql更新数据库代码_JSP连接MySQL数据库代码
  10. windows 10
  11. Atitit webdav 的问题 -------------大文件传输问题 在某些版本的 Windows 操作系统中,WebDAV 驱动器的最大文件大小被限制为 50MB。如果你试图复制超过 5
  12. 自动接听电话的另一种思路(只需要root权限)
  13. html:运用表单表格制作简易个人简历
  14. elementUi——select选择框的下拉框样式调整——基础积累
  15. 数据可视化工具在医疗领域的应用
  16. Ubuntu下的lammps GPU加速(真的香)
  17. Oracle Database-PL/SQL
  18. 修改传奇私服服务器,传奇SF 肿么修改服务器时间
  19. Java并发编程之(二)管程
  20. 论文中图像三维重建的思路

热门文章

  1. [渝粤教育] 西北农林科技大学 土壤学 参考 资料
  2. Silvaco TCAD介绍
  3. C# 创建HttpServer
  4. chrome android版 插件下载,谷歌chrome安卓版
  5. GoogleChrome最新的代理设置流程
  6. android addr2line使用
  7. JS根据城市名称获取所在省份
  8. qemu中vCPU对应的线程
  9. 三菱FX5U和变频器走485通讯连接,程序是FB块写好的,硬件一样可以直接调用
  10. 兄弟打印机 android,兄弟打印机app安卓版