2017年4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统 *** B服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:
工具名称
主要用途
ETERNALROMANCE
*** B 和N *** 漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2
EMERALDTHREAD
*** B和NETBIOS漏洞,对应MS10-061漏洞,针对139和445端口,影响范围:Windows XP、Windows 2003
EDUCATEDSCHOLAR
*** B服务漏洞,对应MS09-050漏洞,针对445端口
ERRATICGOPHER
*** Bv1服务漏洞,针对445端口,影响范围:Windows XP、 Windows server 2003,不影响windows Vista及之后的操作系统
ETERNALBLUE
*** Bv1、 *** Bv2漏洞,对应MS17-010,针对445端口,影响范围:较广,从WindowsXP到Windows 2012
ETERNALSYNERGY
*** Bv3漏洞,对应MS17-010,针对445端口,影响范围:Windows8、Server2012
ETERNALCHAMPION
*** B v2漏洞,针对445端口
当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
WannaCry主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。(#注释:说明一下,“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称#。永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。)
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。
2017年5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。
2017年5月14日,监测发现,WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染 。
自2005年以来,勒索软件已经成为最普遍的 *** 威胁。根据资料显示,在过去11年间,勒索软件感染已经涉及超过7694到6013起数据泄露事故。多年来,主要有两种勒索软件:基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备,通常是基于Android的勒索软件。新时代勒索软件结合了高级分发技术(例如预先建立基础设施用于快速广泛地分发勒索软件)以及高级开发技术(例如使用crypter以确保逆向工程极其困难)。此外,离线加密 *** 正越来越流行,其中勒索软件利用合法系统功能(例如微软的CryptoAPI)以消除命令控制通信的需要。Solutionary公司安全工程及研究小组(SERT)的Terrance DeJesus探讨了这些年以来勒索软件的发展史以及亮点。AIDS Trojan之一个勒索软件病毒AIDS Trojan由哈佛大学毕业的Joseph L.Popp在1989年创建。2万张受感染的软盘被分发给国际卫生组织国际艾滋病大会的与会者。该木马的主要武器是对称加密,解密工具很快可恢复文件名称,但这开启了近30年的勒索软件攻击。Archievus在之一款勒索恶意软件出现的近二十年(17年)后,另一种勒索软件出现。不同的是,这个勒索软件更加难以移除,并在勒索软件历史上首次使用RSA加密。这个Archiveus Trojan会对系统中“我的文档”目录中所有内容进行加密,并要求用户从特定网站来购买以获取密码解密文件。Archiveus也是之一个使用非对称加密的勒索软件辩题。2011年无名木马在五年后,主流匿名支付服务让攻击者更容易使用勒索软件来从受害者收钱,而不会暴露自己身份。在同一年,与勒索软件木马有关的产品开始流行。一款木 *** 索软件模拟用户的Windows产品激活通知,告知用户其系统的安装因为欺诈需要重新激活,并定向用户到假的在线激活选项,要求用户拨打国际长途。该恶意软件声称这个呼叫为免费,但实际呼叫被路由到假冒的接线员,并被搁置通话,导致用户需要承担高额国际长途 *** 费。Reveton名为Reveton的主要勒索木马软件开始在整个欧洲蔓延。这个软件是基于Citadel Trojan,该勒索软件会声称计算机受到攻击,并被用于非法活动,用户需要使用预付现金支付服务来支付罚款以解锁系统。在某些情况下,计算机屏幕会显示计算机摄像头记录的画面,让用户感觉非法行为已被记录。此事件发生后不久,涌现很多基于警察的勒索软件,例如Urausy和Tohfy。研究人员在美国发现Reveton的新变种,声称需要使用MoneyPak卡向FBI支付200元罚款。Cryptolocker2013年9月是勒索软件历史的关键时刻,因为CryptoLocker诞生了。CryptoLocker是之一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式的加密恶意软件。CryptoLocker感染快速蔓延,因为威胁着利用了现有的GameOver Zeus僵尸 *** 基础设施。在2014年的Operation Tovar终止了GameOver Zeus Trojan和CryptoLocker活动。CryptoLocker利用AES-256lai加密特定扩展名的文件,然后使用命令控制服务器生成的2048位RSA密钥来加密AES-256位密钥。C2服务器位于Tor *** ,这让解密很困难,因为攻击者将RSA公钥放在其C2服务器。攻击者威胁称如果在三天内没有收到钱他们将删除私钥。Cryptodefense在2014年,CryptoDefense开始出现,这个勒索软件利用Tor和Bitcoin来保持匿名,并使用2048位RSA加密。CryptoDefense使用Windows内置加密CryptoAPI,私钥以纯文本格式保存在受感染计算机—这个漏洞当时没有立即发现。CryptoDefense的创造者很快推出改名版CrytoWall。与CryptoDefense不同,CryptoWall不会存储加密密钥在用户可获取的地方。CryptoWall很快广泛传播,因为它利用了Cutwail电子邮件活动,该活动主要针对美国地区。CryptoWall也通过漏洞利用工具包来传播,并被发现是Upatre活动中下载的最后有效载荷。CryptoWall有过多次有效的活动,都是由相同的攻击者执行。CryptoWall展现出恶意软件开发的进步,它可通过添加额外的注册表项以及复制自身到启动文件夹来保持持续能力。在2015年, *** 威胁联盟公布覆盖全球的CryptoWall活动,金额达到3.25亿美元。Sypeng和KolerSypeng可被认为是之一款锁定用户屏幕并显示FBI处罚警告消息的基于Android的勒索软件。Sypeng通过短消息中假的Adobe Flash更新来传播,需要支付MonkeyPak 200美元。Koler勒索软件与Sypeng非常类似,它也是用假冒警察处罚,并要求MoneyPak支付赎金。Koler被认为是之一个Lockerworm,因为它包含自我繁殖技术,它可发送自定义消息到每个人的联系人列表,指引他们到特定网址再次下载勒索软件,然后锁定其系统。CTB-Locker和SimplLocker与过去其他变体不同,CTB-Locker直接与Tor中C2服务器通信,而不是具有多层基础设施。它也是之一个开始删除windows中Shadow Volume副本的勒索软件变体。在2016年,CTB-Locker更新为针对目标网站。SimplLocker也在2014年被发现,它被认为是之一款针对Android移动设备的基于Crypto的勒索软件,它会简单地加密文件和文件夹,而不是锁定用户手机。LockerPin在去年9月,一款侵略性Android勒索软件开始在美国各地蔓延。ESET安全研究人员发现之一个可重置手机PIN以永久锁定设备的真实恶意软件,被称为LockerPin,该恶意软件会修改受感染设备的锁屏Pin码,让受害者无法进入屏幕。LockerPin随后需要500美元来解锁设备。勒索软件即服务(RaaS)在2015年开始出现,这些服务通常包含用户友好型勒索软件工具包,这可在黑市购买,售价通常为1000到3000美元,购买者还需要与卖方分享10%到20%的利润。Tox通常被认为是之一款以及最广泛分布的RaaS工具包/勒索软件。TeslaCryptTeslaCrypt也出现在2015年,这可能将是持续威胁,因为开发人员 *** 出四个版本。它首先通过Angler漏洞利用工具包来分发,随后通过其他来分发。TeslaCrypt利用AES-256来加密文件,然后使用RSA-4096来加密AES私钥。Tor内的C2域被用于支付和分发。在其基础设施内包含多层,包括 *** 服务器。TeslaCrypt本身非常先进,其包含的功能可允许在受害者机器保持灵活性和持久性。在2016年,TeslaCrypt编写者将其主解密没有交给ESET。LowLevel04和ChimeraLowLevel04勒索软件在2015年被发现,主要瞄准远程桌面和终端服务。与其他勒索软件活动不同,攻击者通过远程手动进行,他们远程进入服务器、绘制内部系统。在这种情况下,攻击者被发现会删除应用、安全和系统日志。Chimera勒索软件在2015年年底被发现,它被认为是之一款doxing勒索软件,它会威胁称在网上公开发布敏感或私人文件。Chimera使用BitMessage的P2P协议用于进行C2通信,这些C2只是Bitmessage节点。Ransom32和7ev3nRansom32被认为是之一个使用JavaScript编写的勒索软件。该恶意软件本身比其他软件要大,达到22MB,它使用NW.js,这允许它处理和执行与其他C++或Delphi编写的勒索软件相类似的操作。Ransom32被认为具有革命性,因为它理论上可在多个平台运行,例如Linux、Mac OSX以及windows。7ev3n勒索软件在过去几个月中开始引起大家关注。在13 bitcoin,它可能是索要赎金更高的勒索软件。7ev3n勒索软件不仅执行典型的加密再勒索,它还会破坏windows系统。该恶意软件开发人员似乎很大程度侧重于确保7ev3n可破坏任何恢复加密文件的 *** 。7ev3n-HONE$T随后被发布,降低了赎金要求并增加了一些有效的功能。Locky在2016年,EDA2和Hidden Tear的恶意软件编写者在GitHub公开发布了源代码,并声称这样做是出于研究目的,而那些很快复制改代码并做出自定义更改的攻击者导致大量随机变体出现。臭名昭著的Locky勒索软件也在2016年被发现,Locky快速通过 *** 钓鱼活动以及利用Dridex基础设施传播。Locky也因为感染美国多个地区的医院而登上新闻头条。攻击者很快发现受感染医疗机构快速支付赎金,从而导致包含勒索软件下载的 *** 钓鱼电子邮件在医疗行业广泛传播。SamSamSamSam或者SAMAS勒索软件被发现专门分发给易受攻击的JBoss服务器。起初,攻击者会通过JexBoss工具对JBoss服务器执行侦查,随后利用漏洞并安装SamSam。与其他勒索软件不同,SamSam包含一个通道,让攻击者可实时通过.onion网站与受害者通信。KeRanger之一个正式基于Mac OSX的勒索软件KeRanger在2016年被发现,它通过针对OSX的Tran *** ission BitTorrent客户端来交付。该勒索软件使用MAC开发证书签名,让其可绕过苹果公司的GateKeeper安全软件。PetyaPetya在2016年开始流行,它通过Drop-Box来交付,并改写受感染机器的主启动记录(MBR),然后加密物理驱动器本身。它在加密驱动器时还是用假冒的CHKDISK提示。如果在7天内没有支付431美元赎金,支付费用将会翻一倍。Petya更新包含第二个有效载荷,这是Mischa勒索软件变体,而它没有加密硬盘驱动器。MaktubMaktub也是在2016年被发现,它表明勒索软件开发人员在试图创建非常先进的变体。Maktub是之一个使用Crypter的勒索软件,这是用来隐藏或加密恶意软件源代码的软件。Maktub利用windows CryptoAPI执行离线加密,而不是使用C2来检索和存储加密密钥。JigsawJigsaw勒索软件在勒索信息中包含SAW电影系列中流行的Jigsaw人物,它还威胁称如果没有支付150美元的赎金将会每隔60分钟删除一个文件。此外,如果受害者试图阻止进程或重启电脑,将删除1000个文件。CryptXXX在2016年5月底,CryptXXX是被广泛分发的最新勒索软件辩题。研究人员认为它与Reveton勒索软件变体有关,因为在感染阶段有着类似的足迹。CryptXXX通过多种漏洞利用工具包传播,主要是Angler,并通常在bedep感染后被观察到。它的功能包含但不限于:反沙箱检测、鼠标活动监控能力、定制C2通信协议以及通过TOR付款。ZCryptor微软发表文章详细介绍了一种新型勒索软件变体ZCryptoer。除了调整的功能(例如加密文件、添加注册表项等),Zcryptoer还被认为是之一个Crypto蠕虫病毒。它通过垃圾邮件分发,它有自我繁殖技术来感染外部设备以及其他系统,同时加密每台机器和共享驱动器。勒索软件的未来?专家预测我们在2016年还将继续观测到多个新变种,在这些变种中,可能只有少数会带来很大影响—这取决于恶意软件编写者以及涉及的 *** 团伙。现在勒索软件编写者还在继续其开发工作,更新预先存在的勒索软件或者制造新的勒索软件,我们预测,增强灵活性和持久性将会成为勒索软件标准。如果勒索软件具有这种能力,这将会是全球性的噩梦。根据最近使用crypter的勒索软件表明,勒索软件编写者知道很多研究人员试图逆向工程其软件,这种逆向工程和分析可能导致勒索软件开发人员改进其勒索软件变体。
别乱下载病毒,做好防护
装个电脑管家在你电脑上
然后打开工具箱,找到勒索病毒免疫工具
使用这个工具,你电脑就不用担心病毒问题了
“永恒之蓝”勒索病毒的开发人员可能是名为“影子经纪人”的用户。
去年8月份,名为“影子经纪人”(The Shadow Brokers) 的神秘黑客组织通过社交平台宣称,他们攻击了一个有美国国家安全局(NSA)背景的黑客组织“方程式组织”,将NSA 用于大规模监控和情报活动的 *** 武器和文件公布在Github、Tumblr和PastBin 等互联网平台上,文件内容涉及大量的 *** 武器和文件,包括命令和控制中心(CC)服务器的安装脚本、配置文件,以及针对一些知名 *** 设备制造商的路由器和防火墙等产品的 *** 武器。本次感染急剧爆发的主要原因在于其传播过程中使用了其工具包中的“永恒之蓝”漏洞,微软公司今年3月份已经发布补丁,漏洞编号MS17-010, 由于该次攻击使用常用的445端口进行攻击,如果相关企事业单位未对使用Windows系统主机更新相关补丁程序,就会导致病毒大范围在局域网内传播,出现典型的短时间内爆发式攻击。
古奈特发布了一款软件。他表示,该软件帮他发现了实验室中被感染Windows XP计算机所需的数据解密密钥。该软件尚未在Windows XP系统中得到大范围测试,而即使软件有效,也仍然存在限制。在上周WCry病毒爆发的过程中,Windows XP系统并不是受影响的重灾区,因此这一恢复技术的价值有限。
他将这款软件命名为Wannakey。他表示:“这款软件只在Windows XP下进行过测试,并且已知只对Windows XP有效。如果希望使用这款软件,那么计算机在被感染之后不能进行过重启。此外,你还需要一定的运气,软件可能不是对所有情况都有效。”
(下载地址:https://github.com/aguinet/wannakey/blob/master/bin/search_primes.exe)
Comae Technologies创始人、研究员马特·苏奇(Matt Suiche)报告称,古奈特的解密工具没有效果。
WCry勒索病毒也被称作WannaCry,在感染计算机后会对计算机上的所有数据进行加密,而黑客要求受害者支付300至600美元的赎金,从而获得恢复数据的密钥。该勒索软件使用了Windows中集成的微软密码API(应用程序接口)去处理多项功能,包括生成文件的加密解密密钥。在创建并获得密钥后,在大部分版本的Windows中,API会清除该密钥。
不过,Windows XP存在的限制会导致API无法清除密钥。因此,在计算机关机重启之前,用于生成WCry密钥的主序列可能会一直驻留在内存中。WannaKey能扫描Windows XP系统内存,提取其中的相关信息。
古奈特表示:“如果你足够幸运(即相关的内存块尚未被重新分配或清除),这些主序列可能仍驻留在内存里。”
他同时在Twitter上表示:“我完整地完成了解密过程。我可以确认,在这台电脑上,密钥可以从XP中恢复。”他在Twitter消息中提供了电脑屏幕截图。
大家在浏览网页时经常需要使用最小化窗口。那么窗口最小化的快捷键是什么呢?小编整理了一下,有许多种方法就让脚本之家小编给大家一一道来: 窗口最小化快捷键: 1.ALT+Esc:?可以使当前窗...
网络违法分子每天都在想尽各种办法来进行进犯,这关于信息安全从业者来说再正常不过了,而这一次印尼网络违法安排开端运用电影大片来欺诈方针用户拜访已受感染的网站。 进犯第一步:“招募”僵尸网络 在许多We...
微信定位怎么操作流程(微信如何开启定位) 随着最近几年移动互联网的快速发展,每个人的心智都被海量信息所占据。 每个行业的品牌,从最初的屈指可数到如今的琳琅满目,可选择的产品数量出现了爆炸式增长。...
张靓颖一首《Dear Jane Ⅱ》吸引了很多人,歌曲歌词中写的都是成名十五年至今网站被黑和遭受的争议,diss的也都是自身,这歌表述了她十五年来接到的全部的取笑和黑历史,大伙儿都说张靓颖歌词太敢了...
中间人进犯print_r($contents);Cobalt strike3.0运用手册服务器缝隙:假如服务器的软件版别现已过期很久了,而又没有打补丁就极有或许存在缝隙,这样咱们能够使用网上发布的PO...
平均处于中游水准吧。不过大牛还是很多的,主要是一群连编程都不会的所谓的抓鸡黑客们拖后腿。不过从技术角度来说中国黑客具备国际顶尖能力的还是不少的。 袁仁广,人称袁哥,从事漏洞挖掘和漏洞攻防研究近20年,...