回答

收藏

2017长春黑客揭秘勒索蠕虫病毒“前世今生”

茶余饭后 茶余饭后 84 人阅读 | 0 人回复 | 2021-03-11

本帖最后由 一秋 于 2021-3-11 20:07 编辑

长春黑客揭秘勒索蠕虫病毒“前世今生” 约百余台系统终端中招

    5月12日19时许,长春白帽子(黑客)一秋突然接到一个求救电话,来电的人,是他的客户,客户称,公司的电脑中病毒,很多文件都被加密,对方还称,需要支付比特币才能恢复,一秋和他的团队第一时间让客户关闭电脑,拔掉网线,并提取病毒样本,而在之后的一段时间中,又有五个客户打来电话,反映了同样的问题,而客户们中的病毒,就是现在最为流行的全球性病毒——勒索蠕虫病毒!

    18日,记者也见到了一秋,在他的工作室中,他现场给记者演示了电脑中毒的全过程,一台三万多元的笔记本电脑瞬间中招,很多文件都被加密……在这次交谈中,记者也了解了这款全球性病毒的“前世今生”……

它的“前世” 去年就有公司被勒索软件袭击

18日,长春市卫星广场附近一写字楼内,长春网络安全专家一秋正在电脑前,研究着预防勒索蠕虫病毒的方式,彼时,他的面色有些暗淡,因为自从这款病毒进入长春以来,他就没睡过一个消停觉,看见记者的到来,他揉了揉眼睛,认真的向记者讲解起这款病毒,他希望通过本报,让我省的网友了解这款病毒,并学得一些易懂的预防和中毒后第一时间的处置办法。而在开讲之前,他还给记者爆了一个猛料——“2016年,长春就有公司被勒索软件袭击”!

“2016年,我就接触过老版的勒索软件,当时是一个大型公司找到我的,让我帮他们处理,他们中毒,是因为一个U盘。”一秋说,其实,勒索软件的实质,就是一个加密的程序,这个程序把电脑中的文件加密,并且设置了一个密码,只有正确密码,才能打开文件。但是,一秋表示,2016年的勒索软件,只对单一电脑进行入侵,没通过网络蠕虫,不会影响到局域网,只是通过U盘传播感染。后来,经过他们团队的努力,成功破解了这个勒索软件。

“今生”数字 长春已有100多台系统终端中招

提到这次全球性的勒索蠕虫病毒对长春的影响,还要从5月12日晚说起。

“第一个打来电话的是一家没有外网的公司,公司的26台电脑无一幸免,大量文件被加密,病毒扩散的非常快,我听到后让他们快速关掉电脑,拔掉网线,我们工作人员去现场提取了病毒样本,进行研究。”一秋说,在那之后,又有很多家公司打来电话,称也被同样的病毒攻击。

“目前全球依然没有找到破解这个病毒的团队,因为这次的病毒制造者在勒索软件中写入了蠕虫病毒,这也是这波病毒扩散如此之快的原因。”一秋说,据目前不完全统计,长春已经有100多台系统终端受到攻击,其中受到影响最大的可能是大学,因为马上就是大学毕业季了,各所大学都在进行毕业论文工作,这些大学的局域网一旦被攻击,论文打不开,后果非常严重。

“前世”旧影 所有文件后缀变成“.9b9c”

同日,一秋还为记者找到了去年和今年的病毒样本。

“去年的就是一个加密的文件,我这电脑就里有一个加密软件,我们现在桌面上新建一个WORD文档,你看,它的文件后缀是“.docx”,现在我们用这个软件给它加密,设置密码。”一秋说着,完成了加密操作,记者看见,原本的后缀为“.docx”的WORD文件立刻变成了后缀为“.exe”的应用文件,点击开,便弹出了输入密码的对话框。“其实,这就是勒索软件的简易形式。”一秋说。

随后,一秋还在电脑中找到了去年勒索软件的备份资料,被感染的文件夹中所有文件的后缀都是“.9b9c”,还包括一个名为“README.hta”的文件,点开后,出现勒索页面,上边写道,“您文件的内容无法阅读?这是正常的,因为您的文件和数据已经被加密了,安全解密您文件的唯一方式是购买特别的解密软件,任何第三方软件恢复您文件的方式都是致命的。”文字下方,还附有购买解密软件的链接,但是目前这个链接已经无法进入了。

“今生”威力 3万多元的笔记本瞬间中招

那么,今年的这款被添加了蠕虫病毒的勒索软件又是什么样的呢?一秋特意拿来一个病毒样本,用其三万多元的笔记本电脑给记者演示。

首先,一秋把病毒的样本压缩包下载到本机里,立即解压。记者看见,解压完成后,原本的电脑桌面壁纸发生了改变,变成了黑色背景,上边还有大量红色的英文,其中“@WanaDecryptor@”的单词是蓝色的,而在桌面上,也自动生成了两个同样名为“@WanaDecryptor@”的图标,其中一个图片的图案是两只握在一起手,另一个图案是黑色的。

之后,电脑便不时的自动弹出勒索界面,文件名为“Wana DecryptOr2.0”,其内容,也是“您的一些重要文件被我加密保存了,没有我们的解密服务,就算老天爷来了也不能恢复这些文档。需要购买解密服务才能解密”,页面下方,还有一个“bitcoin”的单词,其意思为“比特币”。同时,一秋还为记者展示了病毒样本的文件夹,其中包括很多后缀为“.wnry”的文件夹。

■七问一秋

带您揭秘勒索蠕虫病毒

记者:这个病毒是啥?

一秋:WanaCrypt0r利用了窃取自美国国家安全书页的黑客工具EternalBlue(译:永恒之蓝)实现了全球范围内的快速传播,该工具利用了微软的MS17-010漏洞实现攻击计算机并控制的目的,MS17-010是WINDOWS系统一个底层服务的漏洞,通过这个漏洞可以任意执行攻击者的命令。攻击者通过网络上扫描开放的445端口,然后把蠕虫病毒植入被攻击电脑,被控制的电脑又会去扫描其它主机,最终以多米诺骨牌的方式不断感染其他电脑。

记者:这款病毒究竟有多厉害?

一秋:Win10以下所有windows操作系统无一幸免,不足24小时席卷全球超过70个国家。

记者:哪些习惯容易中毒?

一秋:禁用系统的自动更新补丁功能,关闭系统防火墙。同时,经常访问不良网站也容易被病毒攻击。

记者:中毒后给比特币真的可以“解毒”吗?

一秋:网络上有人说支付了比特币可以获得解密软件,也有人说支付后也没有得到解密软件,但是个人认为不要盲目的支付比特币。

记者:应该如何预防勒索蠕虫病毒?

一秋:一是安装MS10-010漏洞对应的补丁(http://www.catalog.update.microsoft.com/

Search.aspx?q=KB4012598);2是关闭SMB服务:在Windows系统中点击控制面板→程序→启用或关闭Windows功能→取消勾选SMB1.0/CIFS 文件共享支持,重启电脑;3是开启系统防火墙,关闭文件共享功能,立即开启Windows系统防火墙,按照控制面板—网络和Internet—网络和共享中心—更改适配器设置—网络属性—取消勾选“Microsoft网络文件和打印机共享”操作,重启电脑;4是不要点击不明邮件内的链接或者附件。

记者:网友中毒后的第一反应应该是什么?

一秋:个人用户要学习windows文件扩展名(如EXE是可执行文件,jpg是图片等等);禁用系统的server服务(共享服务);不要过分依赖杀毒软件(很多病毒在制作完毕后会拿杀毒软件进行免杀!达到查杀不出来的效果后才会发布,但可以用杀毒软件对已知的漏洞进行修复和垃圾清理优化);遇到系统异常,要第一时间关闭电源,等待专业技术人员处理。

记者:企业中毒后该怎么办?

一秋:企业用户存储服务器建议用linux!重要数据文件不应存放一处,遇到类似病毒应卸掉硬盘,用PE或ubuntu等系统引导,将已感染和未被感染的数据分别储存,可减少损失。同时不要有病乱投医,用杀毒查杀,重做系统,删除数据再数据恢复等,都是不明智的处理方法!




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
分享到:
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

30 积分
16 主题