全球爆發(fā)勒索病毒 5月12日

2017-05-13 11:06?來(lái)源 綜合

　　全球爆發(fā)勒索病毒：2017年5月12日，英國(guó)、意大利、俄羅斯等全球多個(gè)國(guó)家爆發(fā)勒索病毒攻擊，中國(guó)大批高校感染勒索病毒，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復(fù)。

　　這次全球爆發(fā)勒索病毒受到攻擊的地區(qū)還包括俄羅斯，西班牙、意大利等整個(gè)歐洲，甚至是中國(guó)的很多高校也沒(méi)能幸免。

全球爆發(fā)勒索病毒：NSA黑客武器搭載的勒索病毒感染現(xiàn)象

　　據(jù)360安全中心分析，此次校園網(wǎng)勒索病毒是由NSA泄漏的“永恒之藍(lán)”黑客武器傳播的。“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口(文件共享)，如果系統(tǒng)沒(méi)有安裝今年3月的微軟補(bǔ)丁，無(wú)需用戶(hù)任何操作，只要開(kāi)機(jī)上網(wǎng)，“永恒之藍(lán)”就能在電腦里執(zhí)行任意代碼，植入勒索病毒等惡意程序。

　　由于國(guó)內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲(chóng)病毒，部分運(yùn)營(yíng)商對(duì)個(gè)人用戶(hù)封掉了445端口。但是教育網(wǎng)并無(wú)此限制，存在大量暴露著445端口的機(jī)器，因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū)。正值高校畢業(yè)季，勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改，直接影響到畢業(yè)答辯。

　　感染勒索病毒的磁盤(pán)文件會(huì)被篡改為相應(yīng)的后綴，圖片、文檔、視頻、壓縮包等各類(lèi)資料都無(wú)法正常打開(kāi)，只有支付贖金才能解密恢復(fù)。兩類(lèi)勒索病毒，勒索金額分別是5個(gè)比特幣和300美元，折合人民幣分別為5萬(wàn)多元和2000多元。

　　360針對(duì)校園網(wǎng)勒索病毒事件的監(jiān)測(cè)數(shù)據(jù)顯示，國(guó)內(nèi)首先出現(xiàn)的是ONION病毒，平均每小時(shí)攻擊約200次，夜間高峰期達(dá)到每小時(shí)1000多次；WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊，并在中國(guó)的校園網(wǎng)迅速擴(kuò)散，夜間高峰期每小時(shí)攻擊約4000次。

　　安全專(zhuān)家發(fā)現(xiàn)，ONION勒索病毒還會(huì)與挖礦機(jī)(運(yùn)算生成虛擬貨幣)、遠(yuǎn)控木馬組團(tuán)傳播，形成一個(gè)集合挖礦、遠(yuǎn)控、勒索多種惡意行為的木馬病毒“大禮包”，專(zhuān)門(mén)選擇高性能服務(wù)器挖礦牟利，對(duì)普通電腦則會(huì)加密文件敲詐錢(qián)財(cái)，最大化地壓榨受害機(jī)器的經(jīng)濟(jì)價(jià)值。

　　網(wǎng)絡(luò)安全公司 Avast 表示，已經(jīng)在世界各地看到了 75,000 個(gè)案例。

　　嗯，而這個(gè)病毒的名字是——WannaCry (想哭)，不知道這個(gè)名字說(shuō)出了多少人的心聲......

　　勒索病毒到底是什么病毒？

　　WannaCry 其實(shí)是一種勒索軟件（Ransomware），這是一種新型態(tài)的電腦病毒。類(lèi)似的還有: Crypt0L0ocker、CryptoLocker、CryptWall 等。而在國(guó)內(nèi)，大家可能最熟悉的應(yīng)該就是“熊貓燒香”了。

　　勒索病毒什么原理？

　　Ransomware 是個(gè)很特別的攻擊手段。過(guò)去的黑客往往喜歡“黑進(jìn)”你的電腦，手里拿著一個(gè)“萬(wàn)能鑰匙”（解密算法），撬開(kāi)你的鎖（加密文件）。

　　而網(wǎng)絡(luò)勒索正相反，黑客并不在乎你電腦里有什么，他們手里拿的是個(gè)“萬(wàn)能鎖”（Ransomware），逼你交錢(qián)以后才把這個(gè)“萬(wàn)能鎖”打開(kāi)。上鎖比開(kāi)鎖容易，加密也比解密要簡(jiǎn)單。所以網(wǎng)絡(luò)敲詐犯，不需要學(xué)太多計(jì)算機(jī)知識(shí)。可以說(shuō)是：只要拿到了 Ransomware，小學(xué)生都可以搞勒索。

　　而勒索軟件的常見(jiàn)發(fā)送方式包括：漏洞攻擊包、惡意廣告，或者大規(guī)模的網(wǎng)絡(luò)釣魚(yú)活動(dòng)這幾種。攻擊者往往會(huì)以大量傳播垃圾郵件、釣魚(yú)郵件的方式，一旦收件人打開(kāi)附件或者點(diǎn)擊郵件中的鏈接，勒索軟件就會(huì)以用戶(hù)看不見(jiàn)的形式默默在后臺(tái)安裝。

　　由于病毒是使用很高階的加密技術(shù)，受害人即使能刪除病毒也救不回被加密的檔案。而殺毒軟件頂多能移除病毒，但仍無(wú)法解密檔案。

　　勒索病毒傷害有多大？

　　FBI就曾揭露過(guò)，CryptoWall 這款對(duì)美國(guó)造成最大威脅的勒索軟件，最新版的CryptoWall 3 迄今已造成 3.25 億美元的損失。

　　一位來(lái)自臺(tái)灣的網(wǎng)友就曾分享過(guò)關(guān)于“勒索病毒” CryptoLocker 交付贖款的血淚史，盡管這位網(wǎng)友非常不愿意交高額贖金，但抱著1%可能恢復(fù)的希望，并提供中毒檔案與解碼檔案給民間高手分析，希望高手分析，并最好有解決方案。

　　嗯，這個(gè)時(shí)間是 2015 年的 11 月，可見(jiàn)類(lèi)似病毒早已出沒(méi)……還肆意至今……

　　管病毒管受害者直接要錢(qián)，在過(guò)去是行不通的。警方可以通過(guò)查找銀行的交易記錄，迅速追捕到罪犯?？稍诒忍貛虐l(fā)明出來(lái)以后，形勢(shì)一下子就變了。比特幣隨處可買(mǎi)，線上流通。它不需要身份證驗(yàn)證，也不需要去銀行管理。比特幣是個(gè)“去中心化”的金融體系，警察對(duì)比特幣交易無(wú)法追蹤。有了這么一個(gè)“地下交易”網(wǎng)，黑客們拿完錢(qián)后輕松逍遙法外。已報(bào)告的網(wǎng)絡(luò)勒索案，絕大多數(shù)都是通過(guò)比特幣支付的贖金。

　　由于當(dāng)前很多“勒索軟件”使用了比特幣虛擬貨幣，難以追溯，他們可以輕松獲利。不同勒索團(tuán)伙之間的競(jìng)爭(zhēng)甚至使得他們尋求更有效的傳播惡意代碼的方式。

　　而且還有規(guī)定時(shí)間內(nèi)完成，如果 120 個(gè)小時(shí)內(nèi)不完成贖金的話，價(jià)格就會(huì)上漲。

　　這位臺(tái)灣的受害者是從全家便利店購(gòu)買(mǎi)的比特幣，然后點(diǎn)擊驗(yàn)證付款。（受害者本人證實(shí)，確實(shí)付款碼只對(duì)該受害者電腦有效…… ）為什么呢？因?yàn)槊總€(gè)受害人都有一個(gè)專(zhuān)屬的付款帳戶(hù)，可以用一般瀏覽器去看付款主頁(yè)，但如果電腦關(guān)機(jī)之后再看付贖款網(wǎng)址，可能會(huì)無(wú)法連入。勒索文內(nèi)會(huì)提供一個(gè)叫 TOR 瀏覽器下載網(wǎng)址，安裝那個(gè)瀏覽器，才能進(jìn)入該網(wǎng)址。

　　贖金完成后，電腦文檔才被解碼。該受害者強(qiáng)烈建議，資料回復(fù)后立即備份，并將電腦系統(tǒng)進(jìn)行重裝。

編輯： yujeu