勒索病毒wannacry最新信息汇总

由于在短短几天时间内一举攻击了全球70多个国家并且在中国给各大高校狠狠的上了一课,最新的勒索病毒近期在中文互联网上刷屏了。此次勒索病毒大面积爆发事件的影响,堪比此前令人闻风丧胆的熊猫烧香病毒,在中国真正普及了“网络安全”的概念。

小编为大家整理了本次事件中出现一些有价值的信息供大家参考,限于小编的技术水平有限,部分内容可能存在疏漏,希望大家在评论区指出。

病毒勒索事件概况

从5月12日开始,勒索病毒在全球范围内爆发。

首先中招的是大英帝国。全英国上下多达25家医院和医疗组织遭到大范围网络攻击。医院的网络被攻陷,电脑被锁定,电话打不通.......黑客向每家医院索要300比特币(接近400万人民币)的赎金,如果3天之内没有交上,赎金翻倍,如果7天内没有支付,黑客将删除所有资料....

随后攻击面积不断扩大,中国大批高校也出现感染情况。众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。作为985院校之一的山东大学也没能幸免于难。

目前在传播的勒索病毒以ONION和WNCRY两个家族为主,中毒后的表现是:受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

勒索事件的起源

事情起源于两个顶级黑客组织的撕X:

NSA(美国国家安全局)的最强黑客组织“方程组”和专门贩卖重磅信息的顶级黑客组织“暗影经纪人”。

事件时间轴 1. 在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。

这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美元)。而“Shadow Brokers” 的工具一直没卖出去。

2. 北京时间 2017 年 4 月 8 日,“Shadow Brokers” 公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。 3. 北京时间 2017 年 4 月 14 日晚,继上一次公开解压密码后,“Shadow Brokers” ,在推特上放出了第二波保留的部分文件。 此次发现其中包括新的23个黑客工具。这些黑客工具被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EternalBLUE,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。

再后来的事情,就是EternalBLUE(永恒之蓝)被黑客利用来进行敲诈。

所以总结起来就是:

Shadow Brokers这家黑客组织公布了NSA的一些黑客工具,“永恒之蓝”只是其中一个利用445端口进行攻击的工具。这些工具被人利用,所以导致此病毒爆发。

勒索病毒的机制?

勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。

受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。

为什么此次病毒受害者多为高校、医院等机构?

前面已经说过,病毒是利用445端口进行攻击。由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。

中毒后如何解除?

很抱歉,目前几乎无解。

先不说高昂的勒索金额,有网友表示即使支付了勒索金额也无法解除。

如何防范勒索病毒?

1.备份重要文件

病毒以加密文件为手段进行勒索,倘若重要文件均已备份,用户就可以无所畏惧了。

2.更新补丁

微软发布了新的系统补丁帮助用户防范本次大范围病毒攻击,甚至连被抛弃N年的Windows XP 系统都得到更新补丁,这也从侧面证明了本次事件的影响有多恶劣。

3.关闭网络端口(应急)

3.1键盘Win + R运行,输入“CMD”,启动命令行窗口,注意,Win 8以上版本用户,需要按Win + X,选择“命令提示符(管理员)A”。接着输入:netstat -an 命令,检查打开的端口中,是否有445端口。

3.22.如果出现上图式样,就需要把445端口关闭,需要依次输入以下命令:

net stop rdr net stop srv net stop netbt

4.针对某域名进行设定(应急)

安全人员发现,病毒在勒索行为开始前,会尝试访问

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个网址,一旦病毒无法访问到网址,就会开始勒索行为。好消息是,该域名现在已被注册,所以病毒的传播有望停止。

由于众所周知的原因,建议大家修改一下HOST,将此网址指向国内可以稳定访问的目标网址。

当然,这种方法在黑客花几分钟修改一下访问域名后就会失效,所以还是建议大家采取前两条方法。

什么人可以不受影响?

目前尚未发现Windows系统以外的人受到攻击的消息。也就是说,对于大部分Linux用户来说,暂时没有必要担心受到此次事件的影响。

本次事件的启示?

1.信息安全是一个永恒的话题,总是在不断地演进中。道高一尺,魔高一丈,就是在不断斗法中不断深入。

2.感谢三大运营商,漏洞泄露的第一时间(3月份)就封锁了个人用户的445端口,否则现在受影响的就不仅限于高校用户了。

3.对于一部分人来说,迁移到其他操作系统比如Linux真的非常必要,即使仅仅是为了保护自己的资料安全也该进行迁移了。

4.以后的IT学习道路中,必不可少的学习模块必然是安全。虽然此次Linux未受冲击,但将来攻击必然会越来越多,安全也将越来越重要。

原文发布于微信公众号 - 马哥Linux运维(magedu-Linux)

原文发表时间:2017-05-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏域名资讯

Sedo榜单中,域名“加密世界”CryptoWorld.com七位数夺冠

在最新一期的Sedo榜中,英文组合域名“加密世界”CryptoWorld.com以194888美金的价格夺得Sedo榜冠军,该域名由域名大佬Mi...

210100
来自专栏吉浦迅科技

亲测一款能装Jetson TX2的小机箱

前天Lady发了一篇看老外如何给NVIDIA Jetson TX2装机壳,因为看到淘宝/京东 也正好有卖这款小机箱,所以Lady我就买了....

16540
来自专栏安恒信息

预警 | 医疗行业遭遇勒索病毒攻击

2月24日消息,据国内网友爆料,国内某医院今晨出现系统瘫痪状况,患者无法顺利就医,正值儿童流感高发季,医院大厅人满为患。据悉该院多台服务器感染勒索病毒,数据库文...

41370
来自专栏域名资讯

估值200亿的陆金所 其单拼域名价值千万

陆金所是中国平安于2011年在上海设立的线上财富管理平台。据今年7月份的报道称,陆金所的注册用户数已经超过3100万。据路透社旗下IFR消息,陆金所...

20800
来自专栏域名资讯

陆金所估值200亿 启用千万域名

IFR消息,陆金所计划2018年上半年在香港首次公开募股,融资规模30-50亿美元。陆金所的域名用的是极品单拼lu.com,传闻价值不低于8位数。据悉,早年陆金...

11800
来自专栏程序员宝库

号称自主国产浏览器,融资2.5亿!解压后竟然出现Chrome !

网友@Touko 把红芯浏览器 Windows 版的 exe 文件多次解压后,出现了广为人知的 Chrome,并且是 Chrome 49v。

12920
来自专栏域名资讯

好米有好价! “牛刀”双拼域名易主终端

中国是一个拼音的世界,拼音域名是指用汉字的拼音做域名的前缀,这样的好处是用户一看就明白这个域名的意思从而知道网站的内容,中文搜索引擎也对拼音域名很友...

22060
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(36)-SD-销售报价

在售前活动处理中,SD模块最常用的就是销售报价,用以记录对客户的报价,如果成单,报价单可以进一步转化为销售订单。 用途: 此业务情景描述标准销售报价的处理。收到...

37360
来自专栏腾讯云安全的专栏

Petya 勒索病毒来袭,腾讯云用户安全指引

6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家银行和公司,包括政府大楼的电脑都出现问题。腾讯云联合腾讯电脑管家发现相关样本在国内...

35200
来自专栏安恒信息

关于最新Petya勒索病毒变种,热点问题都在这里

北京时间2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇Petya勒索病毒最新变种袭击,政府、银行、电力系统、通讯系统、企业以及...

34660

扫码关注云+社区

领取腾讯云代金券