本文目录一览:
勒索病毒的攻击过程是怎样的?
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
攻击流程
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
通过系统漏洞扫描网络中的计算机
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
入侵一台机器后再通过漏洞局域网横向传
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
弱口令扫描网络中的计算机
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
入侵一台机器再弱口令爆破局域网机器横
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图:
钓鱼邮件攻击逻辑
文章转载至:2018勒索病毒全面分析报告
勒索蠕虫病毒的最新数据以及你不知道的几个事实是什么?
5月15日,在众所瞩目的周一,在此次大规模勒索蠕虫爆发事件中,响应很快的360公司在下午2点40分左右召开了勒索蠕虫最新情况通报会,并接受了包括宅客频道在内的多家媒体采访。
该情况通报会上获得的最新信息,以及可能此前读者没有注意到的知识点:
1.勒索蠕虫病毒“周一见”,周一有很多用户中招吗?
360安全产品负责人孙晓骏:从个人用户看,勒索蠕虫病毒的感染速度已经放缓。在360安全卫士的5亿用户中,绝大多数用户在3月修复漏洞,不受影响,约20万没有打补丁的用户电脑被病毒攻击,基本全部拦截。
360企业安全的总裁吴云坤:我们很多工程师今天没有来公司上班,直接去客户公司上门服务。在这几天中,接到的相关客服电话2万多次。
某著名银行在周六上午六点半就建立了响应群,将免疫工具下发,八点半部署全国防护策略,从网络、服务器、终端360度无死角,到今天早晨十点半,全行无一例感染;
南宁市网信办联合发改委信息中心、南宁公安局网安支队在13日下午召开紧急会议,由网安支队提供360的第七套解决方案,并由网安支队刻了600张光盘,由发改委、网信办、网安支队一起发放全市各政府企事业单位,整个南宁的病毒感染率极低。
从我们的实际反馈看,证明了之前所有处置和响应工作是有成效的,360威胁情报中心接到的求助信息看,周一只有个别机构和企业有零星电脑感染。
2.此前,网称许多高校和政企用户受到了此次勒索蠕虫病毒攻击,到底数据是多少?
360安全产品负责人孙晓骏:基于病毒网络活动特征监测统计(覆盖非360用户)在5月12日至13日期间,国内出现 29000 多个感染WNCRY 1.0 勒索病毒的IP,备受关注的教育科研感染用户占比 14.7%,4316例,各行业具体分布情况如下图:
3.360公司首家发布了勒索蠕虫病毒文件恢复工具,到底恢复文件情况如何?
360安全产品负责人孙晓骏:离线版修复软件目前下载次数是50万次左右。
360核心安全技术总负责人郑文彬:具体文件恢复情况还要看用户处理的时间及系统情况。
4.关于勒索蠕虫病毒,你不知道的几个事实:
360核心安全技术总负责人郑文彬:
美国国家安全局(NSA)曾通过“永恒之蓝”武器控制了几乎整个中东的银行和金融机构。
已经有国外研究机构验证,交付赎金后确实可以解密文件,截至5月15日早晨,136人交了赎金,总价值约3.6万美元,三天后不交赎金就会涨价到600美元,距离最早一批被感染者的赎金涨价还有数个小时,目前依然有一些被感染者观望,希冀有破解工具。
其实,“想哭”勒索病毒有三波:0.1版:黑客通过网络武器传播,勒索用户,没有蠕虫功能;1.0版:具备蠕虫功能,大规模传播,5月12日到5月14日主力传播;2.0版:“想哭”勒索病毒,更换及取消了“自杀开关”。所谓“自杀开关”,是病毒作者为了防止蠕虫爆发不可控制设置的一个“开关”,如果检查特定的域名被注册,就不再继续感染,5月14日,“想哭”2.0更换开关余名,很快也被注册,14日“想哭‘2.0第二个变种,取消了自杀开关,继续传播。
这次事件是NSA 的“锅”吗?如果NSA不用这个漏洞,别人就会用,但在工具被公开后,NSA 应该及时通知公众。
360企业安全的总裁吴云坤:内网不是隔离地带!
此次事件中招的大部分是企业和机构内网以及物理隔离网,事件证明,隔离不是万能的,不能一隔了之、万事大吉。内网是隔离的,本来应该是安全岛,但内网如果没有任何安全措施,一旦被突破,瞬间全部沦陷。
所以在隔离网里要采取更加有效的安全措施。内网还不能轻易打补丁,有的一打补丁就崩溃,因此360首发了一个针对内网的“热补丁”,是通用的免疫措施。
其他重要数据和信息
1.欧洲今日灾情可能更严重。
相比于国内的灾情延缓,中新网5月15日指出,据外媒报道,欧洲刑警组织指出,至欧洲时间14日早上,多达150个国家的20万台电脑遭“想哭”勒索病毒侵害。预料,到15日,人们回返公司上班,这一数字还会进一步增加。
2.变种样本分析情况已出。
5月15日上午,绿盟科技给宅客频道发送了一份最新改勒索蠕虫最新样本分析报告,该报告指出:
5月14日,卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本,此变种没有包含域名开关,同时修改了样本执行过程中的某个跳转,取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。我们对此次的变种事件高度关注,以最快速度拿到样本并进行了分析。
通过初步的分析和与初代WannaCry样本的对比分析,绿盟科技认为目前搜集到的两个变种,应该都是在原有蠕虫样本上直接进行二进制修改而成的,不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种,以造成更大破坏。
从防护方面来看,变种样本仍然利用了MS17-010漏洞和DOUBLEPLUSAR后门进行传播,没有新的传播方式。
3.金山安全、腾讯等厂家在5月15日相继也推出了针对该勒索蠕虫的文件恢复工具。
1分钟看懂勒索病毒,勒索病毒通过什么途径传播
勒索病毒简介
勒索病毒,是一种新型电脑病毒,主要以邮件,程序木马,网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
传播途径
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的CC服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:
1、通过脚本文件进行Http请求;
2、通过脚本文件下载文件;
3、读取远程服务器文件;
4、收集计算机信息;
5、遍历文件;
6、调用加密算法库。
为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:
1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;
4、升级深信服NGAF到最新的防病毒等安全特征库;
5、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。
