1. 程式人生 > >關於防範ONION勒索軟體病毒攻擊的解決辦法

關於防範ONION勒索軟體病毒攻擊的解決辦法

一夜之間,身邊的好多同學的電腦都中病毒了,特別是許多正在寫畢業論文的同學可真是坑大了,磁碟檔案會被病毒加密為.onion字尾,只有支付高額贖金才能解密恢復檔案,對學習資料和個人資料造成嚴重損失。根據網路安全機構通報,這是不法分子利用NSA黑客武器庫洩漏的“永恆之藍”發起的病毒攻擊事件。“永恆之藍”會掃描開放445檔案共享埠的Windows機器,無需使用者任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等惡意程式。

下面提供一些解決辦法:

1、為計算機安裝最新的安全補丁,微軟已釋出補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞,請儘快安裝此安全補丁,網址為:

https://technet.microsoft.com/zh-cn/library/security/MS17-010

2、關閉445、135、137、138、139埠,關閉網路共享。

3、強化網路安全意識:不明連結不要點選,不明檔案不要下載,不明郵件不要開啟。   

4、定期備份自己電腦中的重要檔案資料到行動硬碟、U盤,備份完後離線儲存該磁碟。

5、建議仍在使用windows xp作業系統的使用者儘快升級到 window 7/windows 10,如不便升級,推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞,並關閉受到漏洞影響的埠,可以避免遭到勒索軟體等病毒的侵害。NSA武器庫免疫工具下載地址:dl.360safe.com/nsa/nsatool.exe

注意:

 1最近不要在宿舍區登入教育網。2,儘量用正版wps 。不要用盜版office ,被感染的主要是office 檔案。3.及時對防毒軟體升級,做好資料備份。

5月12日晚,新型“蠕蟲式”勒索病毒軟體 WannaCry 在全球爆發,攻擊各國政府,學校,醫院等網路。我國眾多行業大規模受到感染,其中教育網受損最為嚴重,攻擊造成大量教學系統癱瘓。國內部分高校學生反映電腦被病毒攻擊,被攻擊的文件將被加密。

全球WannaCry勒索病毒爆發背後的技術漏洞

據統計,病毒是全國性的。5月13 日凌晨 1 時許,記者從山東大學官方微博看到,微博中釋出了一條"關於防範 ONION 勒索軟體病毒攻擊的緊急通知 "。

全球WannaCry勒索病毒爆發背後的技術漏洞

金山毒霸安全中心監測到Onion/ wncry敲詐者蠕蟲病毒在全國大範圍內出現爆發傳播趨勢,併發布緊急預防措施。

全球WannaCry勒索病毒爆發背後的技術漏洞

全球WannaCry勒索病毒爆發背後的技術漏洞

全球WannaCry勒索病毒爆發背後的技術漏洞

全球WannaCry勒索病毒爆發背後的技術漏洞

針對境外黑客組織Shadow Brokers爆出微軟高危方程式漏洞,天翼雲也發出Windows高危漏洞通知,強調WannaCry等攻擊者可以利用工具對通過135、137、139、445、3389埠獲取Windows系統的操作許可權,為保證您的資料及業務安全,強烈建議您使用者進行安全整改,以保證您的伺服器安全。

全球WannaCry勒索病毒爆發背後的技術漏洞

全球WannaCry勒索病毒爆發背後的技術漏洞

全球WannaCry勒索病毒爆發背後的技術漏洞

全球WannaCry勒索病毒爆發背後的技術漏洞

WannaCry 事件描述

經過分析,WannaCry 勒索軟體是不法分子通過改造之前洩露的NSA黑客武器庫中“永恆之藍”攻擊程式發起的網路攻擊事件,利用了微軟基於445 埠傳播擴散的 SMB 漏洞MS17-010,微軟已在今年3月份釋出了該漏洞的補丁。

Win7以上所有版本目前已有補丁,但是Win7以下的Windows XP/2003目前沒有補丁。對於開放445 SMB服務埠的終端和伺服器,確認是否安裝了MS17-010補丁,如沒有安裝則受威脅影響。

Windows系統一旦被WannaCry病毒感染後,會彈出一下對話方塊,攻擊者需要支付比特幣來恢復檔案。

全球WannaCry勒索病毒爆發背後的技術漏洞

目前,國內多個政府網和教育網大量出現WannaCry勒索軟體感染情況,一旦磁碟檔案被病毒加密,只有支付高額贖金才能解密恢復檔案,目前技術還無法解密該勒索軟體加密的檔案。

WannaCry 漏洞介紹

這種攻擊應該是利用了微軟系統的一個漏洞。該漏洞其實最早是美國國安局發現的,他們還給漏洞取名為EternalBlue(永恆之藍)。

Microsoft 伺服器訊息塊 (SMB) 協議是 Microsoft Windows 中使用的一項 Microsoft 網路檔案共享協議。在大部分 windows 系統中都是預設開啟的,用於在計算機間共享檔案、印表機等。Windows SMB遠端提權漏洞,NSA 洩露工具EternalBlue利用 SMB可以攻擊開放了445 埠的 Windows 系統並提升至系統許可權。

攻擊者與TCP協議的445埠建立請求連線,獲得指定區域網內的各種共享資訊,並對檔案施行加密等破壞性攻擊。深信服安全雲早在一個月前已更新微軟SMB漏洞檢測方案,並提供了安全應對方案。

全球WannaCry勒索病毒爆發背後的技術漏洞

在剛剛結束的RSA2017大會上,勒索軟體的防禦依然是一個熱門話題,RSA大會專門安排了一天的勒索軟體專題研討。儘管勒索軟體有愈演愈烈的趨勢,危害也越來越大,但是無論個人使用者還是企業使用者,很多人並不是完全的瞭解勒索軟體,重視程度也不夠,甚至還沒有找到正確的防禦方式。這個系列的軟文,希望在以往針對勒索軟體防禦分析的基礎上,能夠進一步深度分析勒索軟體,探討勒索軟體防禦的最佳實踐。

什麼是勒索軟體

首先需要明確的是,勒索軟體是一種典型的惡意程式碼,當電腦被感染了這種惡意程式碼之後,電腦中的某些檔案被加密處理,比如Office文件、圖片、視訊檔案等,造成使用者無法訪問這些檔案。由於勒索軟體是通過對檔案進行加密達到勒索金錢的目的,因此又稱為加密勒索軟體。

全球WannaCry勒索病毒爆發背後的技術漏洞

在上圖中,一種名為CryptolLocker的勒索軟體某些權威,已經將電腦上的檔案完成了加密,並提醒受害者,唯一的解密方式,就是通過付費來獲取解密的金鑰,而且必須在規定時間付費,否則將銷燬金鑰。

勒索軟體作為惡意程式碼的一種型別,已經存在很多年了,惡意程式碼通常是在系統後臺偷偷地執行,比如竊取資料或者進行遠端控制,使用者很難發覺,也沒有發生明顯的後果,很多時候都不去理睬。然而,勒索軟體的出現,直接造成了檔案被加密,無法訪問和使用,受害者遇到了這種情況,必須想辦法來解決。

加密勒索軟體如何工作

加密勒索軟體的傳播有多種方式,最常見的是利用了社會工程的攻擊方法,即通過釣魚郵件包含惡意程式碼,或者利用網站的釣魚連結,那麼當用戶點選了郵件包含的惡意程式碼,或者釣魚連結後,惡意程式碼利用電腦系統本身存在的漏洞,侵入系統,並在後臺開始執行。我們通過下面的示意圖,簡單描述了勒索軟體的傳播過程。

  • 1. 攻擊者利用社會工程的方法,含有勒索軟體或釣魚連結的郵件傳送到使用者的郵箱,或者在某些網站通過掛馬的方式,誘騙使用者點選。

  • 2. 使用者執行惡意檔案或點選釣魚連結後,勒索程式將利用終端系統存在的漏洞,在終端安裝並執行,並且有可能向C&C主機發起連線請求。

  • 3. 惡意程式連線到C&C主機後,基於受害者終端的特定資訊生成RSA金鑰對,並將RSA公鑰下載到終端上。

  • 4. 勒索軟體在後臺檢索檔案,同時生成一個AES金鑰,對檢索到的檔案進行加密處理;加密完成後,用RSA的公鑰再將AES金鑰進行加密,並儲存到檔案中。

  • 5. 攻擊者發出勒索資訊,以各種方式通知使用者支付贖金。

勒索軟體在對檔案進行查詢和加密進行過程中,使用者往往沒有感知,只有當檔案無法訪問後才發現,很多檔案已經被加密,已經無法訪問了。通常攻擊者會通過郵件或者替換牆紙的方式,通知受害者來支付贖金。

全球WannaCry勒索病毒爆發背後的技術漏洞

值得一提,有些攻擊者還提供了加密原理的知識介紹,告知受害者,如果檔案被加密後,唯一的解決方式,就是要拿到金鑰才能解密,通過這種方式去促使受害者儘快支付贖金,才可以拿到金鑰來解密檔案。

加密勒索軟體演變

勒索軟體的歷史,最早可以追溯到1989年,當時出現了一種被稱為PCCyborg的惡意程式碼,對電腦的檔名稱或資料夾進行加密,或者隱藏資料夾,造成使用者無法訪問檔案,必須支付189美元的贖金後,才能夠被解密。

全球WannaCry勒索病毒爆發背後的技術漏洞

我們看到,隨著時間推移,各種各樣的加密勒索軟體不斷出現,就如最新的WannaCry及其變種,伴隨著勒索軟體防禦技術的發展,攻擊者從加密技術到勒索金錢的支付方式,也在不斷開發更加複雜的勒索軟體。

加密勒索軟體使用的加密方式,從最初的對稱加密方式,發展到非對稱加密,現在更多的採取了混合加密的方式,並且加密強度也越來越高。例如,2013年出現的Cryptolocker,2016年出現的Locky都採用了混合加密的方式,金鑰長度達到了2048位。從加密原理來講,除非拿到金鑰,否則無法實現解密。

為了逃避追蹤,攻擊者從2008年開始採用數字貨幣的方式來索取贖金,比如比特幣,這樣做的目的,就是利用比特幣難以追溯的特性,逃避執法部門的追蹤,而且比特幣方便支付,便於受害者快速支付贖金。

加密勒索軟體的攻擊物件也在發生變化,從原來的以個人為攻擊目標,開始逐漸轉向企業。攻擊者這樣做的目的是,由於企業的資料的重要性,一旦被加密成功,企業迫於自身業務運營的壓力,通常會更快的支付勒索金錢,而且數額也更大。根據公開報道,在北美地區有學校、醫院等機構感染了勒索軟體後,迫於業務運營的壓力,不得不支付了數萬美元的勒索金。