快好知 kuaihz

中了勒索病毒怎么办?勒索病毒WannaCry到底有多厉害如何防范

  什么是勒索病毒?中了勒索病毒怎么办?下面Mshishang小编和大家去看看勒索病毒WannaCry到底有多厉害?要怎么防范勒索病毒

  勒索病毒一般指WannaCry

  WannaCry(想哭,又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Window操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称,美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,最终带来了这一次攻击了150个国家的勒索病毒

  2017年4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:

工具名称

主要用途

ETERNALROMANCE

SMB 和NBT漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2

EMERALDTHREAD

SMB和NETBIOS漏洞,对应MS10-061漏洞,针对139和445端口,影响范围:Windows XP、Windows 2003

EDUCATEDSCHOLAR

SMB服务漏洞,对应MS09-050漏洞,针对445端口

ERRATICGOPHER

SMBv1服务漏洞,针对445端口,影响范围:Windows XP、 Windows server 2003,不影响windows Vista及之后的操作系统

ETERNALBLUE

SMBv1、SMBv2漏洞,对应MS17-010,针对445端口,影响范围:较广,从WindowsXP到Windows 2012

ETERNALSYNERGY

SMBv3漏洞,对应MS17-010,针对445端口,影响范围:Windows8、Server2012

ETERNALCHAMPION

SMB v2漏洞,针对445端口

  当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。

  WannaCry主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。(#注释:说明一下,“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称#)2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。2017年5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。2017年5月14日,监测发现,WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染 。

  WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。被该勒索软件入侵后,用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密,加密文件的后缀名被统一修改为.WNCRY,并会在桌面弹出勒索对话框,要求受害者支付价值数百美元的比特币到攻击者的比特币钱包,且赎金金额还会随着时间的推移而增加。

  目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。网络安全专家建议,用户要断网开机,即先拔掉网线再开机,这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁,或安装各家网络安全公司针对此事推出的防御工具,才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘,备份完后脱机保存该磁盘,同时对于不明链接、文件和邮件要提高警惕,加强防范。临时解决方案:

  开启系统防火墙

  利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)

  打开系统自动更新,并检测更新进行安装

  Win7、Win8、Win10的处理流程1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙。2、选择启动防火墙,并点击确定3、点击高级设置4、点击入站规则,新建规则5、选择端口,下一步6、特定本地端口,输入445,下一步7、选择阻止连接,下一步8、配置文件,全选,下一步9、名称,可以任意输入,完成即可。XP系统的处理流程1、依次打开控制面板,安全中心,Windows防火墙,选择启用2、点击开始,运行,输入cmd,确定执行下面三条命令:net stop rdr 、net stop srv 、net stop netbt

  揭开勒索病毒真面目专家教你如何防范

  央视网消息:从12日开始,一款名为“想解密”,又称“想哭”的勒索病毒在全球范围内疯狂传播。欧洲刑警组织14日称,已经有上百个国家和地区,数十万台电脑被感染,而后需要支付高额赎金,才能解锁计算机中被感染的文件。我国部分高校和大型企业的内网也遭受到病毒的波及。

  勒索病毒,从发现到大面积传播,仅仅用了几个小时,其中高校成为了重灾区。那么,这款病毒是一个什么样的病毒,如何传播,何以造成如此严重的后果呢?

  【记者现场演示】

  中毒前(红框内是即将演示用的勒索病毒)

  中毒后

  现在我们就见证一下它的威力到底有多大,我身后这台电脑就有一个勒索者蠕虫病毒样本就是这一个,桌面上还有一些照片文件我们先打开一个照片,是可以正常打开的现在我们请技术人员激活病毒,已经双击了,病毒被激活了,现在还没有反应,出现了很多的附件,现在黑屏了,这就算中毒了吗?

  技术人员:“对。”

  我们打开一个照片文档

  技术人员:“现在已经打不开了。”

  被感染蠕虫病毒后,不到十秒,电脑里的所有用户文件全部被加密无法打开。

  王刘娟电脑中毒后 文件出现大量乱码

  广西师范大学的王刘娟5月8日上网查询时,打开了一个陌生的附件,她很快发现,自己计算机里包括研究生论文在内的所有文件,有一些打开出现乱码,有的文件根本就打不开了。

  据广西师范大学设计学院2014级研究生王刘娟介绍说,杀毒、修复系统和重启电脑之后,发现所有的软件、所有的文件都被加密了。

  有类似遭遇的人不止她一个,国家计算机病毒应急处理中心的工程师告诉记者,这个名为“想哭”的病毒在加密了受害者的文件后会进行勒索,让受害者将价值300美元以上的比特币转到黑客的账户上,交了赎金才能解锁文件,还对交付提出了时间限制。

  国家计算机病毒应急处理中心工程师王文一认为,它的承诺是三天,以后赎金翻倍,一周以后你就没有机会再进行解密了,相当于你失去了文件。

  网络安全专家孙晓骏说,这个病毒利用了一个漏洞,但是我们用户没有打补丁的习惯,没有及时修复这次漏洞,这个病毒样本通过漏洞攻击了非常多的电脑。

  这款勒索蠕虫病毒是针对微软的永恒之蓝的漏洞进行传播和攻击的。一旦电脑感染该病毒,被感染电脑会主动对局域网内的其他电脑进行随机攻击,局域网内没有修补漏洞的电脑理论上将无一幸免的感染该病毒。而该漏洞微软在今年3月份已经发布补丁,对漏洞进行了修复。

  今日开机需谨慎 先断网自查

  工作人员建议,计算机使用者要谨慎打开来路不明的链接和文件,并及时备份重要的数据和文件,面对周一工作日带来的大范围开机,需要及时断网自查。

  国家计算机病毒应急处理中心工程师王文一说,我们需要先断网,断网之后对我们的机器进行自查,使用咱们网上的免疫工具,或者漏洞查询工具,查找看它是否存在漏洞,打好补丁。

  除此之外,对于在内网中经常使用的U盘和移动硬盘也要进行杀毒,确保病毒不在内网中进行扩散。

  专家:不建议支付赎金解锁文件

  在病毒爆发后,国家计算机病毒应急处理中心的工作人员已经对病毒进行了研究,目前针对该病毒虽然可以做到查杀,但被加密的文件暂时不能做到解密恢复。尽管支付赎金后文件会被解密,但增加了个人信息曝露的风险。

  国家计算机病毒应急处理中心工程师王文一

  国家计算机病毒应急处理中心工程师王文一说,如果咱们支付了赎金,可能会记录咱们的个人信息,包括咱们的账户等等个人信息,这些信息被他们利用之后,可能会变成二次进行攻击的目标。

本站资源来自互联网,仅供学习,如有侵权,请通知删除,敬请谅解!
搜索建议:勒索  勒索词条  病毒  病毒词条  WannaCry  WannaCry词条  防范  防范词条  厉害  厉害词条  
热点

 2015春晚魔术揭秘:到底有几个...

2015春晚魔术揭秘:到底有几个托儿?每年的春晚魔术节目都是一年的焦点,刘谦的魔术吸引了多少人的目光,2015年春节联欢晚会的魔术节目是《纸牌幻想》,是由香港魔...(展开)