勒索病毒是什么?勒索病毒如何防范什么是“勒索病毒”,勒索病毒怎么防范?

AquArius 279 0

勒索病毒是什么?勒索病毒如何防范

关闭445端口,安装防护安全软件,Windows用户不幸遭受wanacry勒索病毒攻击目前解决办法如下:(无论如何切勿支付赎金,有大量证据表明即使支付赎金文件也无法解密。)
Windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。
个人用户可以联系国内外安全厂商例如:奇虎360,金山毒霸,卡巴斯基,麦克菲尔,腾讯安全管家等安全中心寻求协助恢复重要数据。
利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版,并将文件拷贝至安全、无毒的U盘;再将指定电脑在关闭WiFi,拔掉网线,断网状态下开机,并尽快备份重要文件;然后通过U盘使用“勒索病毒免疫工具”离线版,进行一键修复漏洞;联网即可正常使用电脑。
利用“文件恢复工具”进行恢复。已经中了病毒的用户,可以使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复您的文档。
注意:也可持续关注相关安全厂商的处理办法,等待更加优越的完美解锁。

什么是“勒索病毒”,勒索病毒怎么防范?

勒索病毒属于新型恶意程序或代码。

勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。所以,勒索病毒,是一种新型电脑病毒,属于新型恶意程序或代码。

勒索病毒攻击技术已经从最开始单一的使用RDP暴破等攻击方式,逐渐向APT定向攻击进行演变,勒索病毒样本使用的加密算法、免杀技术、攻击模块也在不断增加,同时黑客也会通过RAAS平台来运营自己的勒索病毒,以赚取更多的利益。

勒索病毒是什么?勒索病毒如何防范什么是“勒索病毒”,勒索病毒怎么防范?-第1张图片-技术汇

勒索病毒的发展历史

这种病毒的诞生还要追溯到二十世纪八十年代,早在1989年哈佛大学博士学位的生物学家约瑟夫波普Joseph Popp开发了一款软件,并向世界卫生组织艾滋病会议的参加者分发了20000张受感染的磁盘,以艾滋病信息入门软盘命名,当软盘插入电脑就会感染该勒索病毒,弹出勒索提示信息框。

受害者必须支付美元以解锁电脑的访问权限,这就是最早的勒索病毒以及勒索攻击。我国国内首款勒索病毒Redplus于2006年被首次发现,这个病毒并不会删除电脑里的文件,而是把它们转移到一个具有隐藏属性的文件夹,然后弹出窗口要求用户将赎金汇到指定的银行账户。

下面分享相关内容的知识扩展:

勒索病毒(wannacry/wcry)专攻暴露445端口电脑破解需要重装系统


2017年5月12日开始,包括中国在内的全球近百个国家和地区部分电脑遭遇同一类勒索病毒(wannacry/wcry)的攻击。目前安全机构暂未能有效破除该勒索软件的恶意加密行为,用户只能进行预防,即更新微软发布的Windows更新补丁,并安装防毒软件,用户中毒后可以通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
相关教程:
如何自己重装win7系统
win7/win10系统电脑禁用445端口的详细教程
win7系统电脑使用360安全卫士免疫和防御“勒索病毒”的 ***
全球近百国家地区遭勒索病毒攻击
日前,全球近百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击,被攻击者被要求支付300美元比特币才能解锁。12日,安全软件制造商Avast表示,它已经在99个国家观察到超过57000个感染例子。
据社交媒体上用户贴出的照片显示,该勒索软件在锁定电脑后,索要价值300美元的比特币,并显示有“哎哟,你的文件被加密了!”(Ooops,yourfileshavebeenencrypted!)字样等的对话框。
13日,中国国家互联网应急中心发文称,互联网上出现针对Windows操作系统的勒索软件的攻击案例,勒索软件利用此前披露的Windows *** B服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物。
图被勒索病毒攻击后电脑弹出的窗口
这是最近几年极为流行的、依靠强加密算法进行勒索的攻击手段。与之前的攻击不同的是,此次勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久美国国家安全局(NSA)被泄漏出来的MS17-010漏洞,因此无需受害者下载、查看或打开任何文件即可发动攻击。
国内多个高校电脑遭遇病毒入侵
中国国家互联网应急中心还表示,勒索软件的攻击涉及到国内用户(已收到多起高校案例报告),已经构成较为严重的攻击威胁。从5月12日晚间起,中国多个高校的师生陆续发现自己电脑中的文件和程序无法打开,而是弹出对话框要求支付比特币等赎金后才能恢复。山东大学、南昌大学、广西师范大学、东北财经大学、电子科技大学中山学院在内十几家高校发布遭受病毒攻击的通知,提醒师生注意防范。
南昌大学官方微博发布的勒索软件病毒攻击的通知截图
部分高校通知称,近期国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。根据 *** 安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。
国内外被攻击的电脑中的是同一病毒
在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的媒体报道称此次攻击为“永恒之蓝”。这次WanaCry2.0系列攻击,实际上是一次蠕虫攻击,威力等同于当年的conficker。该蠕虫一旦攻击进入能连接公网的用户机器,就会利用内置了EnternalBlue的攻击代码,自动在内网里寻找开启了445端口的机器进行渗透。
中国国家互联网应急中心称,当用户主机系统被该勒索软件入侵后,用户主机上的重要数据文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件,都被恶意加密且后缀名统一修改为“.WNCRY”。
国内高校为何此次成病毒攻击“重灾区”?
各大高校通常接入的 *** 是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。
此外,如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但中国高校内,一些同学为了打局域网游戏,有时需要关闭防火墙,也是此次事件在中国高校内大肆传播的另一原因。
WanaCrypt0r2.0攻击流程图
相关 *** 运营商在骨干网ISP策略中习惯性禁止445端口的数据传输,防止蠕虫等病毒传播的策略,发挥了重要的作用。在本次漏洞事件中,间接地降低了本次漏洞所带来的风险。
电脑若中勒索病毒了怎么办?
根据中国国家信息安全漏洞共享平台(CNVD)秘书处普查的结果,互联网上共有900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。
据外媒报道,一名 *** 安全研究员声称他找到 *** 能停止这个病毒扩散,但警告这只是暂时性质的。
中国国家互联网应急中心表示,目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
中国国家互联网应急中心公布的有可能通过445端口发起攻击的漏洞攻击工具
此病毒与以往的勒索攻击事件一样,采用了高强度的加密算法,因此在事后想要恢复文件是很难的,重点还是在于事前的预防。
如何能预防电脑被勒索病毒“绑架”?
在防范上,国内多家安全机构均提示,一是,及时更新Windows已发布的安全补丁。在3月MS17-010漏洞刚被爆出的时候,微软已经针对Win7、Win10等系统在内提供了安全更新;此次事件爆发后,微软也迅速对此前尚未提供官方支持的WindowsXP等系统发布了特别补丁。二是,在电脑上安装腾讯电脑管家、360安全卫士等安全类软件,并保持实时监控功能开启,可以拦截木马病毒的入侵。
win7关闭445端口
Windows7系统用户可打开控制面板点击防火墙-高级设置-入站规则-新建规则-勾中“端口”-点击“协议与端口”,勾选“特定本地端口”,填写445后点击下一步,继续点击“阻止链接”,一直下一步,并给规则命名,可完成关闭445端口。
中国国家互联网应急中心还建议,关闭445等端口(其他关联端口如:135、137、139)的外部 *** 访问权限,在服务器上关闭不必要的上述服务端口;加强对445等端口(其他关联端口如:135、137、139)的内部 *** 区域访问审计,及时发现非授权行为或潜在的攻击行为;由于微软对部分操作系统停止安全更新,建议对WindowXP和Windowsserver2003主机进行排查(MS17-010更新已不支持),使用替代操作系统;做好信息系统业务和个人数据的备份。

说文解字第11课:勒索病毒Ransomware

最近陆陆续续有许多人,不小心让电脑感染了勒索病毒,以至于重要的资料遭到加密封锁,需要交付巨额赎金,才能将档案解锁,这种可怕的病毒倒底要如何预防呢?

以赎金为目标的病毒

在勒索病毒出现之前,这世界上早就存在许多不同种类的电脑病毒,但是大多数的病毒都的行为在于破坏电脑,或是窃取使用者的帐号、密码以及信用卡资料等等资讯。对使用者而言,中毒后可能会让电脑无法开机、档案遭删除,或是因为帐号、密码外流,导致电子邮件、个人资料外泄,或是更惨的情况会因信用卡资料外流,而遭受盗刷等等危害。

但是勒索病毒一改这种窃取资料并循其他管道「获利」的方式,而是直接主动出击,当受害者的电脑不慎感染勒索病毒后,病毒就会主动将电脑中的图片、文件等档案透过金钥长度为2048bit的RSA演算法等等的加密方式,将档案加密,若没有正确密码,受害者就无法开启被封锁的档案。

在这之后,勒索病毒就会向受害者勒索赎金,并且要求限期支付,否则就要将档案删除。由于受到封锁的档案大多为充满回忆的照片,或是工作上重要的文件,所以受害者只好忍痛交付赎金。由于赎金通常会被要求以不易追踪的比特币进行支付,因此执法单位也不容易透过金流追踪犯嫌,增加了查缉的困难度。

勒索病毒的令一个麻烦之处,在于即便受害者有办法能在遭受感染后清除勒索病毒,也会因为档案已经被加密封锁,还是无法被正常开启,所以还是只能乖乖交付赎金,以换取解开档案的密码。

▲在感染勒索病毒后,病毒就会显示档案已被锁定与要求赎金的讯息。(图片来源: *** ,本图采用创用CC姓名标示-相同方式分享,作者为Motormille2)

时常备份是上上策

如果要预防勒索病毒的危害,最有效的方式就是定期将电脑中的档案备份,如此一来当勒索病毒入侵后,即便受害电脑的档案因为被加密锁定而无法开启,也能从备份中取回原始档案。

至于针对勒索病毒的备份对策,更好能将备份档案存放于没有连接到网路的储存设备,例如外接式硬碟或是烧录光碟。虽然NAS(简单地说就是能与网路连接的外接式硬碟)可以方便地进行档案备份,但是先前也传出针对NAS进行攻击的勒索病毒,虽然说透过系统更新后可以提高安全性并降低感染风险,不过笔者建议不要将NAS做为唯一的备份工具。

至于其他事前的预防对策,还可以透过安装防毒软体来阻挡勒索病毒入侵,有些防毒软体除了会扫瞄下载到电脑的档案,以利在之一时间过滤勒索病毒外,也会透过行为分析的技术,监控电脑上的档案是否有不正常的加密或操作,并主动进行备份以及提醒使用者,降低勒索病毒造成的危害。

万一真的不慎感染到勒索病毒,让档案遭到加密封锁且没有备份的话,还是可以死马当活马医,尝试透过解锁工具抢救档案,例如趋势科技就推出了免费的勒索病毒档案解密工具,提供受害者一线生机。

但由于解密工具不保证能解开所有档案,所以笔者仍需提醒各位读者,勤加备份并且养成良好使用习惯,不要下载来路不明的档案,并且在打开陌生E-mail时提高警觉,不要随意点击连结,才能避免受到勒索病毒的危害。

▲趋势科技提供的勒索病毒档案解密工具,有机会能解开被封锁的档案。(图片来源:趋势科技)

说文解字使用范例:

O:勒索病毒是种会向受害者索取赎金的新种病毒。

X:万一不幸中了勒索病毒,之一件事就是赶快传染给10个人以换取解锁金钥。

记一次中Phobos家族Devos勒索病毒

2021年5月28日,星期五早晨,像往常一样,照例打开电脑准备工作。突然发现桌面有几个莫名其妙的DOS运行窗口,虽有疑惑但并未仔细确认。将几个窗口直接关闭。关闭窗口几秒钟后,突然发现桌面上的图标或文件突然都变成了灰色。再仔细一查看。变成了灰色的文件后缀都莫名其妙加了一串值,在最后的后缀为Devos。突然惊醒,这东西似曾相识。预感到了事情不妙。

对于眼前的一切,我立即意识到了这是勒索病毒。然后我马上查看了一下除了桌面以外的其它盘符的文件。 一确认,我心都凉了半截。整个电脑大部分文件都变成了灰色状态(被加密后添加了文件后缀)。

我深知这种病毒的厉害。很害怕病毒在公司局域网持续传播,我立即拔掉了自己电脑的网线。拔掉网线后我想结束掉病毒程序,防止自己电脑文件都被加密。打开任务管理器想结束掉病毒程序,但不知道病毒的进程到底是哪一条,无法结束。后来眼睁睁的看着文件被逐步加密(中毒)。

由于电脑文件都被逐步加密(中毒),自己手头上确还有很多工作要做。只有想办法快速恢复工作。很无奈的决定重装系统,格式化整个硬盘。

在我重装系统的过程中,有同事在讨论某些文件无法访问和使用。 后来经过我确认发现都是Phobos家族的Devos勒索病毒。我意识到了事情的严重性。立马找来公司前台发了一个紧急通知。通知如下:

打开内网某台服务器,发现桌面上的文件都被加密了。并且在桌面上有我早上自己电脑上看到过的类似DOS窗口。

下午工作工程中再次发现某台内部用的服务器异常卡顿,桌面上也有超熟悉的DOS窗口,而这些运行文件的存放位置也异常诡异。存放位置位于用户账户下的music目录内。

由于服务器是公司内部公用电脑,有多个同事可以访问。于是将刚才几个异常目录下的文件调出来让同事确认是否是同事存放的。经过确认所有人都说这些文件不是他们存放的。因此我将这几个可疑程序进行了加密拷贝。方便后续的相应分析。

后续将这些异常文件拷贝到虚拟机进行运行,发现无论是否断网。这些病毒程序都可以大概十几秒钟时间里感染桌面及系统盘大部分文件。

中此病毒症状就是有电脑文件被加密。

病毒的研发者最终目的是勒索钱财(比特币),所以在加密一定文件后会给你提醒交付赎金的联系方式。联系方式如下:

当发现自己电脑中毒后,为了保证局域网更多电脑不被受损,请按照以下流程依次操作

个人认为此次我经历的传播方式就是共享文件传播,下图反映的就是中毒的某台电脑对整个局域网进行扫描。扫描出哪些电脑开启了文件共享,然后将没有密码共享的电脑及有密码共享但之前进行过连接的电脑文件夹建立成“映射磁盘”。然后将病毒程序放置在这些共享文件里。然后通过这些共享文件进行进一步的病毒扩散。

杀毒软件1:win10 自带 Windows Defender 软件
杀毒软件2:360安全卫士

经过确认,2款软件只要病毒库是最新版都可以进行相应的拦截与提醒。

其中:Fast \ NS-v2 \ Loggy cleaner3款软件为病毒文件,其它文件疑似属于病毒文件扩散用的配套软件。

勒索病毒Devos中毒过程演示.mp4

相关资料引用与学习:
1. 2021年最猖狂的勒索病毒之一 .devos后缀勒索病毒是什么?如何应对处理?
2. 勒索病毒为什么那么难破解.mp4
3. 遇到勒索软件千万别关机!被黑客勒索怎么破?
4. B站知名UP主 视频素材被勒索(视频75万人点赞、4万转发)