比特派钱包app官方下载安卓版|比特币勒索软件
读·解 | 细数比特币勒索攻击(一) - 知乎
读·解 | 细数比特币勒索攻击(一) - 知乎切换模式写文章登录/注册读·解 | 细数比特币勒索攻击(一)安华金和让数据使用自由而安全勒索攻击的演进2005年至今,勒索类攻击至少经历了四次技术形态的“演进”:· 2005年-2009年:冒牌应用软件兴起;· 2010年-2011年:假冒杀毒软件泛滥;· 2013年-2014年:“锁勒索”攻击肆虐;· 2015年至今:进入以“比特币”支付赎金为主的“加密勒索”时代。1、“起步”期:冒牌应用软件和假杀毒软件2005年,市场上出现了很多辅助操作计算机的第三方工具,而黑客借此编写了能够引起计算机异常的第三方系统工具。不知情的客户一旦使用此类“冒牌应用软件”就会导致操作系统出现各种问题,然后黑客就以向客户收取计算机维修费和安全检测费用为由诈骗钱财。2009年,杀毒软件大规模兴起,很多黑客又开始编写能够伪造安全问题的“假杀毒软件”。客户使用这种“杀毒软件”自然就会发现很多根本不存在的安全问题,然后“假杀毒软件”就会以修复安全问题为由,向蒙在鼓里的客户收取费用——处理每个假安全问题的费用高达40-100美金!同时,为了不让被骗客户起疑,黑客伪造的杀毒软件在界面设计风格及样式上都会与当时主流杀毒软件保持一致。不过,以上两种方式存在一个“弊端”,即在行骗过程中,黑客无法完全置身事外,不可避免要与受害人相接触,从而留下蛛丝马迹;正因如此,骗局一旦东窗事发,执法机关就很容易顺藤摸瓜,最终抓捕犯案的黑客。2、“成熟”期:锁勒索和加密勒索2012年之后,对黑客而言更“安全”的锁勒索和加密勒索开始成为主流。这两种勒索攻击行为大多采用TOR网络和比特币赎金,从而有效隐藏了收款过程中给执法者留下的追踪链条,大大降低了不法分子的被捕几率。不过锁勒索和加密勒索也存在明显区别,因为二者是基于不同层来阻断用户访问数据的。锁勒索锁勒索(locker ransomware),也被称为Computer locker。一般是通过锁定受害人计算机或手机的操作系统界面(大多仅是锁定屏幕),继而以“恢复正常访问”相要挟勒索比特币赎金。总体来说,锁勒索相对容易被破解,黑客的勒索界面大多伪装成司法机关以便于“威吓”。以手机端为例,锁勒索主要有两种方式:第一种方式,黑客添加一个置顶框在操作界面之上(覆盖住界面),从而达到阻止用户正常操作的目的。实际上,这种方式并未对系统中的底层文件做任何修改,只是添加了一层“阻断”界面而已,因此大都可以通过技术手段解除锁定,并不需要向黑客缴纳赎金。第二种方式,黑客利用某些系统漏洞拿到了root权限,从而设置屏保或修改锁屏密码,并以此对受害者进行勒索。这种方式也能够在损失一定数据的前提下,通过手机的recoery方式进行解锁。加密勒索加密勒索(crypto ranspmware)也被称为data locker。此种类型的勒索软件专门查找用户机器上有价值的数据,然后对这些数据进行高强度加密(如AES 256等),还会在加密的同时删除原始数据;加密勒索攻击一般不会对操作界面、鼠标和键盘等进行锁定,虽然数据文件被加密,但通常不会导致操作系统出现异常,受害者还可以使用计算机,只是难以通过单纯的技术手段破解被加密的文件等。如果受害者事先没有对数据进行备份,则很可能迫于压力向黑客支付比特币赎金。3、“商业”期:勒索软件即服务今时今日,勒索软件攻击的范畴定义已不再是单纯的黑客技术或恶意软件,其俨然形成了一套成熟的商业模式——“勒索软件即服务”(RaaS:Ransomware as a service),并围绕比特币勒索建立起了一条完善的产业链。例如:暗网中就存在大量出售比特币勒索服务的黑客团体,他们会提供模块化的比特币勒索服务组件,这些组件可以定制化的生成勒索套件,从而用来“帮助”那些还不了解或有特殊需求的恶意分子完成比特币勒索攻击,而恶意分子只需为相关服务支付一定的费用,以及指定收款钱包和赎金金额等即可。凭借种种“优势”,比特币勒索自2013年起进入发展的“快车道”,越来越多的黑客团伙从传统的恶意软件、银行木马、间谍软件、网络犯罪等模式转入比特币勒索。比特币勒索攻击对象1、偏向企业级目标的“定点打击”式勒索在这种方式下,黑客只追求高质量的目标,而不是制造更多的受害者,往往单笔勒索的比特币金额超过一万美金。2、偏向个人目标的“乱枪打鸟”式勒索在这种方式下,黑客主要是针对个人目标开展攻击,攻击的最终落点是个人数据,并通过快速、广泛、大量传播以感染更多受害者,继而诈取比特币赎金;这类勒索软件和病毒大多藏身于各种来路不明的广告或信息中,且感染源有很强的自动复制能力,虽然看似单笔勒索金额较低,但对于个人电脑、手机用户的危害一点都不亚于前者。比特币勒索攻击模型比特币勒索是一个相当复杂的攻击流程,可以对多种平台和软件发动攻击。主流比特币勒索软件可以根据不同的软硬件环境做出各种适应性变化,虽然比特币勒索软件千变万化,但核心依旧符合“感染、下载、执行、勒索、收款”这五大步骤。1、感染感染是整个比特币勒索的第一步,也是最关键的一步,主要包括:网络安全漏洞、垃圾邮件、下载器、僵尸网络、社会工程学和自我传播等途径;其中,不同的传播途径通常适用于不同的目标环境,当然也有大量组合使用的案例存在。例如:社会工程学辅助下的垃圾邮件一直是分发各种网络恶意软件的首选方法,比特币勒索也不例外。据统计,有七成以上的比特币勒索攻击是从包含恶意附件或恶意url的垃圾邮件开始的,而黑客为了保护自己不被追踪,发送垃圾邮件一般都会使用属于僵尸网络的服务器完成。2、下载当不知情的用户打开带有“感染源”的邮件、网址等等之后,恶意软件便会开始收集当前机器的信息,其主要目的有二:第一,识别当前机器的操作系统,直接选择一款“适合”对应操作系统的恶意软件并开始下载;第二,识别当前机器是否为虚拟机,如果确定是虚拟机或虚拟化环境,为了避免被发现,部分勒索软件还会选择终止此次攻击;如果确定是实体机,勒索软件则会把收集到的信息发送至黑客准备好的服务器上,同时从该服务器上自动下载一款“适合”目标机器的恶意软件。3、勒索在真正执行勒索软件之前,恶意软件会先尝试利用漏洞来获取一定的用户权限,同时尝试关闭一些系统自带的安全保护机制;其中一些勒索软件还会根据尝试关闭的情况,判断是否要继续开展攻击。当勒索软件被成功部署到目标机器上以后,下一步就要开始正式实施勒索攻击,而勒索攻击的方式则与勒索软件使用的技术有关,例如:两大主流勒索攻击类型——锁勒索和加密勒索(前文已经讲过,这里不再赘述)。4、扩散这一步和勒索攻击往往是同时进行的。勒索软件的扫描模块会自动通过被感染机器的网卡、驱动来探测网络中的其他机器以及机器上的其他电子设备,一旦发现可以访问的设备就会尝试把“感染源”复制到这些新的机器或电子设备之中,然后在新的机器或电子设备上继续重复这一套动作——感染、下载、勒索、扩散,直至勒索软件蔓延到其所能触及的整个网络范围。5、收款与其他货币不同,比特币不依靠特定货币机构发行,而是依据特定算法,通过大量计算产生。更重要的是,比特币应用密码学设计确保货币在流通交易环节的安全性与匿名性。黑客在勒索成功后,要求受害者以比特币支付赎金正是出于对其“安全性”的考量。可以说,比特币的出现“无意间”为黑客实施勒索攻击开辟了一条更加隐秘的通道,也值得所有企业和个人加以关注和重视。攻击类型防护建议攻击趋势攻击目标:数据库(未完待续)【精彩内容 · 敬请期待】发布于 2020-06-09 09:24勒索病毒计算机病毒恶意软件赞同添加评论分享喜欢收藏申请
恶劣帮凶!90%勒索软件赎金通过比特币支付_文化 & 方法_Adriana Hamacher_InfoQ精选文章
恶劣帮凶!90%勒索软件赎金通过比特币支付_文化 & 方法_Adriana Hamacher_InfoQ精选文章
报告老板:我们遭遇黑客勒索0.05个比特币_澎湃号·湃客_澎湃新闻-The Paper
:我们遭遇黑客勒索0.05个比特币_澎湃号·湃客_澎湃新闻-The Paper下载客户端登录无障碍+1报告老板:我们遭遇黑客勒索0.05个比特币2022-01-27 14:32来源:澎湃新闻·澎湃号·湃客字号原创 巴九灵 吴晓波频道勒索病毒之所以猖獗,一个重要原因是:制作者常常利用比特币支付的“匿名性”特点,逃脱警方追踪。文 / 巴九灵(微信公众号:吴晓波频道)这件事发生在一个月前。我们公司被黑客攻击了,黑客留下一封“勒索信”,如下:翻 译非常抱歉,由于设备安全问题,你的所有文件都已经被RSA和AES加密。如果你认为你的资料非常重要,唯一的解密方法是购买我的解密工具。你也可以删除加密文件或是重装你的系统。◎ 解密步骤如下:1.如果你没有比特币,你可以在一些网站中在线购买。比如……(两个网址)2.发送0.05个比特币到我的钱包地址……3.发送交付比特币的截图和你的个人账号到我的邮箱……我会把解密工具发给你。◎ 提示:1.不要重命名你的文件。2.你可以尝试用一些软件解密,但最后你会意识到这是徒劳的。3.如果你无法联系到我,你可以尝试把比特币转给我,并在传送信息中粘贴你的邮箱,我会联系你,并把解密工具发送给你。祝你度过愉快的一天。总结来说:我们遭遇了勒索病毒,文件资料被锁了,对方要求支付0.05个比特币,才给解密。事件经过与直接影响2021年12月13日,周一,“网管”老沈,如往常在10点左右到公司上班。上午时间,公司员工较少,老沈的工作压力相对较轻。类似事件是破天荒,头一回!一开始,老沈只是觉得某个程序出错了,看到勒索信时,才知道原来是中了勒索病毒。这时候,距离攻击时间已经超过12个小时。12月11日周六晚上的8点多时间,黑客就开始入侵我方服务器,服务器开始报错,频繁登录,有不明访问……这些都是留有痕迹的。彼时正值周末,且是双12这个购物节日,我方几乎无人值班。时间过去7个小时,12月12日凌晨3点,服务器被攻破了。我们的数据库被加密了。无论是Word还是Txt都被更改了后缀名,打不开。很快,这件事开始直接影响我们的办公效率。10点35分,一位曹姓同事,在公司大群发了一条信息:“OA大概多久能好呀……”我们的报销、打款、审批等事项,就放在OA(办公系统)上进行。这句话虽然没有指名道姓,但大家都知道,这是对行政部的老沈说的。无论是网页卡了,密码忘了,电脑坏了,还是打印机没动静了……都找老沈。老沈常常顾了这,顾不到那,做不到快速反应。但这次反应明显要快许多,不过是坏消息。10分钟后,行政部的一条消息在公司群里炸了锅:今天OA服务器无法正常使用,具体原因老沈还在进行排查,还请大家耐心等候,如有恢复,将在群里及时通知大家。“今天不会恢复了吗?有着急的文件今天要盖章。”一位女同事询问,配了一个流泪的表情包。刹那间,满屏的“恨铁不成钢”。初步应对失败与原因干了16年“网管”的老沈,对此并没有办法。我们的应对策略都遭到了失败。① 断网,但是黑客加密已经完成。② 尽可能备份,但财务等核心资料已经被加密。③ 找网警报案,虽已经立案,可侦破案件时间不确定,实在耗不起。④ 借助已有安全软件工具寻找是否存在公开解密工具,无果。我们也想遂了黑客的心愿。0.05个比特币,按照12月13日比特币5万美元的价格,对此我们需要花2500美元(折合人民币1.5万元左右)。相比于OA系统无法运作可能造成的损失,这笔钱不算多。但老沈觉得对方也可能出尔反尔,甚至在解密邮件上大做文章。最近也有类似的一则新闻:去年12月下旬,温州某超市的储值卡系统瘫痪,数据库信息均被加密。黑客留言,24小时内支付0.042个比特币(当时相当于1789.2美元)才提供解密工具。超市老板照做了,但黑客未履约。在这种情况下,意味着这件事很大可能是无解的。早在2017年,知名的杀毒软件供应商俄罗斯卡巴斯基实验室说,勒索病毒使用的加密算法无解,(中了勒索病毒后)重装系统才能继续使用,但被加密的文件将会丢失。那么如今呢?值得一提的是,在“净网2020”专项行动中,国内首名比特币勒索病毒的制作者巨某(涉案500余万元)落网。引用其中的专案组成员、启东市公安局网安支队民警黄潇艇的话来说:一般来说,没有病毒制作者的解密工具,其他人是无法完成解密的。勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的。据360安全大脑2020年相关报告称:超过3700例确认遭受勒索病毒攻击,最终帮助超过260例完成文件解密工作。即,仅只有7%的成功率。事态进一步严重化,12月13日下午两点50分,行政部进一步发布公告:本周OA服务器无法使用。问题出在哪里?勒索病毒卷土重来!回顾勒索病毒的发展史,2017年,勒索病毒“想哭”席卷了全球150个国家的30万台电脑,一般需要支付价值300—600美金的比特币方能解密。此后勒索病毒持续不断演变成为各个版本与类型。比如:加密文档、锁定屏幕、锁定硬盘、加密数据库,等等。国内企业遭遇的高峰期是在2019年。据亚信安全《2019威胁态势分析》,2019年中国勒索病毒感染量为全球榜首,占比达20%。老沈记得,当时(防护)措施都做完了,所以没中招。但2021年12月,在勒索病毒影响力似乎式微的时候,我们却中招了。据他猜测,这次出现问题的原因可能是安全服务软件到期。12月上旬时,我们的安全服务软件服务到期,本准备1月进行服务器迁移才续费。但这半个月时间,由于防火墙特征库到期,给了黑客可乘之机。这意味什么?打个比方,黑客是小偷,到我们公司偷东西。我们大门的管理以前是谨慎小心的,会经常换锁,小偷来我们公司门口转,寻找机会下手,但锁经常没两天就换了,很难很快匹配到合适钥匙。渐渐地,小偷失去兴趣。但直到锁出现连着十几二十天不换的情况,小偷因此有足够时间配钥匙。那么,勒索病毒是怎么碰巧盯上我们的呢?老沈怀疑是有人使用公司网络挖矿,或者有人无意间把外面的病毒带到公司,抑或是黑客“广撒网”的结果……总之,各种可能性都存在,难以确定。——一般来说,远程桌面、网页挂马、激活/破解、僵尸网络、数据库弱口令、漏洞、钓鱼邮件等都是勒索病毒进攻的常见方式。不得不提的是,多个信号提醒我们勒索病毒颇有卷土重来之势。近一年就发生多起巨头企业与重要国家机构出现勒索病毒事件,很是轰动。比如,2021年5月,美国最大的成品油管道运营商Colonial Pipeline遭遇勒索病毒攻击,其向美国东部沿海主要城市输送油气的管道系统因此下线,此事甚至引发美国总统关注。此外,在2021年,还出现华盛顿特区大都会警察局、石油巨头皇家壳牌、全球IT咨询巨头埃森哲、台湾存储组件制造商ADATA、厄瓜多尔国营电信运营商CNT等遭遇勒索病毒攻击,大量文件泄露和被窃取。据360安全大脑《2021年勒索病毒疫情分析报告》,2021年超4000位用户遭遇勒索病毒的攻击,高于2020年的超3700位,其中10月—12月是高峰期。其中,值得警惕的是,据美国国土安全部长去年5月的演讲提到,勒索病毒攻击的50—70%的对象都是中小企业,2020年总计造3.5亿美元损失。而思科去年10月发布的调查显示,42%的中国区中小企业在过去一年遭遇网络攻击,41%的企业相关损失超50万美元。5万块的教训与经验12月15日,我们被迫找了杭州一家安全服务商,由对方全权解决此事,花费5万块。这5万块,可以支付三次以上勒索病毒攻击的费用,相当于一套安全软件的费用,一个可以用三五年的防火墙特征库也是差不多的价钱。3天后,基本解决了问题。12月20日上午10点,OA恢复使用。具体到这家公司是如何解决问题的,老沈并不知情。“也许交了赎金,也许没有,也许弄清楚了勒索病毒的版本,找到了解密工具。”老沈说道。关键在于未来的防护,除了保障安全服务软件全天候运行,老沈强调还会“加强备份”。比如,财务数据以前是财务部门管理,只做本地备份,现在由老沈自己管,已经做了好几份备份。值得一提,据彭博社报道,上述提到的Colonial Pipeline虽然支付了赎金,但黑客解密过慢,最后还是依靠备份数据恢复系统的。此外,8月份,埃森哲遭遇勒索病毒后,黑客声称“从埃森哲窃取了6TB的数据,并要求支付5000万美元的赎金”,但埃森哲回应:“在事件发生后立即控制并隔离了受影响的服务器,并从备份中完全恢复了受影响的系统。”也就是说,备份数据可以较大程度避免损失。总结来说,勒索病毒之所以猖獗,一个重要原因是:制作者常常利用比特币支付的“匿名性”特点,逃脱警方追踪。但是好的开始是:如今国内存在不少与病毒制造者沆瀣一气的数据解密、恢复公司,它们承担着渠道商的作用,比如替病毒制作者分发病毒,利用国内企业不方便购买比特币代替交易等。参与的人多了,犯错的机会也就多了。在上述“净网2020”专项行动案例中,警方破案的关键在于,借助与病毒制作者有直接合作关系的数据恢复公司这一线索抓住了背后的病毒制作者。在近一个月时间里,比特币出现闪崩,一度跌到3.3万美元,为近半年时间的最低价。这对“勒索病毒产业链”的利益获得者也会是一个打击。最后强调的是,我们不建议支付赎金,如迫不得已,可以尝试“讨价还价”。至少有一个例子可以说明这一可能性:据媒体报道,2017年5月14日,台湾网友陈子聪中了勒索病毒,为此他发邮件向黑客“求情”:“我月收入400美元,要这样对我吗?”结果对方回应:“我们明显高估了你们的收入。所以你不用支付任何费用。待会系统将会帮你的计算机解锁。”作者 | 林波 | 当值编辑 | 李梦清责任编辑 | 何梦飞 | 主编 | 郑媛眉 | 图源 | VCG原标题:《报告老板:我们遭遇黑客勒索0.05个比特币!》阅读原文 特别声明本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。+1收藏我要举报#勒索病毒查看更多查看更多开始答题扫码下载澎湃新闻客户端Android版iPhone版iPad版关于澎湃加入澎湃联系我们广告合作法律声明隐私政策澎湃矩阵澎湃新闻微博澎湃新闻公众号澎湃新闻抖音号IP SHANGHAISIXTH TONE新闻报料报料热线: 021-962866报料邮箱: news@thepaper.cn沪ICP备14003370号沪公网安备31010602000299号互联网新闻信息服务许可证:31120170006增值电信业务经营许可证:沪B2-2017116© 2014-2024 上海东方报业有限公不可破解的比特币勒索病毒,究竟是怎样的? - 知乎
不可破解的比特币勒索病毒,究竟是怎样的? - 知乎首发于Odaily星球日报-探索真实区块链切换模式写文章登录/注册不可破解的比特币勒索病毒,究竟是怎样的?Odaily星球日报权威区块链媒体,36氪独家战略合作,让一部分人先读懂Web3作者 | 秦晓峰编辑 | 卢晓明出品 | Odaily星球日报(ID:o-daily)(电影《黑客帝国》剧照)2017 年,WannaCry 比特币勒索病毒攻击了包括中国在内的 150 多个国家,造成损失超 80 亿美元。此后各类勒索病毒(NotPetya、Bad Rabbit等)虽层出不穷,但影响范围始终有限。近日出现的一款名为 GandCrab V5.2 加密货币勒索病毒,似乎大有再现 WannaCry “昔日荣光”的迹象,目前已在中国攻击了数千台政府以及企业的电脑。所谓勒索病毒,即设法让你的电脑中毒,锁死内部文件,要求用户通过比特币支付赎金才会解锁。包括慢雾、DVP 在内的众多安全团队都向Odaily星球日报表示,GandCrab V5.2目前不可破解,只能做好防御。GandCrab 团队不仅技术高超,而且“盗亦有道”:既信守承诺给赎金就“解毒”,还曾“人道地”将叙利亚等战乱地区排除在感染地区之外,因而曾被人称为“侠盗”病毒。不过,其却将中国、韩国视为其重要的攻击目标。GandCrab 幕后团队也通过出售病毒获得了 285 万美元收益。近年来针对加密货币的攻击日益增多,区块链安全事件频发。除了勒索病毒,恶意挖矿也一直不甘示弱。如果说,2017年攻击是以“勒索病毒”为主,2018年以“恶意挖矿”为主。现在,勒索病毒会否再次卷土重来?上千台政府、机构电脑感染新型的比特币勒索病毒再次肆虐。根据国家网络与信息安全信息通报中心监测,GandCrab V5.2 自 2019 年 3 月 11 日开始在中国肆虐,攻击了上千台政府、企业以及相关科研机构的电脑。截止发稿前,湖北省宜昌市夷陵区政府、中国科学院金属研究所、云南师范大学以及大连市公安局等政府、企业、高校均在其官网发布了遭受病毒攻击的公告。(夷陵区政府官网截图)根据网络安全分析师 David Montenegro 所言,GandCrab V5.2 勒索病毒目前已经感染了数千台中国电脑,接下来还将通过 RDP 和 VNC 扩展攻击影响中国更多的电脑。手段:垃圾邮件攻击GandCrab V5.2 又是如何让受害者电脑“中毒”的呢?据了解,该勒索病毒目前主要通过邮件形式攻击。攻击者会向受害人邮箱发送一封邮件,主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min,Gap Ryong”,邮件附件名为“03-11-19.rar”。(图片来自腾讯安全)一旦受害者下载并打开该附件,GandCrab V5.2 在运行后将对用户主机硬盘数据全盘加密,并让受害者访问特定网址下载 Tor 浏览器,随后通过 Tor 浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。 DVP区块链安全团队认为,除了垃圾邮件投放攻击, GandCrab V5.2 还有可能采用“网页挂马攻击”。即除了在一些非法网站上投放木马病毒,攻击者还可能攻击一些防护能力比较弱的正规网站,在取得网站控制权后攻击登陆该网站的用户。另外,该病毒也有可能通过漏洞传播,利用CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)以及 weblogic 漏洞进行传播。“攻击者会对受害者电脑里面的文件进行了不可逆加密,要想解开,只能依靠攻击者给你特定的解密密钥。”慢雾安全团队解释说,受害者只有付款才能获得特定密钥。不过,有时候也会发生受害者交了钱但攻击者不给密钥解锁的情况,慢雾安全团队认为攻击者所属团队的声誉高低可以作为一个判断依据。“勒索蠕虫知名度越高,越有可能给你发密钥,GandCrab 在暗网上的知名度还是很高的,口碑也不错。”慢雾安全团队说,“如果不发私钥就会降低声誉,其他被攻击者就不会再打钱了。”“关键是看,攻击者是否给受害者提供了一个联系渠道。” DVP区块链安全团队告诉Odaily星球日报,由于加密货币具有匿名性,攻击者很难判定受害者是否进行了打币操作,如果没有沟通渠道,说明攻击者根本无意解锁受害电脑。不可破解:地表最强的勒索病毒? “目前根本没有办法直接破解,一旦被攻击成功,如果电脑里有重要的资料,只能乖乖交钱领取私钥破解。”包括慢雾、DVP 在内的众多安全团队都向Odaily星球日报表示该病毒不可破解。(贴吧截图)然而,Odaily星球日报发现在一些论坛上,出现了宣称可以破解 GandCrab V5.2 的公司,条件是先付款,再破解。“基本上都是骗子,都是一些皮包公司,根本没有能力。”一家匿名的区块链安全公司表示,“腾讯、360等公司都破解不了,他们能破解?”“一些团队或个人宣称可以破解 GandCrab V5.2 ,其实是‘代理’破解。”慢雾安全团队解释说,“他们收你的钱,帮你向勒索者支付加密货币,从而拿到解密密钥(破解)。”攻击者来势汹涌,一时之间破解不了木马病毒,只能做好防御。宜昌市夷陵区政府也给出了一些应对之策,包括:一是不要打开来历不明的邮件附件;二是及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;三是在Windows中禁用U盘的自动运行功能;四是及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;五是对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。不过,慢雾安全团队指出,非 Windows 操作系统暂时并不会被感染。“GandCrab V5.2蠕虫目前只在Windows上运行,其他系统还不行。” “强悍”的病毒,也让团队在安全圈里“小有名气”。GandCrab 勒索病毒诞生于 2018 年 1 月,并在随后几个月里,成为一颗“新星”。该团队的标签之一是 “技术实力”强。今年2月19日,Bitdefender 安全实验室专家曾根据GandCrab自己给出的密钥(后文会解释原因),研发出 GandCrab V5.1之前所有版本病毒的“解药”。然而,道高一尺,魔高一丈。根据 zdnet 报道,今年2月18日,就在 Bitdefender 发布最新版本破解器的前一天,GrandCrab 发布了正肆虐版本(V5.2),该版本至今无法破解。目前在暗网中,GrandCrab 幕后团队采用“勒索即服务”(“ransomware as-a-service” )的方式向黑客大肆售卖 V5.2 版本病毒。即由 GrandCrab 团队提供病毒,黑客在全球选择目标进行攻击勒索,攻击成功后 GrandCrab 团队再从中抽取 30%-40% 的利润。“垃圾邮件制造者们,你们现在可以与网络专家进行合作,不要错失获取美好生活的门票,我们在等你。”这是GrandCrab团队在暗网中打出的“招商广告”。值得一提的是,GandCrab 是第一个勒索 Dash 币的勒索病毒,后来才加了比特币,要加 499 美元。根据 GandCrab 团队 2018 年 12 月公布的数据,其总计收入比特币以及Dash币合计 285 万美元。(GandCrab 收入截图) “盗亦有道”的侠盗团队?这款病毒的团队,另外标签是“侠盗”。该标签来源于2018年发生的“叙利亚密钥”事件。2018 年 10 月16日,一位名叫 Jameel 的叙利亚父亲在 Twitter上发贴求助。Jameel 称自己的电脑感染了GandCrab V5.0.3并遭到加密,由于无力支付高达 600 美元的“赎金”,他再也无法看到在战争中丧生的小儿子的照片。(Twitter截图)GandCrab 勒索病毒制作者看到后,随即发布了一条道歉声明,称其无意感染叙利亚用户,并放出了部分叙利亚感染者的解密密钥。GandCrab 也随之进行了 V5.0.5 更新,并将叙利亚以及其他战乱地区加进感染区域的“白名单”。此外,如果 GandCrab 监测到电脑系统使用的是俄语系语言,也会停止入侵。安全专家据此猜测病毒作者疑为俄罗斯人。(勒索者道歉图)一时之间,不少人对 GandCrab 生出好感,称呼其为“侠盗”。“ GandCrab 颇有些武侠小说中侠盗的意味,盗亦有道。”一位匿名的安全人员告诉Odaily星球日报,“不过即使这样,也不能说 GandCrab 的行为就是正当的,毕竟它对其他国家的人就没有心慈手软。”根据腾讯安全团队统计,GandCrab 受害者大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家。并且,GrandCrab V 5.2 版本所使用的语言主要是中文、英文以及韩文,说明中国目前已经成为其重要的攻击目标。(GrandCrab V 5.2 版本)“一个黑客如果对一个区域的人没有感情,那么作恶时就不会考虑这个区域的人的感受。”慢雾安全团队解释说,“在黑客看来,中国网络空间积金至斗,所以对中国下手也就不足为奇。”发布于 2019-03-19 20:00比特币 (Bitcoin)勒索病毒赞同1 条评论分享喜欢收藏申请转载文章被以下专栏收录Odaily星球日报-探索真实区块链新闻资讯、数据行情、技术解读、独家深度,一网
Buy/Sell Bitcoin, Ether and Altcoins | Cryptocurrency Exchange | Binance
Buy/Sell Bitcoin, Ether and Altcoins | Cryptocurrency Exchange | Binance
Error 403 Forbidden - This request is blocked.
For security reasons you can't connect to the server for this app or website at this time.
It maybe that you have too many requests or the illegal request payload is identified as an attack.
Please try again later.
比特币勒索软件全球爆发,这些技巧帮你避免中招【方法更新】 - 少数派
比特币勒索软件全球爆发,这些技巧帮你避免中招【方法更新】 - 少数派
PRIMEMatrix栏目Pi Store更多 无需申请,自由写作 任何用户都可使用写作功能。成功发布 3 篇符合基本规则的内容,可成为正式作者。了解更多退出登录反馈PRIMEMatrix栏目Pi Store更多 比特币勒索软件全球爆发,这些技巧帮你避免中招【方法更新】主作者少数派会员了解详情 >关注化学心情下2少数派作者少数派作者 曾经电商人和媒体人,现在的产品人,热爱摇滚乐,只混 IT 圈 化学心情下2关注化学心情下2少数派作者少数派作者 曾经电商人和媒体人,现在的产品人,热爱摇滚乐,只混 IT 圈 联合作者少数派会员了解详情 >关注化学心情下2少数派作者少数派作者 曾经电商人和媒体人,现在的产品人,热爱摇滚乐,只混 IT 圈 化学心情下2关注化学心情下2少数派作者少数派作者 曾经电商人和媒体人,现在的产品人,热爱摇滚乐,只混 IT 圈 2017 年 05 月 13 日 昨天夜间,全球近 100 个国家的计算机同时遭到了来自一款名为 wana Decrypt0r 2.0 的勒索软件的攻击。几乎同时,国内各大高校中教育网中计算机也遭到了攻击,有不少学生朋友已经中招。wana Decrypt0r 是什么?如何预防它?电脑感染以后又应该如何应对?这篇文章将给你答案。
什么是 wana Decrypt0r 2.0?
wana Decrypt0r 2.0 的前身是之前泄露的 NSA 黑客武器库中的「永恒之蓝」攻击程序,在被不法分子改造之后变成了一款「勒索软件」。被攻击目标在感染它之后,系统中的图片、文档、视频、压缩包文件等会被加密,并只有向勒索者支付 5 比特币或 300 美元的「赎金」才能将文件解锁。由于它采用了安全性极强的 AES 加密算法,因此很难被破解或者绕过。Wana Decrypt0r 2.0 中招画面 来源:idropnews:
wana Decrypt0r 2.0 会影响哪些系统?
wana Decrypt0r 2.0 目前会影响几乎所有的基于 Windows NT 内核的客户端/服务器操作系统,包括:客户端操作系统:Windows 2000、XPWindows VistaWindows 7Windows 8 / 8.1Windows 10(除Windows 10 Creators Update、build 15063)服务器操作系统:Windows Server 2008 / 2008 R2Windows Server 2012 / 2012 R2Windows Server 2016目前 wana Decrypt0r 2.0 只会感染 Windows 桌面操作系统,如果你使用的是 Linux 或者 macOS 则暂时不会感染,但依然推荐你及时进行安全更新,因为并不知道勒索软件是否会更新从而支持攻击 Linux 或者 macOS。wana Decrypt0r 2.0 如何传播?由于 wana Decrypt0r 2.0 基于之前的 NSA 黑客武器「永恒之蓝」攻击程序,因此其攻击方式均为通过向 Windows SMBv1 服务器发送特殊设计的消息,从而允许执行远程的攻击代码。黑客会在公网扫描开放 445 端口的 Windows 设备并植入勒索软件,而这一过程无需用户的任何操作,这也是其可以快速在全球传播的原因。对于国内的普通家庭用户而言,由于此前国内曾被利用类似技术的蠕虫病毒攻击过,因此国内运营商在主干网上封掉了 445 端口,但是国内高校的「教育网」并未封掉 445 端口,所以本次国内高校计算机成为了受感染的重灾区。此外,国内许多企业内部局域网也没有封掉 445 端口,因此企业内网中的 Windows 桌面设备感染 wana Decrypt0r 2.0 可能性也相当高。如何预防 wana Decryptor 2.0?为了防止中招带来的数据损失以及财产损失,以下的方式可以帮助你预防 wana Decrypt0r 2.0 勒索软件。最简单的方式:开启 Windows 安全更新本次遭到攻击的设备绝大部分都是教育网以及企业内网中的 Windows 设备,很大一部分的原因是这些设备并未及时安装系统更新。早在今年三月份,微软就已经针对 Windows 设备推出了月度安全更新,其中就已经包括了本次勒索软件 wana Decrypt0r 2.0 所利用漏洞的安全修补程序。因此,如果你还没有下载这个更新,你可以在 Windwos 中检查并下载安装,防范勒索软件。另外,你也可以单独下载安全修补程序 KB4012212 进行更新,并通过 MS17-010 了解更多相关安全问题。三月份月度安全更新下载临时解决方案一:禁用 SMBv1如果你的设备处于特殊环境,暂时无法通过 Windows 安全更新进行预防,那么你也可以通过禁用 SMBv1 来预防,具体操作如下:对于客户端操作系统:打开「控制面板」,单击「程序」,然后单击「打开或关闭 Windows 功能」。在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。重启系统。对于服务器操作系统:打开「服务器管理器」,单击「管理」菜单,然后选择「删除角色和功能」。在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。重启系统。临时解决方式二:使用系统防火墙封禁 445 端口如果你使用系统自带的防火墙,那么你可以通过以下步骤封禁 445 端口:打开「控制面板」在「控制面板」中选择「Windows 防火墙」点击左侧的「高级设置」,在弹出的「高级安全 Windows 防火墙」中选择「入站规则」新建规则,点击「端口」,点下一步;选中「TCP 」端口中的特定的本地端口,填写 445 端口后,再点下一步;然后点击「阻止连接」再点击下一步后;将所有网络选中,然后输入规则名称点击完成即可。临时解决方案三:关闭 445 端口(适用于 Windows XP 等)对于 Windows 2000 / XP 用户而言,因为目前微软已经结束了对这两款操作系统的支持,因此可以通过修改注册表的方式关闭:通过 Windows + R 打开「运行」输入 regedit,点击确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters。新建名为「SMBDeviceEnabled」的 DWORD 值,并将其设置为 0 重启电脑临时解决方案四:使用 360 的 NSA 武器库免疫工具如果你觉得通过修改注册表的形式太麻烦,也可以使用 360 推出的 NSA 武器库免疫工具进行检测,并根据软件提出的方案进行操作,从而避免中招。已经中招了应该如何应对?如果你的设备已经不幸中招,并且里面的资料极为宝贵且非常紧急,很遗憾,目前可能你只有支付赎金才能解锁文档。另外,根据勒索软件的描述,如果不支付赎金,一周后设备中的数据将会全部丢失。如果数据并不是非常紧急,你可以等待近期国内外安全公司给出的解决方案。也许在接下来的一段时间可以实现无损解锁,从而避免损失。想要避免今后被攻击,你还需要做这些:对于重要文件请及时备份至移动设备、 NAS 或者其他云存储中。无论是什么样的网络环境,请及时对系统进行安全更新,尤其是微软每月的安全更新,往往可以让你避免数据丢失所造成的灾难性后果。开启 Windows 防火墙避免类似的端口攻击。更新5 月 13 日 16 点:由于影响过于广泛,微软针对此前已经结束支持的 Windows XP、Windows Server 2003 以及 Windows 8 发布了单独的安全更新,用来封堵本次勒索软件所利用的安全漏洞,使用以上三款操作系统的用户或系统管理员点击 这里 下载更新。更多详情请参考 TechNet Blogs。5 月 13 日 19 点:国内安全媒体 Freebuf 公布了目前可以尝试的两种勒索软件中招解决方案:方法一,利用黑客在勒索赎金交易环节设计的疏忽,对其进行交易欺骗,具体操作步骤如下:1. 打开自己的那个勒索软件界面,点击 copy,复制黑客的比特币地址2. 把 copy 粘贴到 btc.com (区块链查询器) 3. 在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个 txid(交易哈希值) 4. 把 txid 复制粘贴到勒索软件中,并点击 connect us。5. 等黑客看到后,再点击勒索软件上的 check payment。 6. 再点击 decrypt 解密文件即可。方法二:使用开源的脚本(需要 Python 3 环境)来运行尝试恢复,本质与方法一相同。脚本下载地址Python 3 下载地址5 月 14 日 14 点(已失效):国外安全专家已经找到了勒索软件的一个「隐藏后门」,勒索软件在入侵时会尝试访问一个网址,如果可以顺利访问(返回相关网络状态码)就不再加密被入侵电脑中的资料文件,而目前这个网址已经被安全人员进行了注册,从而阻断了该勒索软件的进一步传播。但是目前该网址在国内访问不是很顺畅,我们可以通过修改系统 host 的方式,将其映射到国内一些网站的 IP 上,从而达到免疫的作用,具体修改操作为:1. 在「我的电脑」中进入到 C:\Windows\System32\drivers\etc 目录中,找到 host 文件2. 用「记事本」打开 host 文件3. 添加以下文本: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 220.181.57.2174. 保存退出5. 如果遇到权限问题,可将 host 文件拷贝至桌面,在桌面修改完成后再覆盖回源地址。5 月 14 日 15 点:据国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的 WannaCry 勒索病毒出现了变种:WannaCry2.0,与之前版本的不同是,这个变种取消了 Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。因此,采用修改 host 来访问「隐藏后门」的方式已经失效,不能保证免疫作用,请各位参考本文的其他方法或及时更新安全补丁。7957扫码分享 © 本文著作权归作者所有,并授权少数派独家使用,未经少数派许可,不得转载使用。 #热门文章
#信息安全
#Windows
79 等 79 人为本文章充电 扫码分享
举报本文章
举报 少数派会员了解详情 > 化学心情下2少数派作者
曾经电商人和媒体人,现在的产品人,热爱摇滚乐,只混 IT 圈
关注
全部评论(57)
请在登录后评论...
更多
推荐阅读
App 内打开 请绑定手机号码取消 前往绑定 关注公众号 sspaime 下载 App 联系我们 商务合作 关于我们 用户协议 常见问题 © 2013-2024 少数派 | 粤ICP备09128966号-4 | 粤B2-20211534© 2013-2024 少数派粤ICP备09128966号-4 | 粤B2-20211534 确定
如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响? - 知乎
如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册网络安全计算机科学计算机病毒勒索病毒Wana Decrypt0r 2.0(计算机病毒)如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响?近日网络上出现了一种名为“WannaRen”的新型比特币勒索病毒。它与2017年大爆发的“WannaCry”病毒类似,当用户电脑系统被“WannaCr…显示全部 关注者950被浏览785,620关注问题写回答邀请回答好问题 18714 条评论分享100 个回答默认排序火绒安全已认证账号 关注4.9日晚更新: 目前,火绒根据WannaRen勒索病毒作者提供的密钥,已经制作出针对该病毒的解密工具(下载地址见稿件)。安装运行后,只需点击“开始扫描”即可对被WannaRen勒索病毒加密的文件进行一键全盘解密,也可以将文件直接拖入工具框进行解密,无需其它操作。如果大家在使用中遇到其它相关问题,可随时联系我们获得帮助。此外,为避免不必要的风险,我们不建议大家使用WannaRen勒索病毒作者公布的密钥自行解密文件。4.9日下午更新:WannaRen勒索病毒作者主动提供解密密钥4月9日,“WannaRen”勒索病毒作者通过多方主动联系到火绒,并提供了相关解密密钥。经火绒工程师分析后,验证密钥有效,稍后我们也会发布针对该病毒的解密工具,欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。此外,我们也将在文末公布该密钥,分享给广大安全同行和专业团队,共同开发解密工具,帮助遭遇该病毒的用户解决问题,挽回损失。(文中“火绒工作室****@huorong.ltd”为用户私人邮箱)9日上午,一名火绒用户以解密为由,通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后,竟主动提供病毒解密钥匙,并要求该火绒用户将密钥转发给火绒团队,制作“相应解密程序”。从上述邮件可以看出,该病毒作者在使用英语进行交流后,又使用了中文进行沟通,再加上火绒此前披露该病毒使用易语言编写的情况来看,极有可能为国人所为。至此,随着事件发酵,各媒体、安全厂商进行了大量的曝光和溯源调查,截止目前,该病毒作者提供的比特币钱包未收到任何赎金,而该作者也已经停止下发、传播“WannaRen”勒索病毒。WannaRen勒索病毒解密密钥-----BEGIN RSA PRIVATE KEY-----MIIEowIBAAKCAQEAxTC/Igjuybr1QbQ1RmD9YxpzVnJKIkgvYpBrBzhsczHQ8WeC7ikmC5jTbum1eCxTFTxvtnONEy2qDbnSS5fbK/lxYExj6aDLKzQxXCOVSdSQCesWg1i5AAdUC9S246sdS9VKxT0QL24I+SG+ixckBhcB+ww6z47ACegoH0aLDwvRvehZYcc1qFr1lhRXQpHunrlg4WRphH5xBbszOI+dFRDOpprnbN56CHoLb0q1SzzV3ZFAFF6Df68Pux1wMHwEXbULRHo5AIZJPJq8L9ThWVsj6v42jAjJQ8m8bRh0+Jz4RohkWwPgL+VFxDG2AiiCU5/yLNoQX0JM9VWBxy6Z3QIDAQABAoIBADi/KoH06CMNtn7OCXbTepgGiKKcCVGMTHak8OgHCM6ty19tVnSLSvOTa2VDxIFs4AwAdHWhEzwtq/5/N1GhxeUFx+balPYq28z3HC1T4CZ7EWiJStVJtxOXCEzPTkJ+f9PO8dGJHRtJIzPuzhLg+fD2tg81GceZYRJ4yPMXLfWKA5DmGkRv/1Usq5zvMClLdrmw/q2rnCbRLdeEEAzSAi9kqsnEaZKfCbXb/gby+bUwAgn7mxs+CJ611hzD/r2w9dgXkaUJYuKRRv+BGlQHBRQ7hXogkIzeaGqmw8M3xko7xzADsytFYxt2Kthuww2YV4E6Q1Hl4bBW0q+gw+jSolECgYEA0Tnns+LaqMd5KCQiyWlCodQ2DtOMOefhIrJbRhdAkAq6FtVICxkLnIJL0gmo4T/zDaMr8vsn7Ck+wLjXUsYt1/EulLtVnuH76FU0PkjJqBdre5Gjf23/YGHW7DJEoH3p/7DIgV4+wXPu6dD+8eECqwm1hLACOxkfZnOFZ1VGxeMCgYEA8UYHjaA69ILlz0TzDzoRdTmam6RDqjsVO/bwaSChGphV0dicKue25iUUDj87a1yLU5Nqt0Kt0w1FL/iile1Eu4fe4ryukPGw2jAZh/xq7i2RRSFLXim5an9AbBVQ55478AJasTaIOSoODgBspsBLShnXQRKEfwYPv2GthhcJLT8CgYAssRDERQ3uBYXkxCtGGJzqEnllm1yVtelKTwzeIPNikVgErpRQAo6PZOmrOPMBAnb5j8RAh9OUR48m/ZTJEpoSSWtoy8dTQ/RaQXECaOviYvZLk+V3v9hQDzYoh+hO2/aS7oE12RrQmeILwd/jbOvz+wPyDuK7GvexG7YAR5/xfwKBgQCA8p6C0MnxeCv+dKk60BwYfKrm2AnZ5y3YGIgwh2HS5uum9Y+xVpnnspVfb+f/3zwPdNAqFZb1HziFBOtQGbkMSPeUUqcxjBqq4d4jUYKMvQnQ2pR/ROl1w4DYwyO0RlteUMPLxotTkehlD1ECZe9XMSxb+NubT9AGxtuIuLMM3QKBgGl0mYCgCVHi4kJeBIgabGqbS2PuRr1uogAI7O2b/HQh5NAIaNEqJfUaaTKS5WzQ6lJwhRLpA6Un38RDWHUGVnEmm8/vF50f74igTMgSddjPwpWEf3NPdu0ZUIfJd1hd77BYLviBVYft1diwIK3ypPLzhRhsBSp7RL2L6w0/Y9rf-----END RSA PRIVATE KEY-----4.8日晚更新:通过进一步溯源,我们发现国内西西软件园(西西软件园-西西游戏网-多重安全的软件下载基地)中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之一。分析发现,火绒捕获到的勒索病毒会在本地同时执行下载挖矿病毒和勒索病毒两个命令,还可以通过“永恒之蓝”漏洞进行横向传播,并与大多数勒索病毒一样使用了非对称的加密方式,因此暂时无法对其进行解密。而西西下载站内软件所携带的病毒传播脚本目前虽然只传播挖矿病毒,但不排除未来传播勒索病毒的可能性。令人担忧的是,通过搜索发现,该下载站的开源代码编辑器在同类软件中人气排名第一(如下图),或已致使不少用户受到影响。详细分析报告见:近期,网上出现一款名为“WannaRen”的新型勒索病毒。对于该网传病毒样本,各厂商进行了第一时间的处理。但经火绒分析溯源发现,该样本并非病毒样本,而是该病毒进行勒索后留给用户交赎金用的“解密工具”,经检测其中并没有恶意代码。另外,火绒已经溯源到真实的“WannaRen”勒索病毒并进行分析(详细分析后续发布),火绒用户(企业、个人)升级到最新版即可对该病毒进行拦截查杀。4月6日,有用户在火绒论坛等地反馈,表示中了新型勒索病毒,被加密文件后缀名变为“. WannaRen”,并被索取0.05比特币作为解密赎金。得知情况后,火绒第一时间对用户反馈的可疑样本进行拉黑查杀处理。随后,火绒工程师通过溯源分析发现,真正的勒索病毒已经在感染用户电脑后的第一时间就自我删除。留在用户电脑上的并非该勒索病毒,而是病毒用以获取勒索赎金的解密工具,被感染用户只有通过该工具提交赎金后才能获得密钥。另外分析还发现,该被病毒使用易语言编写,基本排除与“WannaCry”勒索病毒具有同源性。针对该勒索病毒,火绒已经解除了对其解密工具的拉黑行为,并对真实的“WannaRen”勒索病毒进行拦截、查杀。目前,感染该勒索病毒的文件还无法被破解。建议用户不要轻易使用安全软件对该解密工具进行查杀,以免无法赎回被加密的重要资料。最后,火绒也会密切关注该病毒的后续情况,如果您遇到所述问题,可随时联系火绒寻求帮助。附预防勒索病毒的方式:1、 重要资料进行多地备份2、 不点击陌生链接、邮件(附件),不浏览不安全的网站3、 及时修复系统漏洞4、 设置强度高的登录账号、密码5、 安装并开启合格的安全软件,并定期查杀病毒编辑于 2020-04-14 09:48赞同 1138204 条评论分享收藏喜欢收起yang leonierSiyah çerçeveli gözlük. 关注这病毒用来存储本体的肉鸡上面的那几个木马文件都还在,我直接下载回来了。WINWORD.EXE的微软签名是真的。难不成,用上hash碰撞了?但应该不是这样,只是拿合法的EXE去加载非法的DLL。这种玩艺不会用如此高大上的手段。这个UUID,查了一下是Word 2007的。看到这个pdb信息,我怀疑这部分代码真的来自Word 2007了。。文件的版本信息。查了一下12.0.4518.1014,发现有报道以前APT32“海莲花”的钓鱼邮件里面用了这个版本的winword.exe加载恶意wwlib.dll。看来这个winword.exe确实是微软的文件,可能只是WannaRen作者从哪里抄了这种手法,可执行文件都没有换一下。之前版本的回答里对这个exe多写了一点东西,但完全都是无用功。不过Word 2007启动要调用wwlib.dll,看一下我下下来的这个文件吧。有微软签名的这个WINWORD.EXE会骗过某些眼瞎的(没有这个wwlib.dll的特征码)的杀软,再启动这个不属于Word的木马本体wwlib.dll。我日,VMProtect壳。。。不好玩。但反正微软不可能用这个玩艺加壳。这玩艺挺大,估计脱了壳就是病毒本体了。至于you这个文件,一眼看出就是加密了。还有两个文件,一个是驱动,一个是应该属于这个挖门罗币的软件。这个驱动文件和Github下下来的完全一样,它确实是CrystalDiskMark作者的作品。看来这个木马,一边加密勒索比特币,一边还挖门罗币。可谓两不误。我回去再找块硬盘,看能不能把vmp加壳的主程序释放的文件再看一下。。根据360抓到的那段PowerShell脚本,木马会从某个国外网盘上下载两个文本文件,一个用于判断自己是否已经下载运行成功,一个则是判断是否下载运行挖矿程序。好像还有一个office.exe,用来本地局域网攻击的模块,我没成功下下来。更新:我找到了另一个版本的攻击PowerShell脚本,写的东西差不多,下载的东西不一样。nb.exe、office.exe都没了,yuu.exe下回来一看,一个WinRAR的自解压包,中文版WinRAR做的。duser.dll,太像木马了。而且好像还是易语言写的。userapp.exe其实是Win7的rekeywiz.exe,似乎rekeywiz.exe会导致Windows的knownDLLs机制失效,而直接把这个非系统的duser.dll加载了。网上查,似乎rekeywiz.exe被利用的情况有一些,以往有用公式编辑器漏洞攻击的Word文件下下来的东西会用它来加载恶意DLL。 9603ea7c66935f693721d3a09947e9d159b51252e352ba4abff04e1bdedd2f2a | ANY.RUN - Free Malware Sandbox Online谁玩门罗币的可以找f2pool矿池举报一下这个ID。编辑于 2020-04-09 00:12赞同 46836 条评论分享收藏喜欢
国内首个比特币勒索病毒案告破,三年获利500万-虎嗅网
国内首个比特币勒索病毒案告破,三年获利500万-虎嗅网
资讯
24小时
源流
视频
妙投虎嗅智库
投稿
2020-10-14 16:48
国内首个比特币勒索病毒案告破,三年获利500万HyperAI超神经©关注近日,全国首个比特币勒索病毒开发者巨某,被江苏南通警方成功捕获。巨某在三年的时间里,利用网络勒索病毒,已非法获利超 500 万元人民币。本文来自微信公众号:HyperAI超神经(ID:HyperAI),作者:神经小兮,题图来自:视觉中国10 月 8 日,据江苏省南通市当地警方通报,在“净网 2020”行动中,成功侦破了一起特大网络敲诈案件,3 名犯罪嫌疑人巨某、谢某和谭某落网。犯罪嫌疑人巨某,作为多个比特币勒索病毒的制作者,已成功作案百余起,非法获取的比特币折合人民币 500 余万元。病毒勒索:想要数据?比特币来换近年来,网络勒索病毒十分猖獗,防不胜防。全球各地企业、机构、甚至高校都会遭遇勒索病毒攻击。今年 4 月,江苏省南通市启东某大型超市收银系统就遭到了攻击,系统被黑客植入勒索病毒,因此瘫痪,无法正常运转。超市立即进行了报案,南通市公安局与市局网安等部门组成专案组进行侦查。通过数据勘验,专案组找到一份告知如何解密文件的全英文留言,要求受害人必须支付 1 比特币(时价约合人民币 47000 元)作为破解费用。黑客勒索留言:若想恢复文件,就给我钱包里打 1 个比特币此外,网警经对该超市的服务器进行数据勘验,发现黑客锁定的服务器中所有文件均被加密,文件的后缀名都变成了“lucky”,文件和程序均无法正常运行。而在 C 盘根目录下有个自动生成的文本文档,留有黑客的比特币收款地址和邮箱联系方式。超市服务器数据文件后缀都变成了“lucky”随后,尽管专案组做了大量工作,却始终没有进展。线索无处可寻,侦查陷入僵局。根据南通市公安局网安支队三大队副大队长许平楠介绍,“由于比特币均通过境外网站交易,追查难度较大,发起攻击的始作俑者身份往往成谜。”随着价格的不断上涨以及其本身的匿名性,比特币深受众多不法分子的青睐超市求助数据恢复公司,竟成破案线索就在警方无处下手的时候,案情出现了一丝转机。由于超市被锁服务器中有重要工作数据,如果格式化则损失巨大。因此,超市工作人员联系了一家数据恢复公司,以低于被勒索(1 个比特币)的价格,委托其解锁加密文件。后来这家数据恢复公司,竟然神奇地对服务器数据进行了成功解密。警方获悉这一情况后,认为其中可能另有隐情。因为,一般来说,勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的,没有病毒制作者的秘钥,几乎不可能完成解密。专案组成员、启东市公安局网安支队民警黄潇艇分析称,一般只有向勒索者支付比特币才能解密但经过进一步侦查之后,排除了数据恢复公司的嫌疑。原来该数据恢复公司之所以能够恢复数据,是因为他们通过邮箱与黑客取得联系,并支付 0.5 比特币获取了解锁工具,从而完成任务,赚取差价。专案组通过数据恢复公司而获取的新线索,以及深度研判分析,成功锁定犯罪嫌疑人的真实身份为巨某,至此案件侦破工作终于取得重大进展。5 月 7 日,专案组在山东威海将巨某抓获归案,并在其居住地查获作案用的电脑。在巨某的电脑中,民警找到了相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。证据面前,巨某(右二)对自己的罪行供认不讳巨某交代称,他开发了一款网站漏洞扫描软件,在获得相关控制权限后,就针对性植入勒索病毒。为避免破解和逃避公安机关的追查,巨某相继开发升级了 4 种勒索病毒,索要难以追查的比特币作为赎金,使用的都是境外网盘和邮箱。在江苏警方抓获犯罪嫌疑人前,巨某已经向 400 多家网站和计算机系统植入敲诈勒索病毒,受害单位覆盖 20 多个省份,涉及企业、医疗、金融等多个行业。其中,苏州的一家上市公司,因为勒索病毒破坏了其相关工作使用的数据库文件,导致整个生产系统无法正常运行,直接停工三天,造成了巨大的经济损失。自学达人,却走上犯罪道路这位巨某,可以说是被敲诈勒索“事业”耽误了的自学达人。据了解,巨某生于内蒙古赤峰,今年 36 岁。他自幼就喜好并自学计算机知识,精通编程、网站攻防等技术。之后,他成立了工作室,利用自己开发的软件炒股。起初还赚了不少,可最后以亏损 300 多万元而告终。债台高筑的巨某,偶然的一次机会得知了用勒索病毒敲诈的发财门路,于是走上了开发病毒程序之路。从 2017 年下半年开始,巨某一直都在研究“撒旦”等勒索病毒,以及漏洞利用程序“永恒之蓝”,并编写了“satan_pro”病毒程序用于作案。2018 年就曾有中了该病毒的客户请求数据解密公司解密,其勒索留言如下:据巨某交代,为避免破解和逃避公安机关的追查,他在“satan_pro”之后,又陆续升级开发了“nmare”、“evopro”、“svmst”和“5ss5c”4 款勒索病毒,江苏南通受攻击的超市收银系统,就是被植入了“nmare”病毒。除了索要难以追查的比特币作为赎金,巨某还通过境外的网盘和邮箱将解密软件发送给受害人,并经常更换,到手的比特币也都是通过境外网站交易。对于巨某来说,自己天衣无缝的计划堪称“完美犯罪”,但终究没能逃过警方的侦查。在作案期间,与他合作的一家数据恢复公司经营者谢某、谭某,也均因涉嫌敲诈勒索罪被逮捕。不知道这位巨某如今身陷囹圄,会作何感想。如果他利用所学知识,做一名网络安全工程师,人生历程就完全不同了。或许在未来的某一天里,铁窗里的他还会想起很多年前,敲下第一行代码时振奋、纯粹的自己。新闻来源:新浪财经:《全国首个比特币勒索病毒制作者落网:曾迫使一上市公司停工3天》南通公安微信公众号:《全国首个比特币勒索病毒制作者落网!南通破获特大制作使用病毒实施敲诈勒索案》本文来自微信公众号:HyperAI超神经(ID:HyperAI),作者:神经小兮本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com如对本稿件有异议或投诉,请联系tougao@huxiu.com正在改变与想要改变世界的人,都在 虎嗅APP
Copyright ©
虎嗅网 京ICP备12013432号-1
京公网安备 11010502037938号
勒索软件:至今的历史,未完的战役 - 知乎
勒索软件:至今的历史,未完的战役 - 知乎切换模式写文章登录/注册勒索软件:至今的历史,未完的战役卡巴斯基我们相信,每个人都有权利不受网络安全的困扰。如果您关注信息安全的世界,近年来勒索软件的名号您一定有所耳闻。您或许一度成为它们的攻击对象。就算把勒索软件看作我们这个时代最危险的恶意程序,应该也不算夸张。然而,您是否知道这种恶意程序已经存在了30多年,甚至早在上世纪90年代中期,就有研究者预测了当下其攻击方式的诸多特征?您是否想知道“cryptor”是怎样取代了“blocker”?史上最猖獗的勒索软件又是哪一种?勒索软件和艾滋病又有什么关系?请继续阅读,我们在下文中整理了勒索软件的历史,以及包括上述问题在内的一系列解答。让我们一起追踪数十年来横行肆虐的blocker、cryptor、wiper以及其他勒索软件。勒索软件词典在文章中,下面这些词汇将频繁出现:密码学:防止外人获取机密信息的科学。加密属于密码学的一个方面。对称加密:一种数据加密方式,使用同一个密匙对信息进行加密和解密。非对称加密:一种数据加密方式,使用两个密钥: 一个公共密匙于加密,另一个私人密钥用于解密。仅知道公钥是无法解密的,只有使用私钥才可解密。RSA:一种常用的非对称加密算法。勒索软件:指所有强迫受害者向攻击者支付赎金的恶意程序。勒索软件包括 blocker, 加密软件(cryptor), 以及伪装成加密软件的 wiper。Blocker:勒索软件的一种。Blocker 可以在计算机或移动设备上锁定或实施模拟阻挡。此类恶意软件会在所有窗口前长期显示要求支付赎金的信息。 Cryptor(加密软件):勒索软件的一种。对用户文件进行加密,使其无法使用。 Wiper(扫除者):一种恶意程序,能“扫除”(擦除)受害者设备上的数据。有时候,模拟成 cryptor 的勒索软件实际上是 wiper,它会无法挽回地将文件破坏掉。因此,即使支付了赎金,受害者仍然无法恢复数据。RaaS (勒索软件服务):一种犯罪方案,创作者将勒索软件出租给妄图散布勒索软件的人,藉此牟利。它就像是网络犯罪行业内的专属经营权。1989:史上首次勒索软件攻击生物研究员约瑟夫·L·波普(Joseph L. Popp)博士创造出了已知的史上第一个cryptor加密软件。波普利用了大众对艾滋病的好奇,因此,他创造的恶意软件被称为艾滋特洛伊木马。 那时,互联网依然处于发展初期,因此波普采取了非常原始的支付方式(以今天的标准来看)。得到世卫组织艾滋病大会和《PC Business World》杂志的订阅者名单后,他给受害者发了一张软盘,上面贴着 “艾滋病信息介绍软盘” 的贴纸,并附有安装该程序的详细说明。在该许可协议上有一则条款,表示安装程序的用户同意向公司支付378美元。但是一般人谁会注意到这种协议细则?实际上,安装程序会把恶意软件转移到硬盘驱动器。在系统经过了固定次数的启动之后,艾滋特洛伊木马就会被激活,对受感染计算机的C盘驱动器上的文件名 (包括扩展名) 进行加密。名称变成了一堆随机字符,使人无法正常使用文件。举个例子,要打开或运行文件,首先必须确定它原有的扩展名,并手动更改它。同时,恶意软件会在屏幕上显示一条信息,称软件试用已经结束,用户必须支付订阅费,年费189美元,或378美元买断。收到的钱会转入巴拿马的一个账户。臭名昭著的艾滋特洛伊木马这个恶意程序使用了对称加密,因此恢复文件的密钥就包含在代码中。因此,这个问题比较好解决,只需检索密匙,删除恶意程序,并使用密匙恢复文件名。1990年1月,《Virus Bulletin》 编辑顾问吉姆·贝茨 (Jim Bates) 创建了 AIDSOUT 和 CLEARAID 计划,以实施上述解密措施。最终约瑟夫·波普被逮捕了,然而法庭发现他的精神状态不适合接受审判。然而十年后,他出版了《大众进化: 人类学的生活教训》(Popular Evolution: Life-Lessons from Anthropology)一书。1995–2004:杨,容,以及未来的勒索软件或许是因为艾滋特洛伊木马的创造者没能因此发财,因此在当时,骗子们对加密数据并勒索赎金的想法并没有太大热情。直到1995年才有人对它重拾兴趣,而且仅限于在科学界。 密码学家亚当·杨(Adam L. Young)和莫提·容(Moti Yung)准备开发一种最强的计算机病毒。他们提出了使用非对称加密的勒索软件的概念。在加密文件时,他们的模型并未使用添加到程序代码中的密钥,而是使用了公共和私有两个密钥,这样一来解密密匙得到了保密。不仅如此,杨和容还假设受害者需使用当时还不存在的电子货币支付赎金。这两位网络安全的预言家在1996年的 IEEE 安全和隐私会议上演示了自己的想法,却没有收获好评。直到2004年《恶意加密:揭密密码病毒学》(Malicious Cryptography: Exposing Cryptovirology)出版,杨和容在书中将研究成果系统化。《恶意加密:揭密密码病毒学》2007–2010:blocker 的黄金年代当加密软件还在伺机出动的时候,世界见证了另一种勒索软件 blocker 的兴起。这种恶意软件相当原始,它将自己添加到windows的启动项中,从而干扰操作系统的正常运行。此外,为了避免被删除,blocker 的许多类型还会阻止注册表编辑器和任务管理器。这种恶意程序使用五花八门的方式阻止受害者使用自己的计算机,从关不掉的窗口到更换桌面壁纸层出不穷。其中有种支付赎金的方式是向某个电话号码发送短信。 想要让勒索软件 blocker 失效,很多时候不需要反病毒程序,而是需要用户施展一些特别技巧。要手动删除恶意程序,这点很重要,举个例子,可以通过Live模式启动系统,或使用系统修复盘运行安全模式,或者在其他配置文件下登录Windows。 然而,这种易于编写的木马病毒并不意味着低风险。因为技术门槛低,几乎任何人都可以散布这类病毒,甚至可以通过生成器实施自动分发。 有时,恶意程序会在桌面上放置一个色情横幅广告,称受害者查看了违禁内容 (此类套路沿用至今)。由于要求的赎金金额是可控的,许多人懒得寻求帮助,单纯付钱了事。2010:具有非对称加密的加密软件2011年,加密软件的开发者们开始动真格了。正如容和杨曾经预测的那样,不法分子开始使用不对称加密。例如,勒索病毒 GpCode 的一个改良版就是基于 RSA 算法。2013:CryptoLocker 混合勒索软件2013年下半年,混合勒索软件粉墨登场。这种勒索软件将 blocker 与加密软件相结合。这一概念增加了网络罪犯获得赎金的机会,因为即使删除恶意软件,移除了阻断,也无法恢复受害者对自己文件的访问权限。在混合勒索软件中,最臭名昭著的大概就是 CryptoLocker 了。这种恶意程序通过垃圾邮件分发,其背后的网络罪犯则接受比特币作为赎金。2015:Cryptor 取代 blocker2015年,卡巴斯基观察到加密软件开始了滚雪球式的感染尝试,攻击次数增长了5.5倍。cryptor 开始挤占 blocker 的空间。Cryptor 胜出的原因有多个。首先,用户数据明显比系统文件和应用程序更有价值,后者随时可以重新安装。通过加密用户数据,赎金叫价更高,网络罪犯敛财的机会也大大增加。其次,到2015年,加密货币开始广泛用于匿名汇款,因此攻击者不再害怕被追踪。随着比特币和其他加密货币越来越主流,使得在不暴露行踪的情况下获得大笔赎金成为可能。2016: 勒索软件大爆发作为网络安全领域的一股反动势力,勒索软件规模持续扩大,2016年勒索软件改版的数量增加了十一倍,平均赎金从0.5到数百个比特币 (当时的价格远低于现在) 不等。攻击的焦点从个人用户转移到企业部门,自然引发了针对这一新兴犯罪产业的讨论。比特币的特殊性使它成为了“通用赎金”网络罪犯不再需要亲自开发恶意软件,他们可以直接自行选购。举个例子,勒索软件 Stampado 的 “终身许可证” 曾被标价出售。该软件威胁受害者,若不在时间限制之内支付赎金,将随机删除文件。勒索软件还可以在RaaS (勒索软件服务) 模型下使用,该项目是随着 Encryptor RaaS 一同出现的。这一模型能将勒索软件传播得更广。除了企业和家庭用户之外,勒索者还盯上了政府和公共组织。有一个典型案例,HDDCryptor 感染了旧金山市交通运输机构的2000多台计算机。网络罪犯要求支付100个比特币 (当时约70,000美元) 来恢复系统,好在该机构的IT部门最后靠自己解决了这个问题。2016-2017: Petya、NotPetya 和 WannaCry2016年4月,名为Petya的新型恶意程序抛头露面。鉴于以往的加密程序不会破坏操作系统,以便受害者支付赎金,而 Petya 则会将受感染的计算机彻底封锁。它将MFT (主文件表)作为目标,这是一个数据库,将文件和文件夹的全部结构存储在硬盘上。尽管具有破坏性,Petya 的渗透和分配机制却十分粗糙。受害者必须手动下载并运行一个可执行文件才会激活Petya,这降低了感染的可能性。实际上,要不是另一个名副其实叫 “让你哭”(WannaCry)的勒索软件,Petya 不会受到多少关注。WannaCry爆发2017年5月,WannaCry 感染了全球超过50万台设备,造成了40亿美元的损失。它是怎么做到的?它结合了 EternalBlue(永恒之蓝)攻击,并利用 Windows 中一些非常危险的漏洞。木马病毒通过网络渗透,在受害者的计算机上安装 WannaCry。然后,恶意软件还会继续感染本地网络中的其他设备。在受感染的系统中,WannaCry 和通常的勒索软件一样,对文件进行加密并要求赎金。WannaCry 爆发后不到两个月,又出现了另一个为永恒之蓝攻击做了改进的加密软件 NotPetya,又称为 ExPetr。NotPetya 会将硬盘整个生吞活剥。此外,NotPetya 还对文件表进行了加密,即使在支付赎金后也不会解密。结果,专家得出结论,这实际上是一个伪装成 cryptor 的 wiper。NotPetya 总共造成了超过100亿美元的损失。鉴于 WannaCry 攻击空前的毁灭性,微软对不再支持的操作系统都发布了紧急补丁。还在支持的系统版本早在这两种勒索病毒爆发前就发布了对应更新,但并非所有用户都及时安装了更新。因此这两种恶意程序还可以刷上很长一段时间的存在感。2017: 百万美元赎金除了造成前所未有的损失之外,2017这一年间还创下了另一个记录,就是已知单个组织缴纳的最大额的赎金。韩国网络主机 Nayana 同意支付100万美元 (经过谈判已经打了22.2%的折扣),以解除对感染了加密软件 Erebus 的计算机的封锁。 最让技术界意外的是,该公司选择把赎金金额开诚布公。大多数受害者是不愿意将这种事情公开的。 2018-2019: 对社会的威胁过去几年中,对公用事业和社区设施的大规模勒索软件攻击值得注意。交通、水、能源和医疗机构意识到自己正面临越来越大的风险。网络犯罪分子也越来越指望他们付钱。毕竟,就算赎金再多,服务关闭也意味着成千上万的人将陷入困境。例如,2018年一场对英国布里斯托尔机场的加密软件攻击,使航班显示屏蓝屏了整整两天。工作人员转而使用白板,值得称赞的是,机场对袭击的反应迅速而有效。据我们所知,没有航班被取消,也没有支付赎金。布里斯托机场遭到网络攻击美国诊所汉考克健康 (Hancock Health) 的表现不佳,在勒索软件 SamSam 攻击其系统后,他们支付了4 个比特币(当时价值55,000美元)。首席执行官史蒂夫·朗 (Steve Long) 在对公司支付赎金的决定做解释时,提到当时即将面临暴风雪,而且还恰逢印象中最严重的流感季节。诊所只是没法及时靠自己恢复计算机。2018到2019这两年,美国共有170多个市政机构成为勒索软件的受害者,赎金要求高达500万美元。在这些组织机构中,更新操作系统并不容易,因此网络犯罪分子经常利用过时的漏洞,因为这样的“效果”更佳。2020: 规模扩大以及数据泄露勒索在2020年,除了感染规模、后果和赎金都在不断扩张之外,勒索软件还有一种新的混合操作,那就是在加密数据之前,把数据发送给实施网络犯罪的操作者,并威胁将信息泄露给竞争对手或公之于众。鉴于当今世界个人信息的高敏感度,这种操作对企业来说可能是致命的。这种策略最早是由Maze group在2019年掌握的,但在2020年,它成为一个真正的趋势。来自英国的Transform整容手术医院的遭遇,是2020年度最抢眼的勒索事件之一。REvil 黑客组织加密并窃取了他们 900GB 的数据,包括患者的术前和术后照片,攻击者威胁要发布这些照片。此外,加密软件运营商在2020年采用了一系列新策略。例如,REvil 集团开始拍卖被盗的信息。网络犯罪分子还联合成了卡特尔型垄断组织。头号罪犯就是Maze group,该团伙开始发布被 LockBit 加密程序窃取的信息。根据罪犯团伙的说法,现在他们正在与 LockBit 紧密合作,为数据泄漏提供平台,还共享他们的知识。 他们还吹嘘说,另一个著名的组织 RagnarLocker 将很快加入卡特尔垄断组织。RagnarLocker 是组织 DDoS(分布式拒绝服务攻击)受害者资源的开拓者,还能对其勒索的公司施加更多压力。结论30年以来,勒索软件已经从一个相对无害的玩具演变成对所有平台用户、尤其是对企业的严重威胁。为对抗威胁,请务必遵守一些安全规则。如果您遭遇了黑客攻击,最重要的是要寻求专家的帮助,不要顺应网络罪犯们成为金钱的棋子。发布于 2021-04-27 15:33勒索病毒信息安全WannaCry赞同 1添加评论分享喜欢收藏申请