• :
  • 全球爆发比特币勒索病毒,金山毒霸第一时间查杀防御-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [论坛公告] 全球爆发比特币勒索病毒,金山毒霸第一时间查杀防御

    [复制链接]
  • TA的每日心情
    开心
    2016-1-12 11:54
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2017-5-13 10:55:47 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
           从5月12日起,毒霸安全中心监测到Onion、WNCRY两类敲诈者病毒变种在全国大范围内出现爆发态势,与以往不同的是,此类新变种添加了NSA黑客工具包中的“永恒之蓝”0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播,没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染,所以目前感染用户主要集中在企业、高校等内网环境下。一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密并勒索高额的比特币赎金(折合人民币2000~50000不等)。
           从目前监控到的情况来看,全网已经有数万用户感染,QQ、微博等社交平台上也是哀鸿遍野,所以本次敲诈者病毒传播感染的后续威胁不容小觑。敲诈勒索病毒+远程执行漏洞的蠕虫式传播,这样的组合极大增强了本次病毒安全威胁的程度,对近期国内的网络安全形势都是一次严峻考验。

           在监测到本次敲诈者蠕虫传播威胁事件后的第一时间,我们的安全团队也迅速跟进,目前金山毒霸可以防御查杀本次的敲诈者蠕虫变种。下面给出我们针对本次敲诈者蠕虫的安全防御方案、传播分析、以及其他安全建议,尽力让用户规避或减少遭遇敲诈勒索的风险。

    传播感染背景
          本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种,本次感染事件首先在英国、俄罗斯等多个国家爆发,新闻报道有多家企业、医疗机构的系统中招,损失非常惨重。安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。从5月12日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。


    1.全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击

    duba_10

    duba_10


    2.24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10w+

    duba_1

    duba_1


          本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁,漏洞编号:MS17-010)。和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机,传播感染速度非常快。

    3.本次敲诈者蠕虫病毒变种通过“永恒之蓝”漏洞进行网络攻击

    duba_2

    duba_2


           虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口,但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标,对于企业来说尤其严重,一旦内部的关键服务器系统遭遇攻击,带来的损失不可估量。从我们检测到反馈情况看,国内多个高校都集中爆发了感染传播事件,甚至包括机场航班信息、加油站等终端系统遭受影响,预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。

    4.全国各地的高校内网的敲诈者蠕虫感染攻击爆发

    duba_3

    duba_3


    5.某高校机房全部遭遇WNCRY敲诈者蠕虫攻击

    duba_4

    duba_4


    6.国内某地加油站系统遭遇本次敲诈者蠕虫变种攻击

    duba_5

    duba_5


    7.某机场航班信息终端同样遭遇了敲诈者蠕虫攻击

    duba_6

    duba_6


    敲诈蠕虫病毒感染现象
            中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。WNCRY变种一般勒索价值300~600美金的比特币,而onion变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3万左右。此类病毒一般使用RSA等非对称算法,没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。从某种意义上来说这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。

    8.感染WNCRY勒索病毒的用户系统弹出比特币勒索窗口

    duba_7

    duba_7


    9.用户文件资料被加密,后缀改为“wncry”,桌面被改为勒索恐吓

    duba_8

    duba_8


           我们对部分变种的比特币支付地址进行追踪,发现目前已经有少量用户开始向病毒作者支付勒索赎金,从下图中我们可以看到这个变种的病毒作者已经收到19个用户的比特币赎金,累计3.58个比特币,市值约人民币4万元。



    10. 某个敲诈者蠕虫的比特币支付信息追踪

    duba_9

    duba_9


    防御措施:
    1. 安装杀毒软件,保持安全防御功能开启。推荐下载安装金山毒霸,我们安全团队已经在第一时间对该敲诈者蠕虫病毒加强了查杀防御措施。保持毒霸防御开启,       即可拦截此次的敲诈者蠕虫攻击。(毒霸下载地址: http://www.duba.net/)
    db1.png

    开启毒霸防御

    开启毒霸防御



    2. 及时更新升级系统,微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞,建议用户尽快升级安装。此次利用漏洞影响以下版本的操作系统:
    Windows XP/Windows 2000/Windows 2003 (微软已经不再提供安全补丁升级服务,建议关闭445端口)
    Windows Vista/Windows Server 2008/WindowsServer 2008 R2
    Windows 7/Windows 8/Windows 10
    Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
    补丁下载地址: https://technet.microsoft.com/zh-cn/library/security/MS17-010(建议根据系统版本下载安装对应的补丁升级包)

    duba_11

    duba_11

    3.谨慎打开不明来源的网址和邮件,打开office文档的时候禁用宏开启,网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道

    duba_16

    duba_16


    4. 养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件。本次敲诈者蠕虫爆发事件中,国内很多高校和企业都遭遇攻击,很多关键重要资料都被病毒加密勒索,希望广大用户由此提高重要文件备份的安全意识。




    点击下载金山毒霸





    使用道具 举报 回复
    靠 这病毒来得太快了,我的文件已全军覆没!不过我发现一个细节,希望对大家有用,我发现我很多程序能正常使用,后来发现两个文件夹不在他的目标内,分别是“Program Files”和“Program Files (x86)”,也就是说应急的办法可以先把比较重要的文件放到这两个文件夹里面。

    点评

    毒霸保持防御常开启,及养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件,这样子电脑会提高防御该病毒的能力。本次敲诈者蠕虫爆发事件中,国内很多高校和企业都遭遇攻击,很多关键重要资料都被病毒加密  详情 回复 发表于 2017-5-13 17:38
    使用道具 举报 回复 支持 4 反对 0
    希望快纠察出嫌疑人这种人活该被抓

    点评

    你不错啊,还有量子计算机,有钱!  详情 回复 发表于 2017-5-18 08:10
    使用道具 举报 回复 支持 3 反对 0
    发表于 2017-5-13 11:42:43 只看该作者
    我想问用中科院最近研制的量子计算机能否解密这些文件?

    点评

    肯定不行啊!就那点计算能力!  详情 回复 发表于 2017-5-14 18:35
    使用道具 举报 回复 支持 2 反对 0
    伟娓道来 发表于 2017-5-15 14:25
    无法上网,用你们的办法还原
    结果显示这样

    哥们,我和你一样,被那个教你怎么关闭445的方式弄的上不了网,后来自己百度各种方式启动DHCP CLIENT服务,结果都不行,花了2个小时,最后心想在CMD这里摔倒就要在这里爬起来,自己去研究了一下命令,最后把3个关闭的都重新开启就可以上网了。CMD命令真心害人啊,直接把答案告诉你
    net start rdr
    net start srv
    net start netbt
    sc config rdr start= auto
    sc config srv start= auto
    sc config netbt start= auto

    管它三七二十一,按照这个方式,把六条命令都输入,注意“=”后面有个空格,然后重启电脑就可以上网。我没检查我有没有打错字,希望帮到你。

    如果上网不了,打开“运行”输入msconfig,服务-DHCP CLIENT,看看是不是正在运行,如果停止的话。
    打开“运行”输入services.msc,找到DHCP CLIENT,双击,启动类型选择自动,点击应用,再点一下启动,如果启动不了,显示错误代码什么的,重新搞一遍,因为我就从最后这一步开始入手去弄的,5555555555555555555,2个多小时,真心累。


    金山安全卫士里面的QQ群根本没人上班,没人回复,差评!

    点评

    卫士那个群还有人?你们棒棒哒……  详情 回复 发表于 2017-5-16 06:50
    使用道具 举报 回复 支持 1 反对 0
    请金山毒霸提供这个补丁直接下载

    点评

    https://technet.microsoft.com/zh-cn/library/security/MS17-010 这个是补丁的链接,找到对应的系统下载即可。  详情 回复 发表于 2017-5-13 21:16
    使用道具 举报 回复 支持 1 反对 0
    本帖最后由 aokkede 于 2017-5-13 18:37 编辑

    不排除安装wine软件的linux也会感染 或者后续感染安卓苹果手机上 因为这个病毒制作者不排除会感染更大的范围
    使用道具 举报 回复 支持 1 反对 0
    老玩童是我 发表于 2017-5-13 13:44
    【4. 关闭用户共享和445端口。】445端口很容易就可以关闭,请问关闭用户共享;这里的“用户共享”指的是什 ...

    您说对了,赞一下
    使用道具 举报 回复 支持 1 反对 0
    amocken 发表于 2017-5-13 11:42
    我想问用中科院最近研制的量子计算机能否解密这些文件?

    问错路了                 
    使用道具 举报 回复 支持 反对
    靠计算量破解秘钥?不靠谱吧
    使用道具 举报 回复 支持 反对
    光颖流年 发表于 2017-5-13 12:36
    靠计算量破解秘钥?不靠谱吧

    可以用量子计算机运行希尔算法解密RSA。
    使用道具 举报 回复 支持 反对
    4. 关闭用户共享和445端口。】445端口很容易就可以关闭,请问关闭用户共享;这里的“用户共享”指的是什么?=“用户共享文件夹”还是“用户共享文件”之类的东西?请指教O(∩_∩)O谢谢。

    点评

    您说对了,赞一下  详情 回复 发表于 2017-5-13 17:35

    评分

    参与人数 1元宝 +50 收起 理由
    dblyf + 50

    查看全部评分

    使用道具 举报 回复 支持 反对
    zkk 发表于 2017-5-13 12:56
    可以用量子计算机运行希尔算法解密RSA。

    希尔算法是什么?
    使用道具 举报 回复 支持 反对
    zkk 发表于 2017-5-13 12:56
    可以用量子计算机运行希尔算法解密RSA。

    别扯了,这次的病毒想靠计算解出来的话要上万年。
    使用道具 举报 回复 支持 反对
    补丁不知道下哪个啊,刚刚下了一个1点多G结果弹窗说不适用该计算机。。。
    使用道具 举报 回复 支持 反对
    我的还没有中毒。 已经更新毒霸
    使用道具 举报 回复 支持 反对
    flshop 发表于 2017-5-13 16:07
    靠 这病毒来得太快了,我的文件已全军覆没!不过我发现一个细节,希望对大家有用,我发现我很多程序能正常 ...

    毒霸保持防御常开启,及养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件,这样子电脑会提高防御该病毒的能力。本次敲诈者蠕虫爆发事件中,国内很多高校和企业都遭遇攻击,很多关键重要资料都被病毒加密勒索,希望广大用户由此提高重要文件备份的安全意识。
    使用道具 举报 回复 支持 反对
    为什么  毒霸 没提醒   ms17-010 补丁更新
    使用道具 举报 回复 支持 反对
    amocken 发表于 2017-5-13 11:42
    我想问用中科院最近研制的量子计算机能否解密这些文件?

    那也得十年才能破解
    使用道具 举报 回复 支持 反对
    假期,加油卡不靠谱。
    使用道具 举报 回复 支持 反对
    stumr 发表于 2017-5-13 19:50
    请金山毒霸提供这个补丁直接下载

    https://technet.microsoft.com/zh-cn/library/security/MS17-010 这个是补丁的链接,找到对应的系统下载即可。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则