- 最後登錄
- 2024-5-21
- 在線時間
- 6 小時
- 註冊時間
- 2016-5-5
- 閱讀權限
- 50
- 精華
- 1
- UID
- 16395446
- 帖子
- 1011
- 積分
- 11144 點
- 潛水值
- 54400 米
| 若瀏覽伊莉的時侯發生問題或不正常情況,請使用Internet Explorer(I.E)。 本帖最後由 jkl1212145 於 2017-5-23 01:57 AM 編輯
卡巴防毒的文章 有裝卡巴的應該看過這文章
WannaCry:你安全嗎?
(5月16日,星期二更新)
前幾天看到木馬加密器WannaCry爆發的開始。它似乎是大流行的 - 一種全球性的流行病。我們在短短一天的時間內就算出了45,000多起的襲擊事件,但真實數字要高得多。
發生了什麼?
幾個大型組織同時報告了感染。其中有幾家英國醫院不得不暫停營業。根據第三方發布的數據,WannaCry已經感染了超過20萬台電腦。感染的數量是造成這麼多關注的原因的很大一部分。
俄羅斯發生的襲擊數量最多,但烏克蘭,印度和台灣也受到WannaCry的傷害。在剛剛的第一天,我們在74個國家發現了WannaCry。
什麼是WannaCry?
一般來說,WannaCry有兩部分。首先,這是一個漏洞,其目的是感染和傳播。第二部分是加密已被感染後,它被下載到計算機。
第一部分是WannaCry和大多數加密器之間的主要區別。為了感染具有公共加密器的計算機,用戶必須犯錯誤,例如通過點擊可疑鏈接,允許Word運行惡意宏或從電子郵件下載可疑附件。系統可以感染WannaCry而無需用戶做任何事情。
WannaCry:利用和傳播
WannaCry的創始人已經利用了被稱為EternalBlue的Windows漏洞,該漏洞依賴於Microsoft 今年3月14日在安全更新MS17-010中修補的漏洞。通過使用漏洞利用,惡意元素可以遠程訪問計算機並安裝加密器。
View image on Twitter
如果您安裝了更新,則此漏洞不再存在,並且嘗試通過該漏洞遠程攻擊計算機將失敗。然而,卡巴斯基實驗室的GReAT(全球研究和分析團隊)的研究人員想強調,修補漏洞並不能完全阻止加密器。因此,如果您以某種方式啟動它(請參閱上面的錯誤),那麼該補丁會讓您沒有任何好處。
在成功攻擊計算機之後,WannaCry嘗試以計算機蠕蟲的方式將自身擴展到本地網絡到其他計算機上。加密器掃描其他計算機可以利用EternalBlue可以利用的相同漏洞,當WannaCry發現易受攻擊的機器時,它會攻擊機器並加密其上的文件。
因此,通過感染一台計算機,WannaCry可以感染整個局域網,並加密網絡上的所有計算機。這就是為什麼大型公司遭受WannaCry攻擊最多的 - 網絡上的電腦越多,損害就越大。
WannaCry:加密器
作為加密器,WannaCry(有時稱為WCrypt或者沒有明確的理由,WannaCry Decryptor)與任何其他加密器一樣; 它加密計算機上的文件,並要求贖金來解密它們。它最類似於臭名昭著的CryptXXX木馬的變體。
WannaCry加密各種類型的文件(完整列表在這裡),包括可能包含關鍵用戶數據的辦公文檔,圖片,視頻,存檔和其他文件格式。加密文件的擴展名重新命名為.WCRY,文件完全無法訪問。
之後,木馬將桌面壁紙更改為包含有關用戶認為必須執行的感染和操作恢復文件的信息的圖片。WannaCry將通知作為具有相同信息的文本文件傳播到計算機上的文件夾中,以確保用戶收到該消息。
像往常一樣,這些行為需要將一定數量的錢,比特幣轉移給兇手的錢包。之後,他們說,他們會解密所有的文件。最初,網絡犯罪分子要求300美元,然後把利潤提高到600美元。
在這種情況下,男性因素也試圖恐嚇受害者,指出三天內贖金將會增加,而且七天之後,這些檔案將無法解密。
一如以往,我們不建議支付贖金。也許最令人信服的理由是不要放棄,不能保證罪犯在收到贖金後會解密你的檔案。事實上,研究人員已經表明,其他cyberextortionists有時只是刪除用戶數據。
域名註冊如何暫停感染 - 但為什麼它可能還沒有結束
有意思的是,名為Malwaretech的研究人員通過註冊一個長而荒謬的名稱來設法中止感染。
原來,WannaCry的一些版本解決了這個域名,如果他們沒有收到肯定的答復,那麼他們會安裝加密器並開始骯髒的工作。如果有回復(即域名註冊),惡意軟件將停止其所有活動。
在木馬代碼中查找到該域的引用之後,研究人員註冊了該域,從而暫停了攻擊。在今天的剩餘時間裡,這個領域被解決了數万次,這意味著數以萬計的計算機得到了倖免。
有一個理論,這個功能是內置在WannaCry - 像一個斷路器 - 萬一出了問題。研究者自己所接受的另一個理論是,它是使惡意軟件行為分析複雜化的一種方式。研究中使用的測試環境通常被設計為使得任何域返回正響應; 在這種情況下,木馬在測試環境中什麼都不做。
令人遺憾的是,對於新版本的木馬,所有的罪犯都要改變被稱為“斷路器”的域名,感染將恢復。因此,WannaCry疫情很可能會持續下去。
如何防範WannaCry
不幸的是,目前還沒有辦法解密WannaCry已經加密的文件(但是我們的研究人員也是這樣)。現在,預防是唯一的希望。
以下是關於如何預防感染和盡量減少損害的幾條建議。
如果您已經在系統上安裝了卡巴斯基實驗室安全解決方案,那麼我們建議您執行以下操作:手動運行掃描關鍵區域,如果解決方案檢測到MEM:Trojan.Win64.EquationDrug.gen(這就是我們的防病毒解決方案檢測WannaCry),刪除它並重新啟動系統。
如果您是卡巴斯基安全用戶,請保持系統監視器。打擊可能出現的惡意軟件的任何新變體是至關重要的。
安裝軟件更新。這種情況迫切要求所有Windows用戶安裝 MS17-010系統安全更新。Microsoft甚至為不再正式支持的系統(如Windows XP或Windows 2003)發布它。嚴重地,現在安裝它; 這很重要。
定期創建文件備份,並將副本存儲在不經常連接到計算機的存儲設備上。如果您有最近的備份副本,則加密器感染不是災難性的; 您可以花幾個小時重新安裝操作系統和應用程序,然後還原您的文件並繼續。如果您只是忙於處理備份,請利用卡巴斯基總安全性中內置的備份功能,可以自動執行此過程。
|
|