当前位置:首页 > 网络安全 > 正文内容

勒索病毒的攻击方式(勒索病毒的基本攻击原理)

hacker2年前 (2022-07-23)网络安全126

全新勒索病毒传播方式与解决方案

全球多国遭受到全新勒索病毒的冲击,其传播途径与“想哭”WannaCry病毒类似。但最新勒索病毒很可能更危险、更难控制,目前多家安全公司已找到初步的解决方案,防止最新勒索病毒入侵。

目前,受影响最严重的国家是乌克兰,而且已经有国内企业中招。

此外,俄罗斯(俄罗斯石油公司Rosneft)、西班牙、法国、英国(全球最大广告公司WPP)、丹麦(航运巨头APMoller-Maersk)、印度、美国(律师事务所DLAPiper)也受到不同程度的影响。

勒索病毒的攻击方式(勒索病毒的基本攻击原理)

此前,国内的安全公司已确认该勒索病毒为Petya的变种,传播方式与WannaCry类似,利用EternalBlue(永恒之蓝)和OFFICEOLE机制漏洞(CVE-2017-0199)进行传播。

不过,卡巴斯基实验室的分析人员表示,这种最新的威胁并不是之前报道中所称的是一种Petya勒索软件的变种,而是一种之前从未见过的全新勒索软件。

尽管这种勒索软件同Petya在字符串上有所相似,但功能却完全不同,并将其命名为ExPetr。

传播方式

360首席安全工程师郑文彬称,此次最新爆发的病毒具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。

根据360的威胁情报,有用户收到带有附件名为“Order-20061017.doc”的邮件,该邮件附件为使用CVE-2017-0199漏洞的恶意文件,漏洞触发后从“http ://french-cooking.com/myguy.exe”下载恶意程序执行。

外部威胁情报显示,该勒索软件就是由此恶意程序最早传播。

据分析,病毒作者很可能入侵了乌克兰的专用会计软件me-doc,来进行最开始的传播。他们将病毒程序伪装成me-doc的升级程序给其用户下发。

由于这是乌克兰官方要求的报税软件,因此乌克兰的大量基础设施、政府、银行、大型企业都受到攻击,其他国家同乌克兰有关联的投资者和企业也收到攻击,这展示了此次勒索病毒变种的一个针对性特征,针对有报税需求的企业单位进行攻击也符合勒索病毒的牟利特点。

展开全文

根据360安全中心监测,此次国内出现的勒索病毒新变种主要攻击途径是内网渗透,也就是利用“管理员共享”功能攻击内网其他机器,相比已经被广泛重视的“永恒之蓝”漏洞更具杀伤力。

bootron.net博创互联是专业的西安网络公司,特价网站制作、微信网站制作、手机商城网站制作、网络运营、网络推广。免费为您公司网站安全保驾护航。

技术原理

据阿里云安全专家介绍,勒索病毒通过Windows漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。而这种勒索病毒在内网系统中,主要通过主要通过Windows管理体系结构(Microsoft Windows Management Instrumentation),和PSEXEC(SMB协议)进行扩散。

该病毒会加密磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR,病毒会进一步加密文档、视频等磁盘文件。

阿里云在对病毒样本进行研究后发现,操作系统被感染后,重新启动时会造成无法进入系统。下图显示的就是病毒伪装的磁盘扫描程序。

而该病毒对勒索对象的加密,可以分为以下7个步骤:

而该病毒对勒索对象的加密,可以分为以下7个步骤:

根据安天方面的消息,该病毒的勒索模块实际上是一个DLL文件,该文件被加载后遍历用户磁盘文件(除C:Windows目录下),并对指定后缀名的文件进行加密,加密后不修改原文件名和扩展名。

根据安天方面的消息,该病毒的勒索模块实际上是一个DLL文件,该文件被加载后遍历用户磁盘文件(除C:Windows目录下),并对指定后缀名的文件进行加密,加密后不修改原文件名和扩展名。

该文件修改MBR,同时,添加计划任务,在等待一段时间后,关闭计算机。当用户开启计算机时,会显示勒索界面和信息并无法进入系统。

与Wannacry的差异

据雷锋网宅客频道了解,这次的新型勒索病毒变种,是利用系列漏洞进行传播的新勒索病毒家族。与5月爆发的WannaCry相比,新型勒索病毒变种的传播速度更快。此次勒索病毒的主要特点有:

该勒索病毒使用了多种方式在内网进行攻击传播,包括使用了NSA的武器库中的永恒之蓝、永恒浪漫系列远程攻击武器,以及利用内网共享的方式传播。

因此不仅没有及时修复NSA武器库漏洞的用户会受影响,只要内网中有其他用户受到攻击,已经打了补丁的电脑也可能会受到攻击。

此次的勒索病毒会导致电脑不可用。此前的WannaCry病毒仅会加密用户文件,但是用户的电脑仍暂时可用,而此次的勒索病毒会感染用户电脑的引导区,导致用户电脑无法正常开机(强制显示勒索信息)。

此外,该勒索病毒加密的文件类型相比WannaCry少,一共有65种,而WannaCry为178种(包括常见文件类型)。

解决方案

目前,网络管理员可通过,监测相关域名/IP,拦截病毒下载,统计内网感染分布:

84.200.16.242

111.90.139.247

185.165.29.78

111.90.139.247

95.141.115.108

COFFEINOFFICE.XYZ

french-cooking.com

此外,还可以通过如下关键HASH排查内网感染情况:

415fe69bf32634ca98fa07633f4118e1

0487382a4daf8eb9660f1c67e30f8b25

a1d5895f85751dfe67d19cccb51b051a

71b6a493388e7d0b40c83ce903bc6b04

目前,包括360、腾讯、阿里云、安天、金山毒霸在内的各大安全厂商已经推出了初步的解决方案。

勒索病毒的攻击方式(勒索病毒的基本攻击原理)

以下是针对受害者的初步建议:

-目前勒索者使用的邮箱已经停止访问,不建议支付赎金。

-所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。

-安全补丁对个人用户来说相对简单。只需自学装载,就能完成。

-对大型企业或组织机构,面对成百上千台机器,最好还是能使用客户端进行集中管理。

-可靠的数据备份可以将勒索软件带来的损失最小化。

博创互联在此提醒广大网民要浏览安全网页,企业也需要注意谨防公司官网挂马,请勿使用非正常手段优化网站,不要随意下载插件压缩包等未知文件这将带来更大的风险。bootron.net博创互联是专业的网络公司,特价网站制作、微信网站制作、手机商城网站制作、网络运营、网络推广。免费为您公司网站安全保驾护航。

来源博创互联 http://www.bootron.net/zxxq?article_id=51

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:http://therlest.com/133221.html

分享给朋友:

“勒索病毒的攻击方式(勒索病毒的基本攻击原理)” 的相关文章

立秋是几月几日

说到立秋,大家可能还会觉得比较远,确实算一下也还有将近一个月的时间,大家知道今年的立秋是在什么时候吗,具体的时间是2020年8月7日09:06:03,星期五,农历六月十八,因此在这一天大家就可以吃很多的美食,那么接下来大家就随百思特小编一起了解看看~   立秋是几月...

黑客追款出款成功再收费「24小时在线的黑客追款」

据公务员期刊网2021年10月14日18:37:49的最新发布,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,黑客追款出款成功再收费。可能没有机会接触到钱。那时候我就有想过退步。 一、黑客追回网赌40万 首先确保整个无前期费用黑客追款方案是最有效的,在做一件黑客...

创业板投资风险揭示书,创业板风险揭示书

保荐机构(主承销商):中泰证券股份有限公司 苏州天路光科技股份有限公司(以下简称“天路科技”、“发行人”或“公司”)首次公开发行不超过2579万股普通股(a股)(以下简称“本次发行”)的申请,已经深圳证券交易所(以下简称“深交所”)创业板上市委员会委员审议通过,并经中国证券监督管理委员会(以下...

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

河北貂皮行情价格走势 「河北尚村貂皮最新行情」

2011年3月14日水貂皮价格行情月14日河北尚村貉貂皮,衣服款式新颖质量还好,看了一下几万的貂皮都有,特大毛绒尺寸在110CM以上,公头路市场一般180-200元上下,辛集,当然都贵点但是一般也太。 元/张,20091024/22最新-19648904jpg"width=500,要想买质量好价格又...

兼职收入贷款好贷吗 「打零工收入证明范本」

银行申请信用卡的话,兼职。已连续在我公司。 一些银行是可以的,有还款能力就可以申请贷款。承担清偿责任。比如军人、为人民币。 只是打一个电话而已「直接按照给你的收入证明里面需要填写的,可以好贷申请办理贷款。有的规定兼职收入不得超过主收入的50。 如名下房产范本、对于兼职收入的金额以及流水账单,某公司借...

评论列表

慵吋贪欢
2年前 (2022-07-23)

传播的新勒索病毒家族。与5月爆发的WannaCry相比,新型勒索病毒变种的传播速度更快。此次勒索病毒的主要特点有:该勒索病毒使用了多种方式在内网进行攻击传播,包括

只酷桃靥
2年前 (2022-07-24)

、网络推广。免费为您公司网站安全保驾护航。来源博创互联 http://www.bootron.net/zxxq?article_id=51

拥嬉冬马
2年前 (2022-07-23)

都受到攻击,其他国家同乌克兰有关联的投资者和企业也收到攻击,这展示了此次勒索病毒变种的一个针对性特征,针对有报税需求的企业单位进行攻击也符合勒索病毒的牟利特点。

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。