作者:hacker发布时间:2022-08-31分类:破解邮箱浏览:133评论:1
据外媒报道,近日专家发表文章称,针对物联网设备的勒索软件将比传统的勒索软件更具破坏性。
专家指出,虽然物联网的普及推动了技术的进步,但同时也帮助黑客扩大了其攻击范围,上至使用物联网设备的工业控制系统:下至家用联网摄像头,都可能成为黑客攻击的目标。
据了解,在传统的勒索攻击中,黑客会加密受害者设备上的文件,以勒索赎金。而在针对物联网设备的勒索软件攻击中,黑客不仅可加密设备上储存的文件,还可完全接管设备或其内部网络。
在接管设备后,黑客可以造成诸如联网车辆被操控、电源被切断、敏感信息被泄露,乃至生产线停止运行等破坏性后果。因此,黑客可对受害者狮子大开口,索要极为高昂的“保护费”。
目前,由于物联网行业仍处于高度分散的阶段。黑客很难发起大规模攻击。但是,随着物联网的普及,黑客仍可能在未来发起大规模攻击。因此,专家建议相关厂家应及时进行远程固件更新、确保更新渠道的安全,以及加入可靠的身份验证等。
据了解,在传统的勒索攻击中,黑客会加密受害者设备上的文件,以勒索赎金。而在针对物联网设备的勒索软件攻击中,黑客不仅可加密设备上储存的文件,还可完全接管设备或其内部网络。在接管设备后,黑客可以造成诸如联网车辆被操控、电源被切断、敏感信息被泄露,乃至生产线停止运行等破坏性后果。因此,黑客可对受害者狮子大开口,索要极为高昂的“保护费”
只要是win系统都有可能被感染,windows用户不幸遭受wanacry勒索病毒攻击目前解决办法如下:(无论如何切勿支付赎金,有大量证据表明即使支付赎金文件也无法解密。)
windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。
个人用户可以联系国内外安全厂商例如:奇虎360,金山毒霸,卡巴斯基,麦克菲尔,腾讯安全管家等安全中心寻求协助恢复重要数据。
利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版,并将文件拷贝至安全、无毒的u盘;再将指定电脑在关闭wifi,拔掉网线,断网状态下开机,并尽快备份重要文件;然后通过u盘使用“勒索病毒免疫工具”离线版,进行一键修复漏洞;联网即可正常使用电脑。
利用“文件恢复工具”进行恢复。已经中了病毒的用户,可以使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复您的文档。
注意:也可持续关注相关安全厂商的处理办法,等待更加优越的完美解锁。
主要针对Windows操作系统。
勒索病毒,是一种新型电脑病毒,主要以邮件和恶链木马的形式进行传播。主要通过邮件附件、钓鱼邮件群发下载网址链接、用户在恶意站点下载病毒文件以及网页挂马后进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用系统内部的加密处理,而且是一种不可逆的加密,必须拿到解密的秘钥才有几率破解。
2017年5月12日,全球爆发电脑勒索病毒WannaCry,波及150多个国家7.5万台电脑被感染,有99个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利等。2017年5月17日,国家计算机病毒应急处理中心与亚信科技(中国)有限公司联合监测发现一种名为“UIWIX”的勒索病毒新变种在国外出现,提醒国内用户提高警惕,小心谨防。2017年6月28日,勒索病毒petya袭击多国,Petya病毒锁住了大量的电脑,亦要求用户支付300美元的加密数字货币才能解锁。
2017年6月29日晚,新勒索病毒Petya,范围涵盖乌克兰、俄罗斯、西班牙、法国、英国、丹麦等国家。2017年7月4日,乌克兰警方没收了该国一家会计软件公司的服务器,因为该公司涉嫌传播导致全球很多大公司电脑系统瘫痪的勒索病毒。
自2005年以来,勒索软件已经成为最普遍的网络威胁。根据资料显示,在过去11年间,勒索软件感染已经涉及超过7694到6013起数据泄露事故。多年来,主要有两种勒索软件:基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备,通常是基于Android的勒索软件。新时代勒索软件结合了高级分发技术(例如预先建立基础设施用于快速广泛地分发勒索软件)以及高级开发技术(例如使用crypter以确保逆向工程极其困难)。此外,离线加密方法正越来越流行,其中勒索软件利用合法系统功能(例如微软的CryptoAPI)以消除命令控制通信的需要。Solutionary公司安全工程及研究小组(SERT)的Terrance DeJesus探讨了这些年以来勒索软件的发展史以及亮点。AIDS Trojan第一个勒索软件病毒AIDS Trojan由哈佛大学毕业的Joseph L.Popp在1989年创建。2万张受感染的软盘被分发给国际卫生组织国际艾滋病大会的与会者。该木马的主要武器是对称加密,解密工具很快可恢复文件名称,但这开启了近30年的勒索软件攻击。Archievus在第一款勒索恶意软件出现的近二十年(17年)后,另一种勒索软件出现。不同的是,这个勒索软件更加难以移除,并在勒索软件历史上首次使用RSA加密。这个Archiveus Trojan会对系统中“我的文档”目录中所有内容进行加密,并要求用户从特定网站来购买以获取密码解密文件。Archiveus也是第一个使用非对称加密的勒索软件辩题。2011年无名木马在五年后,主流匿名支付服务让攻击者更容易使用勒索软件来从受害者收钱,而不会暴露自己身份。在同一年,与勒索软件木马有关的产品开始流行。一款木马勒索软件模拟用户的Windows产品激活通知,告知用户其系统的安装因为欺诈需要重新激活,并定向用户到假的在线激活选项,要求用户拨打国际长途。该恶意软件声称这个呼叫为免费,但实际呼叫被路由到假冒的接线员,并被搁置通话,导致用户需要承担高额国际长途电话费。Reveton名为Reveton的主要勒索木马软件开始在整个欧洲蔓延。这个软件是基于Citadel Trojan,该勒索软件会声称计算机受到攻击,并被用于非法活动,用户需要使用预付现金支付服务来支付罚款以解锁系统。在某些情况下,计算机屏幕会显示计算机摄像头记录的画面,让用户感觉非法行为已被记录。此事件发生后不久,涌现很多基于警察的勒索软件,例如Urausy和Tohfy。研究人员在美国发现Reveton的新变种,声称需要使用MoneyPak卡向FBI支付200元罚款。Cryptolocker2013年9月是勒索软件历史的关键时刻,因为CryptoLocker诞生了。CryptoLocker是第一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式的加密恶意软件。CryptoLocker感染快速蔓延,因为威胁着利用了现有的GameOver Zeus僵尸网络基础设施。在2014年的Operation Tovar终止了GameOver Zeus Trojan和CryptoLocker活动。CryptoLocker利用AES-256lai加密特定扩展名的文件,然后使用命令控制服务器生成的2048位RSA密钥来加密AES-256位密钥。C2服务器位于Tor网络,这让解密很困难,因为攻击者将RSA公钥放在其C2服务器。攻击者威胁称如果在三天内没有收到钱他们将删除私钥。Cryptodefense在2014年,CryptoDefense开始出现,这个勒索软件利用Tor和Bitcoin来保持匿名,并使用2048位RSA加密。CryptoDefense使用Windows内置加密CryptoAPI,私钥以纯文本格式保存在受感染计算机—这个漏洞当时没有立即发现。CryptoDefense的创造者很快推出改名版CrytoWall。与CryptoDefense不同,CryptoWall不会存储加密密钥在用户可获取的地方。CryptoWall很快广泛传播,因为它利用了Cutwail电子邮件活动,该活动主要针对美国地区。CryptoWall也通过漏洞利用工具包来传播,并被发现是Upatre活动中下载的最后有效载荷。CryptoWall有过多次有效的活动,都是由相同的攻击者执行。CryptoWall展现出恶意软件开发的进步,它可通过添加额外的注册表项以及复制自身到启动文件夹来保持持续能力。在2015年,网络威胁联盟公布覆盖全球的CryptoWall活动,金额达到3.25亿美元。Sypeng和KolerSypeng可被认为是第一款锁定用户屏幕并显示FBI处罚警告消息的基于Android的勒索软件。Sypeng通过短消息中假的Adobe Flash更新来传播,需要支付MonkeyPak 200美元。Koler勒索软件与Sypeng非常类似,它也是用假冒警察处罚,并要求MoneyPak支付赎金。Koler被认为是第一个Lockerworm,因为它包含自我繁殖技术,它可发送自定义消息到每个人的联系人列表,指引他们到特定网址再次下载勒索软件,然后锁定其系统。CTB-Locker和SimplLocker与过去其他变体不同,CTB-Locker直接与Tor中C2服务器通信,而不是具有多层基础设施。它也是第一个开始删除windows中Shadow Volume副本的勒索软件变体。在2016年,CTB-Locker更新为针对目标网站。SimplLocker也在2014年被发现,它被认为是第一款针对Android移动设备的基于Crypto的勒索软件,它会简单地加密文件和文件夹,而不是锁定用户手机。LockerPin在去年9月,一款侵略性Android勒索软件开始在美国各地蔓延。ESET安全研究人员发现第一个可重置手机PIN以永久锁定设备的真实恶意软件,被称为LockerPin,该恶意软件会修改受感染设备的锁屏Pin码,让受害者无法进入屏幕。LockerPin随后需要500美元来解锁设备。勒索软件即服务(RaaS)在2015年开始出现,这些服务通常包含用户友好型勒索软件工具包,这可在黑市购买,售价通常为1000到3000美元,购买者还需要与卖方分享10%到20%的利润。Tox通常被认为是第一款以及最广泛分布的RaaS工具包/勒索软件。TeslaCryptTeslaCrypt也出现在2015年,这可能将是持续威胁,因为开发人员制作出四个版本。它首先通过Angler漏洞利用工具包来分发,随后通过其他来分发。TeslaCrypt利用AES-256来加密文件,然后使用RSA-4096来加密AES私钥。Tor内的C2域被用于支付和分发。在其基础设施内包含多层,包括代理服务器。TeslaCrypt本身非常先进,其包含的功能可允许在受害者机器保持灵活性和持久性。在2016年,TeslaCrypt编写者将其主解密没有交给ESET。LowLevel04和ChimeraLowLevel04勒索软件在2015年被发现,主要瞄准远程桌面和终端服务。与其他勒索软件活动不同,攻击者通过远程手动进行,他们远程进入服务器、绘制内部系统。在这种情况下,攻击者被发现会删除应用、安全和系统日志。Chimera勒索软件在2015年年底被发现,它被认为是第一款doxing勒索软件,它会威胁称在网上公开发布敏感或私人文件。Chimera使用BitMessage的P2P协议用于进行C2通信,这些C2只是Bitmessage节点。Ransom32和7ev3nRansom32被认为是第一个使用JavaScript编写的勒索软件。该恶意软件本身比其他软件要大,达到22MB,它使用NW.js,这允许它处理和执行与其他C++或Delphi编写的勒索软件相类似的操作。Ransom32被认为具有革命性,因为它理论上可在多个平台运行,例如Linux、Mac OSX以及windows。7ev3n勒索软件在过去几个月中开始引起大家关注。在13 bitcoin,它可能是索要赎金最高的勒索软件。7ev3n勒索软件不仅执行典型的加密再勒索,它还会破坏windows系统。该恶意软件开发人员似乎很大程度侧重于确保7ev3n可破坏任何恢复加密文件的方法。7ev3n-HONE$T随后被发布,降低了赎金要求并增加了一些有效的功能。Locky在2016年,EDA2和Hidden Tear的恶意软件编写者在GitHub公开发布了源代码,并声称这样做是出于研究目的,而那些很快复制改代码并做出自定义更改的攻击者导致大量随机变体出现。臭名昭著的Locky勒索软件也在2016年被发现,Locky快速通过网络钓鱼活动以及利用Dridex基础设施传播。Locky也因为感染美国多个地区的医院而登上新闻头条。攻击者很快发现受感染医疗机构快速支付赎金,从而导致包含勒索软件下载的网络钓鱼电子邮件在医疗行业广泛传播。SamSamSamSam或者SAMAS勒索软件被发现专门分发给易受攻击的JBoss服务器。起初,攻击者会通过JexBoss工具对JBoss服务器执行侦查,随后利用漏洞并安装SamSam。与其他勒索软件不同,SamSam包含一个通道,让攻击者可实时通过.onion网站与受害者通信。KeRanger第一个正式基于Mac OSX的勒索软件KeRanger在2016年被发现,它通过针对OSX的Transmission BitTorrent客户端来交付。该勒索软件使用MAC开发证书签名,让其可绕过苹果公司的GateKeeper安全软件。PetyaPetya在2016年开始流行,它通过Drop-Box来交付,并改写受感染机器的主启动记录(MBR),然后加密物理驱动器本身。它在加密驱动器时还是用假冒的CHKDISK提示。如果在7天内没有支付431美元赎金,支付费用将会翻一倍。Petya更新包含第二个有效载荷,这是Mischa勒索软件变体,而它没有加密硬盘驱动器。MaktubMaktub也是在2016年被发现,它表明勒索软件开发人员在试图创建非常先进的变体。Maktub是第一个使用Crypter的勒索软件,这是用来隐藏或加密恶意软件源代码的软件。Maktub利用windows CryptoAPI执行离线加密,而不是使用C2来检索和存储加密密钥。JigsawJigsaw勒索软件在勒索信息中包含SAW电影系列中流行的Jigsaw人物,它还威胁称如果没有支付150美元的赎金将会每隔60分钟删除一个文件。此外,如果受害者试图阻止进程或重启电脑,将删除1000个文件。CryptXXX在2016年5月底,CryptXXX是被广泛分发的最新勒索软件辩题。研究人员认为它与Reveton勒索软件变体有关,因为在感染阶段有着类似的足迹。CryptXXX通过多种漏洞利用工具包传播,主要是Angler,并通常在bedep感染后被观察到。它的功能包含但不限于:反沙箱检测、鼠标活动监控能力、定制C2通信协议以及通过TOR付款。ZCryptor微软发表文章详细介绍了一种新型勒索软件变体ZCryptoer。除了调整的功能(例如加密文件、添加注册表项等),Zcryptoer还被认为是第一个Crypto蠕虫病毒。它通过垃圾邮件分发,它有自我繁殖技术来感染外部设备以及其他系统,同时加密每台机器和共享驱动器。勒索软件的未来?专家预测我们在2016年还将继续观测到多个新变种,在这些变种中,可能只有少数会带来很大影响—这取决于恶意软件编写者以及涉及的网络团伙。现在勒索软件编写者还在继续其开发工作,更新预先存在的勒索软件或者制造新的勒索软件,我们预测,增强灵活性和持久性将会成为勒索软件标准。如果勒索软件具有这种能力,这将会是全球性的噩梦。根据最近使用crypter的勒索软件表明,勒索软件编写者知道很多研究人员试图逆向工程其软件,这种逆向工程和分析可能导致勒索软件开发人员改进其勒索软件变体。
浏览器攻击
基于浏览器的网络攻击与第二种常见类型相关联。他们试图通过网络浏览器破坏机器,这是人们使用互联网的最常见方式之一。浏览器攻击通常始于合法但易受攻击的网站。攻击者攻击该站点并使用恶意软件感染该站点。当新访问者(通过Web浏览器)到达时,受感染的站点会尝试通过利用其浏览器中的漏洞将恶意软件强制进入其系统。
暴力破解
暴力破解攻击类似于打倒网络的前门。攻击者试图通过反复试验来发现系统或服务的密码,而不是试图欺骗用户下载恶意软件。这些网络攻击可能非常耗时,因此攻击者通常使用软件自动执行键入数百个密码的任务。
暴力破解攻击是遵循密码最佳实践的重要原因之一,尤其是在关键资源(如网络路由器和服务器)上。
长而复杂的密码比愚蠢的密码(例如“123456”,“qwerty”和“password”)更难以通过蛮力破解。请放心:这些是攻击者尝试的第一把钥匙。
拒绝服务(DDoS)攻击
拒绝服务攻击(也称为分布式拒绝服务攻击(DDoS))在网络安全攻击列表中排名第三,并且每年都在不断增强。
DDoS攻击试图淹没资源 例如网站,游戏服务器或DNS服务器 - 充斥着大量流量。通常,目标是减慢或崩溃系统。
但DDoS攻击的频率和复杂性正在增加。
蠕虫病毒
恶意软件通常需要用户交互才能开始感染。例如,此人可能必须下载恶意电子邮件附件,访问受感染的网站或将受感染的USB插入计算机。蠕虫攻击自行传播。它们是自我传播的恶意软件,不需要用户交互。通常,它们利用系统漏洞传播到本地网络之外。
WannaCry勒索软件在几天内感染了超过300,000台计算机,使用蠕虫技术攻击网络和计算机。
WannaCry针对一个广泛的Windows漏洞迅速破坏了一台机器。一旦机器被感染,恶意软件就会扫描连接的LAN和WAN,以查找并感染其他易受攻击的主机。
恶意软件攻击
当然,恶意软件是恶意软件创建用于伤害、劫持或监视感染系统的应用程序。目前尚不清楚为什么“蠕虫病毒攻击”不包含在此类别中 - 因为它们通常与恶意软件相关联。
无论如何,恶意软件很普遍并且众所周知。它传播的三种常见方式包括:
网络钓鱼电子邮件 攻击者创建邮件以诱使受害者陷入虚假的安全感,欺骗他们下载最终成为恶意软件的附件。
恶意网站 攻击者可以设置包含漏洞利用工具包的网站,这些漏洞利用工具包旨在查找网站访问者系统中的漏洞并使用它们将恶意软件强制到其系统中。这些网站还可用于将恶意软件伪装成合法下载。
恶意广告 聪明的攻击者已经发现了使用广告网络分发商品的方法。点击后,恶意广告可以将用户重定向到恶意软件托管网站。某些恶意广告攻击甚至不需要用户交互来感染系统。
网络攻击
面向公众的服务,例如Web应用程序和数据库 也是网络安全攻击的目标。
最常见的网络应用攻击:
跨站点脚本(XSS) 攻击者破坏易受攻击的网站或Web应用程序并注入恶意代码。当页面加载时,代码在用户的浏览器上执行恶意脚本。SQL注入(SQLi)攻击者不是将标准数据提交到文本框或其他数据输入字段,而是输入SQL语句来诱骗应用程序显示或操纵其数据。
Path Traversal 攻击者制定HTTP请求以绕过访问控制并导航到系统中的其他目录和文件。例如,路径遍历攻击可以授予攻击者访问站点Web服务器的核心文件的权限,而不是限于单个网站的内容。
扫描攻击扫描不是彻底的网络攻击,而是攻击前的侦察。攻击者使用广泛使用的扫描工具来探测面向公众的系统,以便更好地了解现有的服务,系统和安全性。
端口扫描器 用于确定系统开放端口的简单工具。存在几种类型,其中一些旨在防止被扫描目标的检测。
漏洞扫描程序 收集有关目标的信息,并将其与已知的安全漏洞进行比较。结果是系统上已知漏洞及其严重性的列表。
其他攻击
我们只能推测绑定到“其他”的网络攻击类型。也就是说,这里有一些常见的嫌疑人:
物理攻击 尝试以老式的方式摧毁或窃取网络架构或系统。被盗的笔记本电脑是一个常见的例子。
内部人员攻击 并非所有网络攻击都是由局外人执行的。愤怒的员工,犯罪的第三方承包商和笨拙的工作人员只是少数潜在的参与者。他们可以窃取和滥用访问凭据,滥用客户数据或意外泄露敏感信息。
高级持续性威胁 最先进的网络攻击由黑客精英团队执行,他们根据目标环境调整和定制技术。他们的目标通常是通过隐藏和“持久”来长时间窃取数据。
展开剩余内容
据悉,这个在国内被大家简称为“比特币病毒”的恶意软件,目前攻陷的国家已经达到99个,并且大型机构、组织是头号目标。
在英国NHS中招之后,紧接着位于桑德兰的尼桑造车厂也宣告“沦陷”。西班牙除了最早被黑的通讯巨头Telefonica,能源公司Iberdrola和燃气公司Gas Natural也没能幸免于难。德国干脆直接被搞得在火车站“示众”。
这个被大家称之为“比特币病毒”的勒索蠕虫,英文大名叫做WannaCry,另外还有俩比较常见的小名,分别是WanaCrypt0r和WCry。
它是今年三月底就已经出现过的一种勒索程序的最新变种,而追根溯源的话是来自于微软操作系统一个叫做“永恒之蓝”(Eternal Blue)的漏洞。美国国家安全局(NSA)曾经根据它开发了一种网络武器,上个月刚刚由于微软发布了新补丁而被“抛弃”。
三月底那次勒索程序就叫WannaCry,所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的说法,所指也是本次爆发的勒索程序。
随后,微软在3月发布的补丁编号为MS17-010,结果众多大企业们和一部分个人用户没能及时安装它,才让不知道从什么途径获取并改造了NSA网络武器的WannaCry有机可乘。
而且这回的勒索软件目标并非只有英国NHS,而是遍布全球,总觉得有种“人家不是只针对英国医疗系统”一样、奇怪的“有人跟我一样糟就放心”了的潜台词。虽然最后事实证明确实全球遭殃。
但WannaCry最早从英国NHS开始爆发,真的只是巧合吗?
对于任何勒索病毒而言,都是最有可能被攻击的“肥肉”:医护人员很可能遇到紧急状况,需要通过电脑系统获取信息(例如病人记录、过敏史等)来完成急救任务,这种时候是最有可能被逼无奈支付“赎金”的。
医疗信息与管理系统学会的隐私和安全总监Lee
Kim也解释说,出于信息储备过于庞大以及隐私考虑,“在医疗和其他一些行业,我们在处理这些(系统)漏洞方面确实会不那么及时”。这也是为什么科技领域普遍认为WannaCry幕后黑手的时机把握得非常巧妙,毕竟微软更新MS17-010补丁还不到两个月。
从开发并释放WannaCry人士角度来考虑这个问题,他们其实并不在乎具体要把哪个行业作为攻击目标,因为他们的逻辑就是任何有利可图的领域都是“肥肉”,都要上手捞一笔。所以他们确实并不是非要跟英国NHS过不去,只不过是好下手罢了。
个人电脑用户被攻击的比例比企业和大型机构低很多,这不仅仅是因为个人电脑打补丁比较方便快捷,也因为这样攻击不仅效率不高、获利的可能也更小。WannaCry的运作机制,根本就是为局域网大规模攻击而设计的。
这样看来,前面提到的全世界其他受攻击大型企业和组织,无论交通、制造、通讯行业,还是国内比较惨烈的学校,确实都是典型存在需要及时从数据库调取信息的领域。
至于敲诈信息的语言问题,Wired在多方搜集信息后发现,WannaCry其实能以总共27种语言运行并勒索赎金,每一种语言也都相当流利,绝对不是简单机器翻译的结果。截至发稿前,WannaCry病毒的发源地都还没能确认下来。
与其说WannaCry幕后是某种单兵作战的“黑客”,倒不如说更有可能是招募了多国人手的大型团伙,并且很有可能“醉温之意不在酒”。毕竟想要简单捞一笔的人,根本没有理由做出如此周全的全球性敲诈方案。
WannaCry在隐藏操作者真实身份这方面,提前完成的工作相当缜密。不仅仅在语言系统上声东击西,利用比特币来索取赎金的道理其实也是一样:杜绝现实货币转账后被通过汇入账户“顺藤摸瓜”的可能。
而且WannaCry的开发者早就有了一个范围宽广、长期作战的策划:“在情况好转之前,它会先变糟糕的——相当糟糕。”(This’ll get worse—a lot worse—before it gets better.)
不过,在晚些时候,一位22岁的英国程序猿小哥就似乎“误打误撞”阻止了WannaCry的进一步扩散。
这位小哥在社交网络上的昵称是MalwareTech(中文意思大概是“恶意软件技术”,听起来反而更像个黑客),阻止了WannaCry的进一步全球肆虐后,他在自己的博客上写下了全过程,甚至英国情报机关GCHQ都在官网转po了这篇博文。
MalwareTech本来应该在度假中,不过他还是迅速反应,找到了一份WannaCry软件的样本。阅读代码时,他发现了一个没有被注册过的域名,下面的代码意思就是WannaCry在黑点电脑前的运行中会先试图访问该域名,如果访问失败就黑掉系统,如果成功则自动退出。
于是MalwareTech就把这个域名给注册了。
在后来一些中文媒体的报道中,小哥的这一举动被强调成是“突发奇想”或者“下意识”之举。正是因为无效域名被注册,后来被WannaCry感染的电脑都在访问该域名时得到了肯定的返回值,于是没有再锁定信息、展开敲诈。
不过MalwareTech自己解释却不是这样的。他在博客中写道,注册这个域名是他作为网络安全工作人员的“标准做法”(standard practice)。过去一年里,遇到所有这样短时间访问量激增的无效域名,他都会将其注册后扔进前面图里提到的“天坑”(sinkhole)里,而这个“天坑”的作用就是“捕获恶意流量”。
WannaCry样本中域名,在昨天全球范围攻击开始后访问量瞬间激增,此前却没有任何被访迹象。
然而MalwareTech职业灵敏度,让他开始考虑WannaCry是否会定期或在特请情况下修改程序中的无效域名,因为如果是这样的话,仅仅注册他所发现的这个域名就无法阻止未来袭击。
即使软件里没有这样的部分,开发者依然能够手动升级WannaCry后再度把它传播开来,所需要做的也就仅仅是替换一个新的无效域名而已。
还有一种更糟糕的情况:如果WannaCry程序中还有另一层自我保护机制,那么无效域名的注册很有可能导致目前所有被感染电脑自动为所有信息加密,无法复原。
为了排除后一种情况,MalwareTech干脆修改了自己一台电脑的主机文件,让它无法连接那个已经被注册了的前无效域名。
电脑成功蓝屏了。
MalwareTech写道:“你可能无法想象一个成年男人在屋里兴奋得跳来跳去,原因竟然是自己电脑被勒索软件搞失灵了。但我当时确实就那样了。”测试结果表明,他的“标准做法”确实阻止了WannaCry的进一步传播。
但是小哥亲自警告:“这事没完”
和某些信息平台热炒MalwareTech“拯救了全世界”的梗不同,英国《卫报》和《英国电讯报》都在标题里明确告诉大家,小哥自己都已经作出警告:“这事没完!”
域名被注册后WannaCry的停止扩散,在他看来只是病毒制造者一个不够成熟的自我保护机制。对方的真正意图并非通过域名是否能连接上来“指挥”病毒的运行,而是通过这种方式判断病毒是否被电脑安全高手捕获。
一旦WannaCry运行时发现域名有反应,真实反应并不是“好心”地停止攻击,而是避免自己被扔进“沙盒”(sandbox)安全机制被人全面分析,干脆退出获得域名响应的电脑系统。
MalwareTech虽然功不可没,但他只是阻止了“比特币病毒”现行样本的扩散,但开发者也已经意识到了这项弱点,随时可能用升级版勒索程序卷土重来。
当然,也不排除,此次勒索软件的最终目的,不是真的想勒索,而是想展现给一些有不法分子查看这个病毒的威力,从而出售这个病毒给他们。如果真的是这样的话,那么接下来的日子,网络安全,将会面临一个很严峻的挑战。
此次勒索软件威胁的不仅是个人用户,还有众多机构和企业。
因此提醒,所有网络用户今后都应加强安全意识,注意更新安全补丁和使用各种杀毒工具。
标签:勒索软件攻击的目标
已有1位网友发表了看法:
访客 评论于 2022-08-31 16:41:20 回复
就似乎“误打误撞”阻止了WannaCry的进一步扩散。这位小哥在社交网络上的昵称是MalwareTech(中文意思大概是“恶意软件技术”,听起来反而更像个黑客),阻止了WannaCry的进一步全球肆虐后,他在自己的博客上写下了全过程