作者:hacker发布时间:2022-07-08分类:破解邮箱浏览:267评论:5
勒索病毒简介
勒索病毒,是一种新型电脑病毒,主要以邮件,程序木马,网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
传播途径
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的CC服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:
1、通过脚本文件进行Http请求;
2、通过脚本文件下载文件;
3、读取远程服务器文件;
4、收集计算机信息;
5、遍历文件;
6、调用加密算法库。
为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:
1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;
4、升级深信服NGAF到最新的防病毒等安全特征库;
5、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图:
文章转载至:2018勒索病毒全面分析报告
PyLocky勒索病毒加密文件完成后会添加.lockedfile扩展后缀,病毒主要通过垃圾邮件进行传播。所以首先要避免染毒,电脑漏洞一定要修复,同时不要点击来源不明的邮件附件,当一个文件用docx(Word文档)作图标,却是EXE可执行文件时,显然属于恶意程序伪装,一定不要打开。不使用外挂、破解补丁等容易传播病毒的软件。保持腾讯电脑管家等安全软件的运行状态,及时修复系统漏洞,实时拦截病毒风险。
其余系统更新MS17-010补丁进行防御或关闭135 137 138 139 445等几个网络端口
处理办法,那么只能慢慢等破解方法了)
影响范围:Win10最新版可以防御(版本号1703,只是可以防御,拆除硬盘,自行备份尚未感染的文件,然后彻底格式化硬盘,重装系统的方式来解决病毒,目前暂时没有可行的处理方法(如果没什么重要数据的话,Win server 2003病毒名称:通过共享端口传播(即使你没有下载任何文件,只要联网就可能感染),Win 7,直接全盘格式化重装最新的win10即可,全盘加密所有文件(加密时间随容量不同而不同),然后弹窗提示要求被感染者支付赎金
防御办法:暂无,如果你可以在感染初期就发现问题,可以采用立即关机,那么很抱歉:Win XP,Win vista,Win server2008,如果你作死自己打开病毒样本还是会中毒):onion
攻击方式,如果已经深度感染了,如果有重要数据的话
已有5位网友发表了看法:
访客 评论于 2022-07-09 10:50:25 回复
新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。通过
访客 评论于 2022-07-09 02:38:31 回复
被感染者支付赎金防御办法:暂无,如果你可以在感染初期就发现问题,可以采用立即关机,那么很抱歉:Win XP,Win vista,Win server2008,如果你作死自己打开病毒样本还是会中毒):onion攻击方式,如果已经深度感染了,如果有重要数据的话
访客 评论于 2022-07-09 10:22:32 回复
遍历文件;6、调用加密算法库。为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;3、需要
访客 评论于 2022-07-09 05:17:38 回复
目录:1、勒索病毒主要通过什么方法攻击电脑?2、勒索病毒的攻击过程是怎样的?3、面对PyLocky勒索病毒该如何有效的预防?4、最新敲诈勒索病毒 Locky勒索病毒 有没有解决办法勒索病毒主要通过什么
访客 评论于 2022-07-09 08:03:48 回复
攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,