您的位置:首页>>业界动态
搜索: 标题  

全球遭受网络勒索攻击 腾讯安全反病毒实验室揭秘“Wannacry”

发布时间:2017-05-13 16:40:00  来源:互联网   编辑:贺飞  背景:

  北京时间12日晚间,全球范围内有近百个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。在中国,部分高校校园网爆发“WannaCry”勒索事件,致使大量学生电脑上的资料文档被锁,需要付费才能解锁。据公开报道显示,受到该“WannaCry”勒索的国家包括中国、英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等。针对当前的勒索攻击,腾讯安全反病毒实验室第一时间跟进并给出了深度权威的分析。

  (勒索弹窗)

  据腾讯安全反病毒实验室安全研究人员分析发现,此次勒索事件与以往相比最大的区别在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。

  据了解,MS17-010漏洞指的是攻击者利用该漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但是在中国高校内,同学之间为了打局域网游戏,有时需要关闭防火墙,这也是此次事件在中国高校内大肆传播的原因。

  (勒索病毒执行后下载的压缩包)

  安全研究人员指出,勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码“WNcry@2ol7”解密并释放文件。这些文件包括了后续弹出勒索框的exe,桌面背景图片的bmp,辅助攻击的两个exe文件以及含有各国语言的勒索字体。这些文件会释放到本地目录,并设置为隐藏。其中“u.wnry*”就是后续弹出的勒索窗口,而在窗口右上角的语言选择框中,可以针对不同国家的用户进行定制的展示,这些字体的信息也存在于之前资源文件释放的压缩包中。

  (以下后缀名的文件会被加密)

  通过分析病毒,安全研究人员进一步发现,含有txt、doc、ppt、xls等后缀名类型的文件会被加密。以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密,并且后缀名改为了“*.WNCRY”。此时如果点击勒索界面的decrypt,会弹出解密的框,但只有受害者缴纳赎金后,才可以解密。此外,安全研究人员还发现,不法分子是通过“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三个账号随机选取一个作为钱包地址,收取非法钱财。

  (图片被加密)

  腾讯安全反病毒实验室安全研究人员表示,用Windows系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。具体操作步骤如下:

  以Windows 7,通过图例简单介绍如何关闭445端口。

  1、打开控制面板点击“防火墙”;

  2、点击“高级设置”;

  3、先点击“入站规则”,再点击“新建规则”;

  4、勾中“端口”,点击“协议与端口”;

  5、勾选“特定本地端口”,填写445,点击下一步;

  6、点击“阻止链接”,一直下一步,并给规则命名后,就可以了。

 

  (腾讯电脑管家修复漏洞图)

  此外,广大用户也可以通过升级微软补丁来阻止攻击。目前,腾讯电脑管家实时安全保护已兼顾漏洞防御和主动拦截,用户可保持腾讯电脑管家开启状态来防范,并尽快使用“漏洞修复”功能进行扫描修复。




返回网站首页 本文来源:互联网

本文评论
5.13全国网络响起红色警报 360安全卫士为高校师生“解毒”
5月12日晚,国内有高校学生反映电脑被恶意的病毒攻击,文档被加密。加密位置显示“如果想打开加密文件,必需花钱购买比特币解锁”。
日期:05-13
全球遭受网络勒索攻击 腾讯安全反病毒实验室揭秘“Wannacry”
北京时间12日晚间,全球范围内有近百个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。在...
日期:05-13
Wannacry(永恒之蓝)勒索蠕虫全球大爆发 国内教育行业每小时被攻击4000次
2017年5月12日起,全球范围内爆发了基于Windows网络共享协议进行攻击传播的Wannacry(永恒之蓝)勒索...
日期:05-13
比特币病毒突袭全国高校网 腾讯电脑管家可安装补丁防敲诈
5月12日晚,贺州学院、桂林电子科技大学、桂林航天工业学院以及广西地区部分大学连接校园网的电脑用户遭遇比特币敲诈者病毒攻击。
日期:05-13
国内突发勒索病毒 金山毒霸第一时间查杀
从5月12日起,金山毒霸安全中心监测到Onion/ wncry敲诈者蠕虫病毒在全国大范围内出现爆发传播趋势,感染用户主要集中在企业、高校等内网环境下。
日期:05-13
网络病毒围城全球机构瘫痪 360安全卫士紧急公布应对措施
在中国,校园网成为了重灾区,广大师生的电脑文件被病毒加密,许多实验数据及毕业设计被锁只有支付赎金才能恢复。部分企业甚至包括一些基础设施的隔离内网也出现病毒感染情况。
日期:05-13
勒索病毒来袭,比特币赎回不了的文件,企业云盘可以
自昨天晚上开始,国内多所大学学生反馈称电脑遭遇敲诈软件攻击,攻击者以中文弹窗的形式要求电脑所有者支付价值不菲比特币解锁。
日期:05-13
摩拜占据近6成市场份额 留给对手的空间越来越小
经过一年出头的厮杀,共享单车“战场”的战局已十分明朗——摩拜单车是当之无愧的“王者”,包括OFO在内的其它竞争对手,都被挤压在了越来越小的生存空间里。
日期:05-13
比特币勒索蠕虫病毒血洗互联网,腾讯云发出安全提示
5月12日晚, WannaCry 蠕虫病毒在全球大肆爆发。据BBC、CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day 利用工具对99个国家实施了超过75000次攻击。
日期:05-13
魅族发力高端市场  匠心打造精品机
 随着科技的发展社会的进步,智能手机已经成为生活中不可或缺的物品,其中魅族手机更是以时尚的外观、精细的工艺、稳定流畅的系统而被大量的“粉丝”追捧。
日期:05-13
校园网勒索病毒爆发 360独家提供免疫工具
昨日英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。
日期:05-13
优酷荣获内容营销金瞳奖“年度内容平台”大奖
日前,由广告门主办的2017中国内容营销金瞳奖颁奖典礼在京顺利召开,该奖项旨在表彰年度行业内对中...
日期:05-12
品牌战略升至国家高度  乐视获中国年度品牌营销案例奖
品牌不仅代表着一个企业的核心价值,更成为一个民族和国家对外的窗口。我国自2017年起,将每年的5月10日设立为“中国品牌日”。
日期:05-12
Flyme的 Wi-Fi功能有这么多亮点,给我来一打!
一向重视用户体验的Flyme,在解决这些用户“痛点”,让用户更愉悦地使用Wi-Fi方面,又做了哪些努力呢?
日期:05-12
1个月融资12亿,为什么还带不火投资人普遍看好的充电宝?
网络永远是最快传递消息的途径,隐蔽的分析师和资本家们初期表演基本完毕之后,王思聪和陈欧的公开...
日期:05-12
颠覆VR电竞传统,玖的V战等你来上线
5月12日,武汉国际电玩暨游乐游艺设备展暨亚洲VR&AR博览会正式拉开帷幕,吸引数万人次聚集。在海内外展会一向以人气展红出现的玖的,本次展会更是凭借由V战电子竞技大赛华中首秀吸引大批眼球。
日期:05-12
国美线上线下全渠道互为引流  深度融合打造新零售样本
数据显示,在刚刚结束的五一黄金周促销活动中,国美Plus客户端新用户注册量环比提升265%,超过26%的消费者在国美线下门店体验后,选择通过国美Plus完成线上下单与支付的过程。
日期:05-12
ofo开放平台上线意在建立行业共享生态圈
5月12日,全球最大的共享单车平台ofo小黄车正式宣布上线“ofo开放平台”,面向全球合作伙...
日期:05-12
响象早教 如何撬动VR与AR早教千亿级市场
近几年来,随着VR/AR技术逐渐被大众所认知,越来越多的领域尝试引用这个技术,比如支付宝的AR红包,...
日期:05-12
首汽约车独揽武汉首批10张网约车驾驶员证
5月12日上午,武汉市交通运输主管部门颁发了该市首批《网络预约出租汽车驾驶员证》,共有10名司机获...
日期:05-12