苹果比特派官网app下载安卓|勒索病毒加密原理
作者: 苹果比特派官网app下载安卓
2024-03-16 00:47:15
勒索病毒:原理与防御_勒索防护原理是什么-CSDN博客
>勒索病毒:原理与防御_勒索防护原理是什么-CSDN博客
勒索病毒:原理与防御
白猫a~
于 2024-01-19 18:17:45 发布
阅读量632
收藏
9
点赞数
14
分类专栏:
网络安全
文章标签:
网络
网络安全
web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73734159/article/details/135704497
版权
网络安全
专栏收录该内容
44 篇文章
5 订阅
订阅专栏
一、勒索病毒概述
勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。近年来,勒索病毒已经成为网络安全领域的一大公害,给个人和企业带来了巨大的经济损失和数据泄露风险。
二、勒索病毒原理
勒索病毒的原理主要是利用加密技术来锁定用户文件。一旦感染,病毒会对用户文件进行加密,使用户文件无法正常打开和使用。同时,病毒会在屏幕上显示一条警告信息,要求用户支付赎金以解锁文件。勒索病毒通常通过电子邮件附件、恶意网站、下载的文件等方式传播。
三、防御措施
保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。更新操作系统和软件不仅可以修复安全漏洞,还可以提高系统安全性。 安装杀毒软件:选择可靠的反病毒软件,并定期更新病毒库,可以有效检测和清除勒索病毒。杀毒软件可以对未知病毒进行防御和清除,保护系统免受攻击。 不要随意打开未知邮件和链接:不要随意打开未知邮件和链接,特别是那些附件和链接看似可疑的邮件。恶意邮件可能包含勒索病毒的下载链接或附件,打开这些邮件可能会导致感染。 定期备份重要文件:定期备份重要文件是一种有效的预防措施。即使感染了勒索病毒,也可以通过备份恢复文件。备份文件应该存储在外部硬盘、云存储或者只读媒体上,以避免备份文件被加密或损坏。 提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。同时,用户还应该了解网络安全的基本知识,例如如何识别恶意链接和附件、如何避免点击可疑广告等。 使用安全的网络连接:在公共场合使用网络时,应尽量避免使用未加密的连接方式,例如使用Wi-Fi时应该选择加密的Wi-Fi网络。同时,避免使用未经授权的Wi-Fi网络,因为这些网络可能会被黑客利用来感染用户的设备。 限制软件的权限:用户应该限制软件的权限,特别是那些需要访问个人数据的软件。过度的权限可能会导致软件被恶意利用,从而感染勒索病毒。 使用虚拟机或沙箱运行未知程序:对于未知程序或可疑文件,可以使用虚拟机或沙箱来运行它们。这样即使程序包含恶意代码,也不会对实际系统造成影响。 定期进行安全审计:定期进行安全审计可以及时发现系统中的安全漏洞和隐患。审计的内容可以包括系统日志、安全策略、软件更新等。 建立应急响应计划:建立应急响应计划可以帮助企业在感染勒索病毒后快速应对,减少损失。应急响应计划应该包括数据备份、系统恢复、信息共享等方面的内容。
四、总结
勒索病毒是一种严重的网络安全威胁,但通过采取有效的防御措施,可以有效地避免感染。保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。同时,用户还应该了解勒索病毒的特点和传播途径,以便更好地预防和应对这种威胁。
关注博主即可阅读全文
优惠劵
白猫a~
关注
关注
14
点赞
踩
9
收藏
觉得还不错?
一键收藏
打赏
知道了
0
评论
勒索病毒:原理与防御
保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。
复制链接
扫一扫
专栏目录
360勒索病毒防御工具
08-14
360提供的,勒索病毒防御工具,大家试试!很好用,做好防御工作
勒索病毒防御之道5.27
01-11
勒索病毒防御之道5.27
参与评论
您还未登录,请先
登录
后发表或查看评论
勒索病毒的原理和防范机制研究
yrhych123的博客
09-23
1万+
勒索病毒的原理和防范机制研究什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?5、勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。
【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
【密码学技术】这种病
勒索软件工作原理
NewTyun的博客
06-06
829
新钛云服已累计为您分享646篇技术干货勒索软件的工作原理是通过非对称加密方法加密用户的文件。勒索软件是一种恶意软件,也称为恶意软件,勒索软件通过攻击用户的计算机或设备来工作,并通过加密来阻止他们访问其文件。然后,攻击者要求金钱以换取解密文件。勒索软件可以通过多种方式攻击和加密文件,这些方法具有不同程度的复杂性。勒索软件如何获得访问权限与所有恶意软件一样,勒索软件必须绕过设...
勒索病毒工作原理
热门推荐
那些零零散散的算法
05-22
2万+
前些天借着Windows上的”永恒之蓝“漏洞,本来几乎快销声匿迹的加密勒索病毒又重新回到了公众视线里。由于电信等网络运营商早就封堵了可能导致中毒的445端口,所以外网影响不大,但是教育网里的同学就遭殃了,尤其是很多临毕业的学生纷纷中招,论文被加密,可能因此被迫延毕。
本文尝试着还原这些勒索病毒中文件加解密的原理,来了解为什么这些病毒这么难缠,并给出一些“破解”的可能性,虽然条件都比较苛刻。
勒索软件的原理
m0_62063669的博客
08-04
1635
算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买。勒索软件攻破企业网络之后,如果顺利获取重要数据,就会进入下一环节,但如果没有。3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。用户文档,只有在用户支付赎金后,才提供解密文档的方法。...
关于防范ONION勒索软件病毒攻击的解决办法
分享AIGC前沿知识和好玩应用
05-13
3900
一夜之间,身边的好多同学的电脑都中病毒了,特别是许多正在写毕业论文的同学可真是坑大了,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和
什么是勒索病毒以及怎么防勒索病毒
a15995989443的博客
02-09
1717
在讨论如何防勒索病毒问题之前,先来了解一下勒索病毒。
什么是勒索病毒?
勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎..
勒索病毒工作过程及一般防护方法
flat0809的博客
07-13
4052
一.什么是勒索病毒?
勒索病毒是一种恶意程序,可以感染设备,网络与数据中心使其瘫痪,直至用户支付赎金使系统解锁
二.勒索病毒的工作过程
1.外部入侵过程-----非法登录计算机,传递勒索病毒
通过分析多起针对Windows服务器的勒索病毒攻击,发现此类攻击大多利用弱口令漏洞,系统漏洞等方式获得远程用户名和密码,之后通过RDP(远程桌面协议,TCP,3389)远程登录目标服务器运行勒索病毒。黑客一旦能够成功登录服务器,则可以在服务器上为所欲为。这也意味着,即使服务器安装了安全软件也可能被黑客手动退出
对于很多
[图解] 勒索病毒加密原理
Qode
08-13
7909
示意图
原理
公开密钥密码体制 要求密钥成对出现,一个用于加密,另一个用于解密,并且且不可能从其中一个推导出另一个。
加密过程
病毒作者首先在自己电脑上生成的 私钥Q 和 公钥Q,算法可以基于RSA或者椭圆曲线。
病毒在目标电脑上随机生成 私钥Z 和 公钥Z
将用户电脑上的文件通过 公钥Z 加密
将用户电脑上的 私钥Z 通过 公钥Q 加密
删除用户电脑上的 私钥Z 、公钥Q、数据
解密过程
支付...
勒索病毒的原理和防御学习说明资料
08-28
勒索病毒的原理和防御
勒索病毒防御指南与应急响应手册
最新发布
02-05
勒索病毒防御指南与应急响应手册
勒索病毒应急与响应手册
01-01
勒索病毒应急与响应手册
DDoS攻击与防御:从原理到实践
02-24
出于打击报复、敲诈勒索、政治需要等各种原因,加上攻击成本越来越低、效果特别明显等趋势,DDoS攻击已经演变成全球性的网络安全威胁。根据卡巴斯基2016Q3的调查报告,DDoS攻击造成61%的公司无法访问其关键业务信息...
勒索病毒识别 处置与防御.pdf
09-06
勒索病毒识别 处置与防御 企业安全 安全防御 网络信息安全 安全人才 安全架构
Window勒索病毒防御方案
04-17
Window勒索病毒防御方案
勒索病毒防御工具
07-08
针对最近爆发的勒索病毒,联想开发的防御补丁,官网下载需机器码,不是联想品牌的电脑无法下载,所以我公布了出来,此软件可以关闭系统455等端口防止病毒利用。
勒索病毒-防御安全工具
02-28
一款用下来检测和恢复被流行的勒索病毒加密的文件,协助用户挽回病毒攻击造成的损失。现分享给需要的人
公有云防勒索病毒原理
08-25
公有云防勒索病毒的原理是通过配置安全组和云防火墙来过滤流量,从而提供对云主机的保护。安全组配置在云主机的虚拟网卡上,安全组规则对云主机的东西向和南北向流量生效。而云防火墙配置在VPC的流量统一出口处,对VPC内云主机的南北向和跨子网流量生效。通过在安全组和云防火墙中添加白名单规则,可以允许云主机之间的通信。如果其中一个没有相应放通的规则,可能会影响云主机之间的通信。因此,在使用公有云时,配置安全组和云防火墙是保护云主机免受勒索病毒侵害的重要措施。123
#### 引用[.reference_title]
- *1* *2* *3* [移动云产品工作记录](https://blog.csdn.net/ximenjianxue/article/details/113573443)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]
“相关推荐”对你有帮助么?
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
白猫a~
CSDN认证博客专家
CSDN认证企业博客
码龄2年
网络安全领域新星创作者
137
原创
1776
周排名
1万+
总排名
8万+
访问
等级
2943
积分
2351
粉丝
1474
获赞
92
评论
1229
收藏
私信
关注
热门文章
关于PHP编译器phpStorm找不到解释器的问题
3081
应用于Firefox浏览器关于burpsuite的代理问题-详解
2723
EternalBlue【永恒之蓝】漏洞详解(复现、演示、远程、后门、入侵、防御)内容丰富-深入剖析漏洞原理-漏洞成因-以及报错解决方法-值得收藏!
2257
探索IDE的世界:什么是IDE?以及适合新手的IDE推荐
1738
关于中国蚁剑和中国菜刀安装过程中的问题总结和解决方法
1729
分类专栏
编程
21篇
网络安全
44篇
前端
5篇
数通教程
2篇
虚拟机问题总结
2篇
CTF做题笔记
58篇
Windows系统知识
1篇
工具制作
1篇
Web安全
1篇
XSS靶场
1篇
最新评论
BUUCTF [GXYCTF2019]BabySQli 1 详解!(MD5与SQL之间的碰撞)
白猫a~:
跟我一样在Kali里面使用命令解码也行,直接在在线解码平台比如说菜鸟工具也可以
buuctf[强网杯 2019]随便注 1(超详细,三种解法)
flowers--:
这题和[GYCTF2020]Blacklist是相同知识点
buuctf[强网杯 2019]随便注 1(超详细,三种解法)
flowers--:
1';handler `1919810931114514` open;handler `1919810931114514` read next;handler `1919810931114514` close;#
给数字加上反勾号
BUUCTF [GXYCTF2019]BabySQli 1 详解!(MD5与SQL之间的碰撞)
@#---:
请问base32解码哪里是怎么操作的
BUUCTF [网鼎杯 2020 青龙组]AreUSerialz 1 (两种解法 超详细!)
白猫a~:
s:5:"input";R:2;这个字符串的值是通过引用(由 R 表示)来获得的,引用的ID是2。
最新文章
Java八股文:深入理解Java编程的核心概念
人工智能算法:推动未来的技术引擎
C语言与C++:探索两种强大的编程语言
2024
02月
42篇
01月
7篇
2023年77篇
2022年11篇
目录
目录
分类专栏
编程
21篇
网络安全
44篇
前端
5篇
数通教程
2篇
虚拟机问题总结
2篇
CTF做题笔记
58篇
Windows系统知识
1篇
工具制作
1篇
Web安全
1篇
XSS靶场
1篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
祝福语
请填写红包祝福语或标题
红包数量
个
红包个数最小为10个
红包总金额
元
红包金额最低5元
余额支付
当前余额3.43元
前往充值 >
需支付:10.00元
取消
确定
下一步
知道了
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝
规则
hope_wisdom 发出的红包
打赏作者
白猫a~
你的鼓励将是我创作的最大动力
¥1
¥2
¥4
¥6
¥10
¥20
扫码支付:¥1
获取中
扫码支付
您的余额不足,请更换扫码支付或充值
打赏作者
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
0
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。
余额充值
WannaCry勒索病毒,是这么一回事| 果壳 科技有意思
WannaCry勒索病毒,是这么一回事| 果壳 科技有意思
首页科学人物种日历吃货研究所美丽也是技术活一桶猫热点互联网3059字需用时 06:07WannaCry勒索病毒,是这么一回事一桶猫想哭!上周末,一个被称为“WannaCry”(也有称WannaCrypt)的勒索病毒在全球范围内肆虐。这个传说中属于“网络战武器”的病毒,到底是怎么回事?这篇文章会为你梳理事情的全貌。
什么是WannaCrypt勒索病毒?
北京时间2017年5月12日晚上22点30分左右,全英国上下16家医院遭到大范围网络攻击,医院的内网被攻陷,导致这16家机构基本中断了与外界联系,内部医疗系统几乎停止运转,很快又有更多医院的电脑遭到攻击,这场网络攻击迅速席卷全球。
这场网络攻击的罪魁祸首就是一种叫WannaCrypt的勒索病毒。
勒索病毒本身并不是什么新概念,勒索软件Ransomware最早出现在1989年,是由Joseph Popp编写的叫"AIDS Trojan"(艾滋病特洛伊木马)的恶意软件。在1996年,哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件,明确概述了勒索软件Ransomware的概念:利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。
最初的勒索软件和现在看到的一样,都采用加密文件、收费解密的形式,只是所用的加密方法不同。后来除了加密外,也出现通过其他手段勒索的,比如强制显示色情图片、威胁散布浏览记录、使用虚假信息要挟等形式,向受害者索取金额的勒索软件,这类勒索病毒在近几年来一直不断出现。
被WannaCrypt勒索病毒侵入的电脑都会显示上图要求赎金的信息
本次肆虐的WannaCry也是同样的勒索方式,病毒通过邮件、网页甚至手机侵入,将电脑上的文件加密,受害者只有按要求支付等额价值300美元的比特币才能解密,如果7天内不支付,病毒声称电脑中的数据信息将会永远无法恢复。
勒索病毒是怎么加密的?
在提到加密原理之前,首先要来科普一个概念:RSA加密算法,RSA公钥加密是一种非对称加密算法,包含3个算法:KeyGen(密钥生成算法),Encrypt(加密算法)以及Decrypt(解密算法)。
其算法过程需要一对密钥(即一个密钥对),分别是公钥(公开密钥)和私钥(私有密钥),公钥对内容进行加密,私钥对公钥加密的内容进行解密。“非对称”这三个字的意思是,虽然加密用的是公钥,但拿着公钥却无法解密。
这次WannaCrypt勒索病毒使用的就是2048位密钥长度的RSA非对称加密算法对内容进行加密处理。通过随机生成的AES密钥、使用AES-128-CBC方法对文件进行加密,然后将对应的AES密钥通过RSA-2048加密,再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY文件里。(感谢评论里的朋友指正)简单来说,就是用一个非常非常复杂的钥匙,把你的文件锁上了。能解开的钥匙掌握在黑客手里,你没有;而以现在的计算能力,也基本没有办法强行破解。
图片来源:腾讯安全联合实验室(http://slab.qq.com/news/tech/1575.html)
勒索病毒是怎么全球范围大规模爆发的?
按理说,勒索病毒只是一个“锁”,其本身并没有大规模传播的能力。这次病毒的泄露与爆发,跟美国国家安全局(NSA)有关。
NSA是美国政府机构中最大的情报部门,隶属于美国国防部,专门负责收集和分析外国及本国通讯资料,而为了研究入侵各类电脑网络系统,NSA或多或少会跟各种黑客组织有合作,这些黑客中肯定有人能够入侵各种电脑。
事情起源于2016 年 8 月,一个叫 “The Shadow Brokers” (TSB)的黑客组织号称入侵了疑似是NSA下属的黑客方程式组织(Equation Group),从中窃取了大量机密文件,还下载了他们开发的攻击工具,并将部分文件公开到网上(GitHub)。
这些被窃取的工具包括了大量恶意软件和入侵工具,其中就有可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝(Eternal Blue)。“永恒之蓝”是疑似NSA针对CVE-2017-(0143~0148)这几个漏洞开发的漏洞利用工具,通过利用Windows SMB协议的漏洞来远程执行代码,并提升自身至系统权限。
2017年4月8日和16日,“The Shadow Brokers”分别在网上公布了解压缩密码和保留的部分文件,也就是说,无论是谁,都可以下载并远程攻击利用,各种没有打补丁的Windows电脑都处在危险状态。
勒索病毒与永恒之蓝搭配的效果就是,只要有一个人点击了含有勒索病毒的邮件或网络,他的电脑就会被勒索病毒感染,进而使用永恒之蓝工具进行漏洞利用,入侵并感染与它联网的所有电脑。
图片来源:腾讯安全反病毒实验室攻击流程演示
简单地说,可以把永恒之蓝(传播的部分)当成武器,而WannaCrypt勒索病毒(加密文件并利用传播工具来传播自身)是利用武器的人。一旦机器连接在互联网上,它就会随机确定IP地址扫描445端口的开放情况,如果是开放的状态则尝试利用漏洞进行感染;如果机器在某个局域网里,它会直接扫描相应网段来尝试感染。
很多人会奇怪,攻击工具明明是上个月泄露的,但是怎么时隔一个月才集中爆发?一些安全专家发现,这些电脑其实早已被感染,也就是说,在一个月前永恒之蓝早已像定时炸弹一样被安在各个系统中,只是5月12日那天才被启动。
5月16日上午,杀毒软件公司卡巴斯基(Kaspersky Lab)的研究室安全人员表示,他们在研究了早期蠕虫病毒版本与2015年2月的病毒样本发现,其中部分相似的代码来自于卡巴斯基之前关注的朝鲜黑客团队“拉撒路组”,代码的相似度远超正常程度。
因此,卡巴斯基认为这次WannaCrypt勒索病毒与之前的冲击波病毒出自同一黑客团队,同时,信息安全领域的解决方案提供商赛门铁克(Symantec)也发现了同样的证据,安全专家Matt Suiche上午在推特(@msuiche)上公布证据,表示遍及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”的猜测。
Twitter:https://t.co/qSnkyug8XH
为什么要用比特币支付?
比特币(Bitcoin)是一种网络虚拟货币,在2009年被匿名的程序员创造之后作为开放资源发布,除了通过采矿获得,比特币还可以兑换成其它货币。
其最大的特点是分散在整个网络上,完全匿名且不受各种金融限制,几乎很难从一个比特币账户追查到另一个。由此可知,比特币自然成为黑客索要赎金的不二选择。
在中了勒索病毒的情况下,移除勒索病毒、使用防毒软件都无法打开加密文件,一些被侵入的企业会为了保护重要的文件而选择在规定时间内支付比特币赎金,截止到5月16日13时,跟这次病毒爆发相关的账户一共有36个比特币的收益。
36个比特币虽然看上去不值一提,但是从病毒爆发到现在,比特币兑换的汇率一路猛涨,截止到5月16日13时,1比特币相当于1700美元左右,约合人民币11700元。
自2016年6月至今的比特币汇率变化图
尽管如此,有几个已经中招的用户在网上向黑客求情,竟然真的被免费解锁了……
5月14日下午,一个台湾的受害者在社交软件上向黑客求情:“我每月收入仅 400 美元,你真的要这样对我吗?”,结果没想到,收到了黑客的回复并被免费解锁了!
哪些地方的系统成为病毒重灾区?
因为NSA的永恒之蓝漏洞太强大了,除了更新了的Windows 10系统(版本1703)之外的其它Windows系统都可能受到漏洞影响。
目前已知的受影响的系统有: Windows Vista、Windows 7、Windows 8.1、Windows Server 2008(含R2)、Windows 2012(含R2)、Windows2016、已脱离服务周期的Windows XP、Windows Server 2003、Windows 8以及关闭自动更新的win10用户。
英国医院成为病毒入侵重灾区的一个重要原因,就在于系统的落后,英国医院的IT系统一直没有及时更新,仍然在使用Windows XP系统,而Windows XP系统在2014年4月之后就没有发布更新的安全补丁了。
除了英国,意大利、德国、俄罗斯、西班牙等国家都大范围爆发勒索病毒。
意大利的大学机房被攻击
5月12日仅一夜之间,全世界就有超过99个国家遭到攻击,共计七万多起。
我们国家的内网受损害也很严重,尤其是高校的校园网,很多单位都在内网和外网之间部署了防火墙进行网络控制,但内网的安全反而多多少少有些被忽视,因为内网机器相互访问的需求,再加上网络管理人员忽略了内网本身的安全控制,在不少企业的内网里,绝大多数端口甚至是完全开放的状态。这种情况下,电脑间的网络连接毫无限制,也就给了蠕虫病毒以传播机会。
内网的网络控制是靠内网网管来进行部署的,国内的大多数网络运营商都直接对445端口进行了封锁,哪怕漏洞存在,因为端口无法访问,病毒也自然就不能继续传播了。
如何应对WannaCrypt勒索病毒?
从病毒爆发到现在,已经有各路专业人士发布过解决方法,简单总结一下:
1、划重点,电脑上的文件一定要备份,并且勤备份。注意不要备份在本机和网络硬盘上,备份盘也不要一直插在电脑上;
2、安装反勒索防护工具,不要访问可疑网站、不要打开可疑的电子邮件和文件,如果发现被感染,也不要支付赎金;
3、关闭电脑包括TCP和UDP协议135和445端口,尤其是Windows7系统,不要使用校园网;
4、安装微软发布的修复“永恒之蓝”攻击的系统漏洞的补丁MS17-010,尽快升级安装Windows操作系统相关补丁。
除了上面的措施,幕后的网络安全人员也在通宵奋战。病毒爆发的第二天,一个英国安全人员分析了病毒的代码,发现在代码的开头有一个域名地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,从病毒开始侵入之后访问量激增。
于是他花钱把这个域名注册了下来,结果发现这个域名接到了几乎全世界的电脑上!随后,安全人员进一步分析发现,这是病毒作者留给自己的紧急停止开关。
在代码中提到,每一个被感染的电脑在发作前都会访问这个域名,而如果这个域名不存在,就会一直继续传播下去,一旦被注册就会停止传播。
因为一次意外,安全人员还绘制出了攻击地图...
地图上的每一个蓝点都代表着被攻击的电脑,并且有可能继续攻击同一网络中的其它电脑。
在安全人员昼夜不停地努力之下,有效阻止了进一步大范围爆发的可能,人们的安全意识也普遍提高了。(编辑:姜Zn)
来源:
https://en.wikipedia.org/wiki/Ransomware
https://en.wikipedia.org/wiki/Bitcoin
http://www.bbc.com/news/technology-39896393
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/charts/market-price
http://www.coindesk.com/price/
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95
http://www.sbs.com.au/yourlanguage/cantonese/zh-hant/article/2017/05/15/hei-ke-mian-fei-wei-tai-wan-qiong-yong-hu-jie-suo
http://wemedia.ifeng.com/15669018/wemedia.shtml
https://twitter.com/msuiche/status/864261490953641985
https://www.zhihu.com/question/25912483/answer/31653639
The End发布于2017-05-16, 本文版权属于果壳网(guokr.com),禁止转载。如有需要,请联系果壳。举报这篇文章一桶猫果壳作者麒麟视频编辑科技有意思 · 果壳走着瞧关于果壳联系我们电话+86 010-85805342邮箱service@guokr.com更多联系方式关注我们©果壳网·京ICP备09043258号·京网文[2018] 6282-492号·新出发京零字第朝200003号·京公网安备11010502007133号违法和不良信息举报邮箱:jubao@guokr.com·举报电话:17310593603·网上有害信息举报专区·未成年人专项举报邮箱未成年人专项举报热线:15313123670·萃取-pensieve
勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
>勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
勒索病毒的原理和防范机制研究
最新推荐文章于 2024-01-19 18:17:45 发布
图书馆415章若楠
最新推荐文章于 2024-01-19 18:17:45 发布
阅读量1.1w
收藏
77
点赞数
9
分类专栏:
学习笔记
文章标签:
web安全
网络安全
安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yrhych123/article/details/120431915
版权
学习笔记
专栏收录该内容
2 篇文章
0 订阅
订阅专栏
勒索病毒的原理和防范机制研究
什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。 【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,回报高。由于这把锁的钥匙只有攻击你的人才拥有,所以很多被攻击的企业为了找回自己的数据资料不得不支付动辄千万的赎金。与其他机构相比,医院的信息系统也比较有特殊性,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。所以常常看到勒索病毒的优先攻击对象往往是一些医院、企业、政府、高校、银行。
什么是挂马? :挂马是木马的一种传播方式。话句话说,木马是一种恶意软件,而挂马是使该软件进入用户电脑的途径之一。其中网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面!再加代码使得木马在打开网页时运行!
近几年爆发的勒索病毒概况
1、2017年5月,一种名为“想哭”(WannaCry)的勒索病毒袭击全球150多个国家和地区,30万名用户,近百个国家的政府、高校、医院等机构及个人的计算机收到感染,恶意加密用户个人文件,以解密诉求为由索要赎金,引发了迄今为止网络世界最大的安全危机。 2、2017年6月,欧洲、北美地区多个国家遭到新型勒索病毒“Petya”攻击。乌克兰受害严重,其政府部门、国有企业相继“中招”,多国的政府、银行、电力系统、通讯系统等多个行业均受到不同程度的影响。 3、2017年10月,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。 4、2018年2月,多家互联网安全企业截获了“Mind Lost”勒索病毒。 5、2018年2月,中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。 6、2018年3月,有杀毒软件厂商表示,他们监测到了“麒麟2.1”的勒索病毒。 7、2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。 8、从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。 9、2018年12月,火绒安全团队曝光了一个以微信为支付手段的勒索病毒在国内爆发。几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。 10、2018年12月,平安东莞账号证实“12.05”特大新型勒索病毒案已被侦破,根据上级公安机关“净网安网2018”专项行动有关部署,近日,东莞网警在省公安厅网警总队的统筹指挥,24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者罗某某(男,22岁,广东茂名人),缴获木马程序和作案工具一批。 11、2019年3月,瑞星安全专家发现通过发送恐吓邮件,诱使用户下载附件,导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。 12、近日,国内很多公司都感染了后缀.file勒索病毒,甚至国内某个软件Saas云服务器全部沦陷,91数据恢复团队已经接到很多公司的求助,这些公司的服务器都因中毒感染.file后缀勒索病毒而导致公司业务停摆或耽误
勒索病毒特征及危害
以勒索病毒WannaCry为例。它与以前的勒索软件有非常明显的区别,具有蠕虫性质,特点和危害: 1、传播速度更快、传播范围更广。 2、全程自动化、攻击行为更隐蔽。 3、感染无法补救、危害程度深 什么是蠕虫性质? :蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。具有感染更强传播更快的特点。
勒索病毒通过什么方式入侵我们的电脑?
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
勒索病毒的原理是什么?技术特点?
勒索类病毒都利用了密码学中的公钥密码算法来加密文件。有的病毒使用RSA加密(比如WannaCry病毒),有的使用椭圆曲线加密(比如CTB Locker)。 WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
攻击流程图:
加密流程图:
密钥及加密关系:
现实生活中,我们该如何防范?
【企业防范】 1、在省一级以上的医院,将配备安全人员或相关预算(安全服务外包),可以定期做安全检测,相当于每年体检一次,知道问题在哪里,根据自己的产品部署安全或配备安全。 2、更改服务器口令:复杂度最好采用大小写字母、数字、特殊符号混合的组合结构、口令位数足够长(15位、两种组合以上),并且定期更换登录口令;服务器密码使用高强度和不规则密码,多台机器不使用相同或相似的口令,要求每个服务器使用不同的密码管理。 3、建立内部访问控制,建立服务器和工作站内部访问的相应控制,不需要互连需求,避免服务器在连接外部网络后被攻击,作为跳板被企业服务器攻击。 4、为安全专业人员部署云服务。我们不熟悉终端和服务器上的专业和安全保护软件。服务器可以考虑诸如不熟悉的腾讯云和专业安全保护功能等云服务。 【个人防范】 1、安全加固,对服务器和终端安装专业的安全防护软件;定期检测系统漏洞并修复,及时更新Flash、Java、以及一系列Web服务程序,打齐安全补丁。 2、保护你自己的文档,勒索病毒最想加密的是你的重要文件,所以平时注意备份,或者加密;对重要的数据、文件进行实时或定期备份,而且是异地备份。 3、关闭不必要的端口,默认情况下,许多端口对Windows开放,非法黑客可以通过这些端口连接到您的计算机。尽可能关闭445, 135, 139和其他不需要的端口,3389端口可以是白名单配置,只允许白名单的IP连接登录。 4、关闭不必要的文件共享。文件共享也有风险。如有必要,请使用ACL和强密码保护来限制访问权限,并禁用对共享文件夹的匿名访问。 5、不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描,确认安全性,尽量从软件管家或官网等可信渠道下载软件;要养成上网的良好习惯。
小结
网络安全的威胁来源和攻击手段不断变化,不是依靠几个病毒防护软件就可永保网络安全,而是需要树立动态、综合的防护理念。新的网络攻击必须要有新的核心技术才能应对,可信计算技术体系及其产品具有主动免疫、动态防御、快速响应等特点,可有效应对非预知病毒木马,改变网络攻击被动挨打,受制于人的局面,是建立网络空间主动免疫的安全防御体系的有利支撑。
优惠劵
图书馆415章若楠
关注
关注
9
点赞
踩
77
收藏
觉得还不错?
一键收藏
知道了
0
评论
勒索病毒的原理和防范机制研究
勒索病毒的原理和防范机制研究什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?5、勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结什么是勒索病毒?【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。【密码学技术】这种病
复制链接
扫一扫
专栏目录
2023年中国企业勒索病毒攻击态势分析报告
02-01
本次报告,从 2022 年 1 月至 2023 年 3 月的千余份网络安全应急响应分析报告中,甄选
出了 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究
样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开
深度分析,并首次给出了勒索病毒攻击的生存曲线。同时,报告还结合勒索病毒的攻击特征,
深入分析了中招机构网络安全建设与运营方面的“通病”,为政企机构高效率的建设勒索病
毒防范体系提供了重要的参考依据。
Web安全深度剖析
07-23
资源名称:Web安全深度剖析资源截图:
资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
参与评论
您还未登录,请先
登录
后发表或查看评论
[图解] 勒索病毒加密原理
Qode
08-13
7909
示意图
原理
公开密钥密码体制 要求密钥成对出现,一个用于加密,另一个用于解密,并且且不可能从其中一个推导出另一个。
加密过程
病毒作者首先在自己电脑上生成的 私钥Q 和 公钥Q,算法可以基于RSA或者椭圆曲线。
病毒在目标电脑上随机生成 私钥Z 和 公钥Z
将用户电脑上的文件通过 公钥Z 加密
将用户电脑上的 私钥Z 通过 公钥Q 加密
删除用户电脑上的 私钥Z 、公钥Q、数据
解密过程
支付...
勒索病毒:原理与防御
最新发布
m0_73734159的博客
01-19
632
保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。
勒索病毒的原理和防御学习说明资料
08-28
勒索病毒的原理和防御
深入剖析NGINGX
01-31
深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX
勒索软件的原理
m0_62063669的博客
08-04
1635
算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买。勒索软件攻破企业网络之后,如果顺利获取重要数据,就会进入下一环节,但如果没有。3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。用户文档,只有在用户支付赎金后,才提供解密文档的方法。...
勒索病毒的原理与防范
2302_76601220的博客
11-17
359
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。
【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,
勒索软件工作原理
NewTyun的博客
06-06
829
新钛云服已累计为您分享646篇技术干货勒索软件的工作原理是通过非对称加密方法加密用户的文件。勒索软件是一种恶意软件,也称为恶意软件,勒索软件通过攻击用户的计算机或设备来工作,并通过加密来阻止他们访问其文件。然后,攻击者要求金钱以换取解密文件。勒索软件可以通过多种方式攻击和加密文件,这些方法具有不同程度的复杂性。勒索软件如何获得访问权限与所有恶意软件一样,勒索软件必须绕过设...
应急响应二 - 后门分析&勒索病毒&攻击
acepanhuan的博客
04-01
854
应急响应二 - 后门分析&勒索病毒&攻击
医疗行业勒索病毒防范.pdf
08-08
医疗行业网络安全形势
勒索病毒介绍
勒索病毒处置解决方案
结语
计算机病毒与木马程序剖析
04-09
对计算机病毒和木马的内核和技术进行详细的描述
TensorFlow 内核剖析
12-21
TensorFlow 内核剖析
勒索病毒应急措施及防护方案.pptx
09-08
勒索病毒产业链
病毒勒索五大形式
常见的勒索病毒
勒索病毒攻击手段
勒索病毒中毒特征
勒索病毒自救措施
加强管理制度建设预防勒索病毒
勒索病毒立体防护解决方案
勒索病毒立体防护方案用户收益
OptiSystem剖析.pdf
05-29
OptiSystem中文实例介绍
勒索病毒的刨析与防范.pptx
12-02
勒索病毒原理 勒索病毒的发展和进化 勒索病毒常见传播方式 勒索病毒内网传播方式 勒索病毒的特点和挑战 勒索病毒应急处置与加固
关于预防勒索病毒的应急防范措施.pdf
09-15
关于预防勒索病毒的应急防范措施。
勒索病毒防范
12-06
如何防范勒索病毒,如何关闭135、137、138、139、445端口
公有云防勒索病毒原理
08-25
公有云防勒索病毒的原理是通过配置安全组和云防火墙来过滤流量,从而提供对云主机的保护。安全组配置在云主机的虚拟网卡上,安全组规则对云主机的东西向和南北向流量生效。而云防火墙配置在VPC的流量统一出口处,对VPC内云主机的南北向和跨子网流量生效。通过在安全组和云防火墙中添加白名单规则,可以允许云主机之间的通信。如果其中一个没有相应放通的规则,可能会影响云主机之间的通信。因此,在使用公有云时,配置安全组和云防火墙是保护云主机免受勒索病毒侵害的重要措施。123
#### 引用[.reference_title]
- *1* *2* *3* [移动云产品工作记录](https://blog.csdn.net/ximenjianxue/article/details/113573443)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]
“相关推荐”对你有帮助么?
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
图书馆415章若楠
CSDN认证博客专家
CSDN认证企业博客
码龄5年
暂无认证
2
原创
117万+
周排名
40万+
总排名
1万+
访问
等级
31
积分
6
粉丝
10
获赞
1
评论
81
收藏
私信
关注
热门文章
勒索病毒的原理和防范机制研究
11629
Web安全学习记录(一)
1506
分类专栏
学习笔记
2篇
最新评论
Web安全学习记录(一)
我是榜样:
写的什么东西
您愿意向朋友推荐“博客详情页”吗?
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
Web安全学习记录(一)
2021年2篇
目录
目录
分类专栏
学习笔记
2篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
祝福语
请填写红包祝福语或标题
红包数量
个
红包个数最小为10个
红包总金额
元
红包金额最低5元
余额支付
当前余额3.43元
前往充值 >
需支付:10.00元
取消
确定
下一步
知道了
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝
规则
hope_wisdom 发出的红包
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
0
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。
余额充值
勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
>勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
勒索病毒的原理和防范机制研究
最新推荐文章于 2024-03-06 17:52:54 发布
图书馆415章若楠
最新推荐文章于 2024-03-06 17:52:54 发布
阅读量1.1w
收藏
77
点赞数
9
分类专栏:
学习笔记
文章标签:
web安全
网络安全
安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yrhych123/article/details/120431915
版权
学习笔记
专栏收录该内容
2 篇文章
0 订阅
订阅专栏
勒索病毒的原理和防范机制研究
什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。 【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,回报高。由于这把锁的钥匙只有攻击你的人才拥有,所以很多被攻击的企业为了找回自己的数据资料不得不支付动辄千万的赎金。与其他机构相比,医院的信息系统也比较有特殊性,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。所以常常看到勒索病毒的优先攻击对象往往是一些医院、企业、政府、高校、银行。
什么是挂马? :挂马是木马的一种传播方式。话句话说,木马是一种恶意软件,而挂马是使该软件进入用户电脑的途径之一。其中网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面!再加代码使得木马在打开网页时运行!
近几年爆发的勒索病毒概况
1、2017年5月,一种名为“想哭”(WannaCry)的勒索病毒袭击全球150多个国家和地区,30万名用户,近百个国家的政府、高校、医院等机构及个人的计算机收到感染,恶意加密用户个人文件,以解密诉求为由索要赎金,引发了迄今为止网络世界最大的安全危机。 2、2017年6月,欧洲、北美地区多个国家遭到新型勒索病毒“Petya”攻击。乌克兰受害严重,其政府部门、国有企业相继“中招”,多国的政府、银行、电力系统、通讯系统等多个行业均受到不同程度的影响。 3、2017年10月,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。 4、2018年2月,多家互联网安全企业截获了“Mind Lost”勒索病毒。 5、2018年2月,中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。 6、2018年3月,有杀毒软件厂商表示,他们监测到了“麒麟2.1”的勒索病毒。 7、2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。 8、从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。 9、2018年12月,火绒安全团队曝光了一个以微信为支付手段的勒索病毒在国内爆发。几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。 10、2018年12月,平安东莞账号证实“12.05”特大新型勒索病毒案已被侦破,根据上级公安机关“净网安网2018”专项行动有关部署,近日,东莞网警在省公安厅网警总队的统筹指挥,24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者罗某某(男,22岁,广东茂名人),缴获木马程序和作案工具一批。 11、2019年3月,瑞星安全专家发现通过发送恐吓邮件,诱使用户下载附件,导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。 12、近日,国内很多公司都感染了后缀.file勒索病毒,甚至国内某个软件Saas云服务器全部沦陷,91数据恢复团队已经接到很多公司的求助,这些公司的服务器都因中毒感染.file后缀勒索病毒而导致公司业务停摆或耽误
勒索病毒特征及危害
以勒索病毒WannaCry为例。它与以前的勒索软件有非常明显的区别,具有蠕虫性质,特点和危害: 1、传播速度更快、传播范围更广。 2、全程自动化、攻击行为更隐蔽。 3、感染无法补救、危害程度深 什么是蠕虫性质? :蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。具有感染更强传播更快的特点。
勒索病毒通过什么方式入侵我们的电脑?
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
勒索病毒的原理是什么?技术特点?
勒索类病毒都利用了密码学中的公钥密码算法来加密文件。有的病毒使用RSA加密(比如WannaCry病毒),有的使用椭圆曲线加密(比如CTB Locker)。 WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
攻击流程图:
加密流程图:
密钥及加密关系:
现实生活中,我们该如何防范?
【企业防范】 1、在省一级以上的医院,将配备安全人员或相关预算(安全服务外包),可以定期做安全检测,相当于每年体检一次,知道问题在哪里,根据自己的产品部署安全或配备安全。 2、更改服务器口令:复杂度最好采用大小写字母、数字、特殊符号混合的组合结构、口令位数足够长(15位、两种组合以上),并且定期更换登录口令;服务器密码使用高强度和不规则密码,多台机器不使用相同或相似的口令,要求每个服务器使用不同的密码管理。 3、建立内部访问控制,建立服务器和工作站内部访问的相应控制,不需要互连需求,避免服务器在连接外部网络后被攻击,作为跳板被企业服务器攻击。 4、为安全专业人员部署云服务。我们不熟悉终端和服务器上的专业和安全保护软件。服务器可以考虑诸如不熟悉的腾讯云和专业安全保护功能等云服务。 【个人防范】 1、安全加固,对服务器和终端安装专业的安全防护软件;定期检测系统漏洞并修复,及时更新Flash、Java、以及一系列Web服务程序,打齐安全补丁。 2、保护你自己的文档,勒索病毒最想加密的是你的重要文件,所以平时注意备份,或者加密;对重要的数据、文件进行实时或定期备份,而且是异地备份。 3、关闭不必要的端口,默认情况下,许多端口对Windows开放,非法黑客可以通过这些端口连接到您的计算机。尽可能关闭445, 135, 139和其他不需要的端口,3389端口可以是白名单配置,只允许白名单的IP连接登录。 4、关闭不必要的文件共享。文件共享也有风险。如有必要,请使用ACL和强密码保护来限制访问权限,并禁用对共享文件夹的匿名访问。 5、不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描,确认安全性,尽量从软件管家或官网等可信渠道下载软件;要养成上网的良好习惯。
小结
网络安全的威胁来源和攻击手段不断变化,不是依靠几个病毒防护软件就可永保网络安全,而是需要树立动态、综合的防护理念。新的网络攻击必须要有新的核心技术才能应对,可信计算技术体系及其产品具有主动免疫、动态防御、快速响应等特点,可有效应对非预知病毒木马,改变网络攻击被动挨打,受制于人的局面,是建立网络空间主动免疫的安全防御体系的有利支撑。
优惠劵
图书馆415章若楠
关注
关注
9
点赞
踩
77
收藏
觉得还不错?
一键收藏
知道了
0
评论
勒索病毒的原理和防范机制研究
勒索病毒的原理和防范机制研究什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?5、勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结什么是勒索病毒?【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。【密码学技术】这种病
复制链接
扫一扫
专栏目录
OptiSystem剖析.pdf
05-29
OptiSystem中文实例介绍
[图解] 勒索病毒加密原理
Qode
08-13
7909
示意图
原理
公开密钥密码体制 要求密钥成对出现,一个用于加密,另一个用于解密,并且且不可能从其中一个推导出另一个。
加密过程
病毒作者首先在自己电脑上生成的 私钥Q 和 公钥Q,算法可以基于RSA或者椭圆曲线。
病毒在目标电脑上随机生成 私钥Z 和 公钥Z
将用户电脑上的文件通过 公钥Z 加密
将用户电脑上的 私钥Z 通过 公钥Q 加密
删除用户电脑上的 私钥Z 、公钥Q、数据
解密过程
支付...
参与评论
您还未登录,请先
登录
后发表或查看评论
关于预防勒索病毒的应急防范措施.pdf
09-15
关于预防勒索病毒的应急防范措施。
勒索病毒:原理与防御
m0_73734159的博客
01-19
632
保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。
计算机病毒与木马程序剖析
04-09
对计算机病毒和木马的内核和技术进行详细的描述
TensorFlow 内核剖析
12-21
TensorFlow 内核剖析
勒索软件的原理
m0_62063669的博客
08-04
1635
算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买。勒索软件攻破企业网络之后,如果顺利获取重要数据,就会进入下一环节,但如果没有。3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。用户文档,只有在用户支付赎金后,才提供解密文档的方法。...
勒索病毒的原理与防范
2302_76601220的博客
11-17
359
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。
【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,
勒索软件工作原理
NewTyun的博客
06-06
829
新钛云服已累计为您分享646篇技术干货勒索软件的工作原理是通过非对称加密方法加密用户的文件。勒索软件是一种恶意软件,也称为恶意软件,勒索软件通过攻击用户的计算机或设备来工作,并通过加密来阻止他们访问其文件。然后,攻击者要求金钱以换取解密文件。勒索软件可以通过多种方式攻击和加密文件,这些方法具有不同程度的复杂性。勒索软件如何获得访问权限与所有恶意软件一样,勒索软件必须绕过设...
应急响应二 - 后门分析&勒索病毒&攻击
acepanhuan的博客
04-01
854
应急响应二 - 后门分析&勒索病毒&攻击
2023年中国企业勒索病毒攻击态势分析报告
02-01
本次报告,从 2022 年 1 月至 2023 年 3 月的千余份网络安全应急响应分析报告中,甄选
出了 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究
样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开
深度分析,并首次给出了勒索病毒攻击的生存曲线。同时,报告还结合勒索病毒的攻击特征,
深入分析了中招机构网络安全建设与运营方面的“通病”,为政企机构高效率的建设勒索病
毒防范体系提供了重要的参考依据。
勒索病毒的原理和防御学习说明资料
08-28
勒索病毒的原理和防御
深入剖析NGINGX
01-31
深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX
勒索病毒应急措施及防护方案.pptx
09-08
勒索病毒产业链
病毒勒索五大形式
常见的勒索病毒
勒索病毒攻击手段
勒索病毒中毒特征
勒索病毒自救措施
加强管理制度建设预防勒索病毒
勒索病毒立体防护解决方案
勒索病毒立体防护方案用户收益
医疗行业勒索病毒防范.pdf
08-08
医疗行业网络安全形势
勒索病毒介绍
勒索病毒处置解决方案
结语
勒索病毒的刨析与防范.pptx
12-02
勒索病毒原理 勒索病毒的发展和进化 勒索病毒常见传播方式 勒索病毒内网传播方式 勒索病毒的特点和挑战 勒索病毒应急处置与加固
勒索病毒防范
12-06
如何防范勒索病毒,如何关闭135、137、138、139、445端口
黑客(网络安全)技术自学30天
最新发布
TDJYGC的博客
03-06
1076
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。当然,产生这样的疑惑并不奇怪,毕竟网络安全这个专业在2017年才调整为国家一级学科,而且大众对于网络安全的认知度不高,了解最多的可能就是个人信息泄露或者社区经常宣传的国家反诈APP。所以,如果你对网络安全感兴趣,即使没有天生的特质也可以一试,很多人都是在学习网络安全的过程中慢慢锻炼的。到此为止,大概1个月的时间。
公有云防勒索病毒原理
08-25
公有云防勒索病毒的原理是通过配置安全组和云防火墙来过滤流量,从而提供对云主机的保护。安全组配置在云主机的虚拟网卡上,安全组规则对云主机的东西向和南北向流量生效。而云防火墙配置在VPC的流量统一出口处,对VPC内云主机的南北向和跨子网流量生效。通过在安全组和云防火墙中添加白名单规则,可以允许云主机之间的通信。如果其中一个没有相应放通的规则,可能会影响云主机之间的通信。因此,在使用公有云时,配置安全组和云防火墙是保护云主机免受勒索病毒侵害的重要措施。123
#### 引用[.reference_title]
- *1* *2* *3* [移动云产品工作记录](https://blog.csdn.net/ximenjianxue/article/details/113573443)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]
“相关推荐”对你有帮助么?
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
图书馆415章若楠
CSDN认证博客专家
CSDN认证企业博客
码龄5年
暂无认证
2
原创
117万+
周排名
40万+
总排名
1万+
访问
等级
31
积分
6
粉丝
10
获赞
1
评论
81
收藏
私信
关注
热门文章
勒索病毒的原理和防范机制研究
11629
Web安全学习记录(一)
1506
分类专栏
学习笔记
2篇
最新评论
Web安全学习记录(一)
我是榜样:
写的什么东西
您愿意向朋友推荐“博客详情页”吗?
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
Web安全学习记录(一)
2021年2篇
目录
目录
分类专栏
学习笔记
2篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
祝福语
请填写红包祝福语或标题
红包数量
个
红包个数最小为10个
红包总金额
元
红包金额最低5元
余额支付
当前余额3.43元
前往充值 >
需支付:10.00元
取消
确定
下一步
知道了
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝
规则
hope_wisdom 发出的红包
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
0
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。
余额充值
勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
>勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
勒索病毒的原理和防范机制研究
最新推荐文章于 2024-03-06 17:52:54 发布
图书馆415章若楠
最新推荐文章于 2024-03-06 17:52:54 发布
阅读量1.1w
收藏
77
点赞数
9
分类专栏:
学习笔记
文章标签:
web安全
网络安全
安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yrhych123/article/details/120431915
版权
学习笔记
专栏收录该内容
2 篇文章
0 订阅
订阅专栏
勒索病毒的原理和防范机制研究
什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。 【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,回报高。由于这把锁的钥匙只有攻击你的人才拥有,所以很多被攻击的企业为了找回自己的数据资料不得不支付动辄千万的赎金。与其他机构相比,医院的信息系统也比较有特殊性,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。所以常常看到勒索病毒的优先攻击对象往往是一些医院、企业、政府、高校、银行。
什么是挂马? :挂马是木马的一种传播方式。话句话说,木马是一种恶意软件,而挂马是使该软件进入用户电脑的途径之一。其中网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面!再加代码使得木马在打开网页时运行!
近几年爆发的勒索病毒概况
1、2017年5月,一种名为“想哭”(WannaCry)的勒索病毒袭击全球150多个国家和地区,30万名用户,近百个国家的政府、高校、医院等机构及个人的计算机收到感染,恶意加密用户个人文件,以解密诉求为由索要赎金,引发了迄今为止网络世界最大的安全危机。 2、2017年6月,欧洲、北美地区多个国家遭到新型勒索病毒“Petya”攻击。乌克兰受害严重,其政府部门、国有企业相继“中招”,多国的政府、银行、电力系统、通讯系统等多个行业均受到不同程度的影响。 3、2017年10月,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。 4、2018年2月,多家互联网安全企业截获了“Mind Lost”勒索病毒。 5、2018年2月,中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。 6、2018年3月,有杀毒软件厂商表示,他们监测到了“麒麟2.1”的勒索病毒。 7、2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。 8、从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。 9、2018年12月,火绒安全团队曝光了一个以微信为支付手段的勒索病毒在国内爆发。几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。 10、2018年12月,平安东莞账号证实“12.05”特大新型勒索病毒案已被侦破,根据上级公安机关“净网安网2018”专项行动有关部署,近日,东莞网警在省公安厅网警总队的统筹指挥,24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者罗某某(男,22岁,广东茂名人),缴获木马程序和作案工具一批。 11、2019年3月,瑞星安全专家发现通过发送恐吓邮件,诱使用户下载附件,导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。 12、近日,国内很多公司都感染了后缀.file勒索病毒,甚至国内某个软件Saas云服务器全部沦陷,91数据恢复团队已经接到很多公司的求助,这些公司的服务器都因中毒感染.file后缀勒索病毒而导致公司业务停摆或耽误
勒索病毒特征及危害
以勒索病毒WannaCry为例。它与以前的勒索软件有非常明显的区别,具有蠕虫性质,特点和危害: 1、传播速度更快、传播范围更广。 2、全程自动化、攻击行为更隐蔽。 3、感染无法补救、危害程度深 什么是蠕虫性质? :蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。具有感染更强传播更快的特点。
勒索病毒通过什么方式入侵我们的电脑?
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
勒索病毒的原理是什么?技术特点?
勒索类病毒都利用了密码学中的公钥密码算法来加密文件。有的病毒使用RSA加密(比如WannaCry病毒),有的使用椭圆曲线加密(比如CTB Locker)。 WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
攻击流程图:
加密流程图:
密钥及加密关系:
现实生活中,我们该如何防范?
【企业防范】 1、在省一级以上的医院,将配备安全人员或相关预算(安全服务外包),可以定期做安全检测,相当于每年体检一次,知道问题在哪里,根据自己的产品部署安全或配备安全。 2、更改服务器口令:复杂度最好采用大小写字母、数字、特殊符号混合的组合结构、口令位数足够长(15位、两种组合以上),并且定期更换登录口令;服务器密码使用高强度和不规则密码,多台机器不使用相同或相似的口令,要求每个服务器使用不同的密码管理。 3、建立内部访问控制,建立服务器和工作站内部访问的相应控制,不需要互连需求,避免服务器在连接外部网络后被攻击,作为跳板被企业服务器攻击。 4、为安全专业人员部署云服务。我们不熟悉终端和服务器上的专业和安全保护软件。服务器可以考虑诸如不熟悉的腾讯云和专业安全保护功能等云服务。 【个人防范】 1、安全加固,对服务器和终端安装专业的安全防护软件;定期检测系统漏洞并修复,及时更新Flash、Java、以及一系列Web服务程序,打齐安全补丁。 2、保护你自己的文档,勒索病毒最想加密的是你的重要文件,所以平时注意备份,或者加密;对重要的数据、文件进行实时或定期备份,而且是异地备份。 3、关闭不必要的端口,默认情况下,许多端口对Windows开放,非法黑客可以通过这些端口连接到您的计算机。尽可能关闭445, 135, 139和其他不需要的端口,3389端口可以是白名单配置,只允许白名单的IP连接登录。 4、关闭不必要的文件共享。文件共享也有风险。如有必要,请使用ACL和强密码保护来限制访问权限,并禁用对共享文件夹的匿名访问。 5、不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描,确认安全性,尽量从软件管家或官网等可信渠道下载软件;要养成上网的良好习惯。
小结
网络安全的威胁来源和攻击手段不断变化,不是依靠几个病毒防护软件就可永保网络安全,而是需要树立动态、综合的防护理念。新的网络攻击必须要有新的核心技术才能应对,可信计算技术体系及其产品具有主动免疫、动态防御、快速响应等特点,可有效应对非预知病毒木马,改变网络攻击被动挨打,受制于人的局面,是建立网络空间主动免疫的安全防御体系的有利支撑。
优惠劵
图书馆415章若楠
关注
关注
9
点赞
踩
77
收藏
觉得还不错?
一键收藏
知道了
0
评论
勒索病毒的原理和防范机制研究
勒索病毒的原理和防范机制研究什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?5、勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结什么是勒索病毒?【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。【密码学技术】这种病
复制链接
扫一扫
专栏目录
OptiSystem剖析.pdf
05-29
OptiSystem中文实例介绍
[图解] 勒索病毒加密原理
Qode
08-13
7909
示意图
原理
公开密钥密码体制 要求密钥成对出现,一个用于加密,另一个用于解密,并且且不可能从其中一个推导出另一个。
加密过程
病毒作者首先在自己电脑上生成的 私钥Q 和 公钥Q,算法可以基于RSA或者椭圆曲线。
病毒在目标电脑上随机生成 私钥Z 和 公钥Z
将用户电脑上的文件通过 公钥Z 加密
将用户电脑上的 私钥Z 通过 公钥Q 加密
删除用户电脑上的 私钥Z 、公钥Q、数据
解密过程
支付...
参与评论
您还未登录,请先
登录
后发表或查看评论
关于预防勒索病毒的应急防范措施.pdf
09-15
关于预防勒索病毒的应急防范措施。
勒索病毒:原理与防御
m0_73734159的博客
01-19
632
保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。
计算机病毒与木马程序剖析
04-09
对计算机病毒和木马的内核和技术进行详细的描述
TensorFlow 内核剖析
12-21
TensorFlow 内核剖析
勒索软件的原理
m0_62063669的博客
08-04
1635
算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买。勒索软件攻破企业网络之后,如果顺利获取重要数据,就会进入下一环节,但如果没有。3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。用户文档,只有在用户支付赎金后,才提供解密文档的方法。...
勒索病毒的原理与防范
2302_76601220的博客
11-17
359
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。
【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,
勒索软件工作原理
NewTyun的博客
06-06
829
新钛云服已累计为您分享646篇技术干货勒索软件的工作原理是通过非对称加密方法加密用户的文件。勒索软件是一种恶意软件,也称为恶意软件,勒索软件通过攻击用户的计算机或设备来工作,并通过加密来阻止他们访问其文件。然后,攻击者要求金钱以换取解密文件。勒索软件可以通过多种方式攻击和加密文件,这些方法具有不同程度的复杂性。勒索软件如何获得访问权限与所有恶意软件一样,勒索软件必须绕过设...
应急响应二 - 后门分析&勒索病毒&攻击
acepanhuan的博客
04-01
854
应急响应二 - 后门分析&勒索病毒&攻击
2023年中国企业勒索病毒攻击态势分析报告
02-01
本次报告,从 2022 年 1 月至 2023 年 3 月的千余份网络安全应急响应分析报告中,甄选
出了 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究
样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开
深度分析,并首次给出了勒索病毒攻击的生存曲线。同时,报告还结合勒索病毒的攻击特征,
深入分析了中招机构网络安全建设与运营方面的“通病”,为政企机构高效率的建设勒索病
毒防范体系提供了重要的参考依据。
勒索病毒的原理和防御学习说明资料
08-28
勒索病毒的原理和防御
深入剖析NGINGX
01-31
深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX
勒索病毒应急措施及防护方案.pptx
09-08
勒索病毒产业链
病毒勒索五大形式
常见的勒索病毒
勒索病毒攻击手段
勒索病毒中毒特征
勒索病毒自救措施
加强管理制度建设预防勒索病毒
勒索病毒立体防护解决方案
勒索病毒立体防护方案用户收益
医疗行业勒索病毒防范.pdf
08-08
医疗行业网络安全形势
勒索病毒介绍
勒索病毒处置解决方案
结语
勒索病毒的刨析与防范.pptx
12-02
勒索病毒原理 勒索病毒的发展和进化 勒索病毒常见传播方式 勒索病毒内网传播方式 勒索病毒的特点和挑战 勒索病毒应急处置与加固
勒索病毒防范
12-06
如何防范勒索病毒,如何关闭135、137、138、139、445端口
黑客(网络安全)技术自学30天
最新发布
TDJYGC的博客
03-06
1076
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。当然,产生这样的疑惑并不奇怪,毕竟网络安全这个专业在2017年才调整为国家一级学科,而且大众对于网络安全的认知度不高,了解最多的可能就是个人信息泄露或者社区经常宣传的国家反诈APP。所以,如果你对网络安全感兴趣,即使没有天生的特质也可以一试,很多人都是在学习网络安全的过程中慢慢锻炼的。到此为止,大概1个月的时间。
公有云防勒索病毒原理
08-25
公有云防勒索病毒的原理是通过配置安全组和云防火墙来过滤流量,从而提供对云主机的保护。安全组配置在云主机的虚拟网卡上,安全组规则对云主机的东西向和南北向流量生效。而云防火墙配置在VPC的流量统一出口处,对VPC内云主机的南北向和跨子网流量生效。通过在安全组和云防火墙中添加白名单规则,可以允许云主机之间的通信。如果其中一个没有相应放通的规则,可能会影响云主机之间的通信。因此,在使用公有云时,配置安全组和云防火墙是保护云主机免受勒索病毒侵害的重要措施。123
#### 引用[.reference_title]
- *1* *2* *3* [移动云产品工作记录](https://blog.csdn.net/ximenjianxue/article/details/113573443)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]
“相关推荐”对你有帮助么?
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
图书馆415章若楠
CSDN认证博客专家
CSDN认证企业博客
码龄5年
暂无认证
2
原创
117万+
周排名
40万+
总排名
1万+
访问
等级
31
积分
6
粉丝
10
获赞
1
评论
81
收藏
私信
关注
热门文章
勒索病毒的原理和防范机制研究
11629
Web安全学习记录(一)
1506
分类专栏
学习笔记
2篇
最新评论
Web安全学习记录(一)
我是榜样:
写的什么东西
您愿意向朋友推荐“博客详情页”吗?
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
Web安全学习记录(一)
2021年2篇
目录
目录
分类专栏
学习笔记
2篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
祝福语
请填写红包祝福语或标题
红包数量
个
红包个数最小为10个
红包总金额
元
红包金额最低5元
余额支付
当前余额3.43元
前往充值 >
需支付:10.00元
取消
确定
下一步
知道了
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝
规则
hope_wisdom 发出的红包
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
0
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。
余额充值
勒索病毒加密原理? - 知乎
勒索病毒加密原理? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒Wana Decrypt0r 2.0(计算机病毒)勒索病毒加密原理?为什么勒索病毒会在短短10秒内加密那么多文件??速度如此之快,据我所知bitlock加密一个10G的盘需要1个小时之多?请问勒索病毒加密原理是什么? …显示全部 关注者20被浏览62,217关注问题写回答邀请回答好问题 2添加评论分享8 个回答默认排序史中黑客 (Hacker)等 2 个话题下的优秀答主 关注个人觉得勒索病毒种类很多,关于它的原理,我也看到有许多知友回答。在这里我想谈一谈之前发生在中国勒索病毒的真实案例,我是一名记者,也和受害聊了聊,关于这件勒索案例我采访了一些专业的人士还有收集了不少的资料。希望能够从另一个角度帮助知友们,有不同见解的小伙伴也可以提出自己的想法。-------正文分割线-------你有没有体验过一觉醒来,电脑里的所有重要数据全变成加密文件,必须要交一万多块的赎金才能解密这些文档?嗯,如果你不看这篇文章,可能就就机会体验了。一觉醒来损失一万块就在最近几天,一直在国外猖獗的勒索木马在中国突然大规模爆发。很多普通人早晨打开电脑,发现所有的文件都被黑客加密,而且明目张胆得索要比特币赎金,折合人民币一万多元。根据受害者爆料,本来一路心情愉快地去上班,开机却遭遇突发异常状况:昨天下班前电脑还好好的,今天突然开机之后电脑突然很卡,我并没有在意。结果等了一会,突然浏览器自动打开,弹出了一个勒索界面,告诉我所有的文件都已经被加密了,只有点击链接用比特币交付赎金之后才能拿到解密的密钥。【文件被加密之后的情形】如图所示,文件均被加密成以“.ODIN”扩展名结尾的文件,每个文件夹都内附一个 html 网页,打开之后,同样出现勒索网页:【弹出的勒索网页,要求受害者支付2.5个比特币】据受害者称,要想解密文档,被勒索的金额是2.5个比特币,今日1比特币的汇率是604.41美元,折合人民币4060.2451元,也就是说,勒索金额上万人民币。我们了解到,多个受害者均在公司就任与财务相关职位,或者是人事岗位,电脑中均保存了大量公司机密及重要信息,这些信息遭受攻击加密后,如果不解密将损失惨重。某个受害人表示,老板认为是他的原因才导致了这些重要资料被加密,所以让他自己来解决这些问题。赎金要一万多,如果老板逼我,我就准备辞职了。他无奈地表示。我们第一时间联系了 360 和腾讯的安全专家,挖出了这个勒索木马和这个木马家族的诸多信息。【网络上还流传一些中文版本的勒索信】勒索人到底是何方神圣?360反病毒工程师王亮告诉我们,这个“ODIN”木马是最近非常流行的密锁敲诈木马,它属于著名的“Locky”木马家族的分支变种。我们已经捕获了这个木马的80几个变种了。这个家族的敲诈木马从15年中期就有了,最近从国庆之前又开始泛滥。那么这个木马的背后究竟是谁呢?王亮说:在我们收集到的木马变种里,收款的比特币账户各不相同,勒索的金额也不同,大概是1-3个比特币左右,换算为人民币的话,平均在7000-8000元左右。但是由于勒索团伙要求用比特币通过暗网支付,所以很难查到背后的团伙究竟是谁,来自哪个国家。就连这些收款比特币账户之间有怎样的联系,都很难调查。不过,根据勒索信的内容来看,由于是纯英文,所以王亮基本可以判定这些木马的作者和敲诈团伙来自国外。我中招之后还有救吗?王亮告说了一个悲伤的消息:到目前为止,这个家族的加密手段还没有人能够破解。他详述了这个家族勒索木马的加密方法:先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。这里的“128”和“2048”的数字是什么意思呢?这代表了密钥长度,128 就意味着密钥长度是128个字节,所以这个密钥的可能性有“2的128次方”之多。这样的加密有多强呢?王亮说:如果想使用计算机暴力破解,根据现在的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。当然,从理论上来说,你也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间嘛。。。希望破解成功的时候太阳系还存在。那么,所有的勒索软件都无解吗?也并不是这样。在2014年勒索软件刚刚兴起的时候,有些勒索木马的加密方法不够规范,被安全人员找到了漏洞,可以绕过前面的防护手段,拿到密钥。还有一些团伙被追踪到了,主动在自己的网站上把私钥公开了,这时安全人员也可以根据私钥制作出解密工具。对于这类最新的勒索木马,虽然很残酷,但是安全专家承认,一旦中招(加密已经完成)之后,最经济的方法其实就是支付赎金。上图就是某受害者缴纳一万多元赎金之后,勒索者提供的密钥下载网址,其中用红色的字提醒:从今以后记得备份你的数据。被勒索者提醒要备份数据,就是这样的体验。在下载密钥之后,就到了让人“欣喜”的恢复数据过程:【电脑在解密本来就属于机主的数据】这类勒索木马会选择什么文件进行加密呢?王亮说:一般黑客会对“有价值的文件”进行加密,包括 Word、Excel、PPT、文档、图片、压缩包、数据库、源码等等。有些勒索木马还会删除系统自带的备份,就是为了防止用户通过系统恢复的方式找回珍贵的文档。根据受害人的描述,他们被加密的文档正是这些客户资料和合同文档之类的珍贵数据。【用暗网支付比特币流程复杂,在淘宝上有人专门帮助受害者支付赎金】下一个中招的会是我吗?病毒木马不可怕,但可怕的是,我们根本不知道为什么被感染。对于这几位受害者来说,他们根本没有感觉到自己做了不恰当的操作,就直接被木马加密。这些木马就像幽灵一样突然降临,确实让人后背发凉。如此说来,看这篇文章的所有人,都有可能 突然成为下一个受害者。腾讯电脑管家高级工程师徐超说,其实这类文件并不是凭空降临,而是有一些特定的传播方式:1、通过邮件传播。这些木马病毒被隐藏在邮件里,需要受害者打开附件里的文件并执行才能触发。这类文件往往看上去是图片或者表格,但实际是wsf或js格式的脚本。点击之后并没有反应,实际上后台已经开始默默下载勒索木马。2、漏洞挂马。分为两种情况a、网页挂马:木马传播者会把脚本挂在网页上,用户一旦访问这个网页,就会中招。这类网站一般都是人们“喜闻乐见”的网站,例如羞羞的网站。b、软件挂马:用户在非官方渠道下载了带有木马的软件,在开机后,不做任何操作,都有可能中毒。3、通过U盘传播。这种类型已经不常见了。【受害者访问的挂马网站:51credit.com】通过一下午的排查,360反病毒工程师王亮已经确定了一位受害者的感染途径,他访问了一个信用卡交流网站:我爱卡,这个小有名气的网站论坛的某个广告位被黑客挂了木马,而受害者加载页面之后,整个木马的下载过程都是静默的。显然,勒索者的触角已经非常深入了。【打开挂马的页面之后,木马自动下载执行/图片由 360 提供】王亮说,这类木马一开始国外传播,后来才渗透进中国。所以最先中招的使一些有国际业务的中国公司,例如外贸企业。显然,黑客尝到了甜头,因为有中国人愿意为这些资料支付赎金。所以在此之后就有一些专门针对中国企业和组织进行攻击,后来感染的对象扩大到了教育机构或其他大型组织。所以,怎样躲开敲诈?腾讯电脑管家高级工程徐超告诉雷我们,这种木马的危害是一次性的。一旦病毒发作,只会对全盘进行一次加密动作,之后再新建文件,都不会被加密。而且这种木马一般是没有传染性的。然而说了这么多,一旦加密完成,即使是顶级安全专家也回天乏术。所以所有的“逃生机会”都在防患上。除了不点击可疑网页和邮件、不下载不明软件以外,还有一个非常重要的就是,安装防护软件。虽然很多童鞋可以细数“鹅厂”和“数字厂”管家卫士的种种不尽如人意的地方。但是关键时刻,他们还是会保护你的安全,顺便给你省3个比特币之类的。徐超告诉我们,腾讯电脑管家针对这些勒索木马进行了防御。可以监控邮箱和网页,对软件挂马也有监控感知能力。目前掌握了60多个存在漏洞的软件,并针对性的做了云防御加固。而王亮告诉我们,360安全卫士对勒索木马也有针对性的防御策略,不仅对于流行的木马实现查杀,还可以对非法的大规模文件改动进行拦截。另外,王亮还表示,360有先行赔付的业务。通俗地来说,如果你使用了最新的360安全卫士,但依然中招,他们会对受害者进行最高3个比特币的赔付。这对于那个因为付不起赎金而要辞职的童鞋来说应该是个好消息。然而,他告诉我们,电脑被加密的时候,他是裸奔的。。。所以,你问我怎样才能防止一觉醒来就损失一万块钱这样的悲剧发生?我的建议是:1、备份你的数据。2、不要裸奔。3、把你的防护软件和系统都升到最高级。我叫史中,是一个倾心故事的科技记者。我希望把我的文章分享给你,把知识传播给更多的人,分享知识使我们快乐。发布于 2018-07-06 16:45赞同 448 条评论分享收藏喜欢收起YiData 关注一,如何分辨360勒索病毒被加密后文件如下图:.360后缀是这个月新出现的一个变种,属于BeijingCrypt勒索病毒家族,是黑客通过暴力破解远程桌面口令成功后手动投毒。此勒索病毒对计算机中,所有的文件均进行加密,并在文件名后附加“.360 ”后辍名,如图所示:中360勒索病毒以后的电脑:中毒之后的电脑中360勒索病毒以后的文件:360勒索病毒感染以后软件备份文件,均被加密,无法使用:把备份文件都加密成360后辍二,360勒索病毒文件分析此次分析的文件为数据库文件,被加密后的文件底层,看下图:数据库文件头部上图中可以看到,文件被加密后为乱码,已经不是正常的mdf文件头部。再看看文件结尾处的情况:360勒索病毒加密后数据尾部分析上图中可以看到文件尾是典型的360勒索病毒的特征。三,360勒索病毒是否可以恢复可以恢复,客户数据已经成功恢复,并且交付客户验证成功,恢复完成后数据如下图:协助客户重新部署数据100%恢复,可以追查到2016年的数据数据100%恢复经客户验证,数据库记录完整度100%,不丢记录,客户已将数据用于实际生产环境。四,如何防范360勒索病毒议包括杀毒软件部署和数据备份、网络安全及密码安全方面内容,可参考执行,我们也可以协助执行。1,杀毒软件部署:建议安装火绒杀毒软件,个人版本为免费软件,安装完成后可设置软件的功能设置和退出密码,密码强度建议大小写加特殊字符,密码位数不小于16位。此功能可在黑客获得系统管理员权限后,更改杀毒软件设置和结束杀毒软件进程时没有密码而不能改变设置和结束进程,只要杀毒软件进程还在运行,黑客的加密程序将无法拷贝到本地,即使拷贝到本地也不能运行。从而保护数据安全。2,数据备份:数据库建议进行定时的离线备份或异地备份。根据数据库数据的颗粒度设置备份周期(每日、每三天、每周),并严格遵守。文件共享服务器可采用NAS(网络附属存储)进行备份,可对重要文件夹进行差异备份,只要此文件夹内文档有改动,备份软件便会对改动的文件进行备份。可设置全盘备份、某个目录备份及整机备份。有效保证数据安全。云服务器离线备份不方便,可在云服务器端安装百度网盘等工具,设置对重要文件所在的目录进行定期备份,要注意的是密码强度一定要高。3,网络端口安全:操作系统应开启网络防火墙,只开放服务器向外提供服务的端口,其它端口一律关闭。一些常用知名端口可更改端口号再对外提供服务,如MSSQL 的常用端口号为1433,远程桌面端口号为3389等,可将这类端口号更改为不常用的端口号,更改完成后只要在配置服务时相应的配置便可。因为黑客常用的网络扫描工具会针对知名端口号进行扫描,再根据端口的漏洞进行攻击,攻击成功后便可对机器进行加密。开放的端口越少,黑客可利用的就越少,系统就越安全。4,密码安全及系统更新:基本要求为所有的密码都应设置大于16位的数据+字母(大小写)+特殊符号的强密码,如果有多台服务器应为每台服务器设置单独的登录密码,防止黑客在成功爆破一台服务器后把所有服务器被一锅端。建议操作系统安装windows 2016以上版本,并经常查看操作系统的更新功能,检查发现有要安装的补丁应及时更新,并留意微软每个月的第二个星期二定期发布系统更新补丁日,有涉及到的应及时更新。做好以上四个方面可有效的提高数据及系统安全性,如果在实施过程中需要我们协助可随时联系我们。五,是否有成功案例360后缀勒索病毒已经有大量成功案例,包括金蝶数据库,用友数据库,思迅数据库、科脉数据库、友商数据库、管家婆数据库、泰格数据库、方象数据库、海鼎数据库、博士德数据库、新中大数据库、迅越数据库、美萍数据库、赢通软件数据库、思通达软件数据库、盖华软件数据库、速达软件数据库、宏业软件数据库、海典ERP数据库,智百威数据库、安仕达软件数据库、朋科软件数据库……发布于 2023-01-24 18:16赞同 1添加评论分享收藏喜欢
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎切换模式写文章登录/注册勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节火绒安全已认证账号一、综述5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个恶性病毒方方面面的真相,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时澄清一些谣传和谎言。病毒攻击行为和结果遭受WannaCry病毒侵害的电脑,其文件将被加密锁死,惯常来说,受害用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的分析,遭受WannaCry攻击的用户可能会永远失去这些文件。WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿听信谎言,以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限。因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。传播途径和攻击方式据火绒实验室技术分析追溯发现,该病毒分蠕虫部分及勒索病毒部分,前者用于传播和释放病毒,后者攻击用户加密文件。其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播,具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。据悉,蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服务,在局域网与外网进行传播。但是无论这个“神奇开关”是否开启,该病毒都会攻击用户,锁死文件。另外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变种病毒。易受攻击用户群目前看来,该病毒的受害者大都是行业机构和大型企业,互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度,来说明容易受到攻击的用户群。首先,该病毒只攻击Windows系统的电脑,几乎所有的Windows系统如果没有打补丁,都会被攻击。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本,用户如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。Windows10是最安全的,由于其系统是默认开启自动更新的,所以不会受该病毒影响。同时,Unix、Linux、Android等操作系统,也不会受到攻击。同时,目前这个病毒通过共享端口传播同时在公网及内网进行传播,直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染,而通过路由拨号的个人和企业用户,则不会受到来自公网的直接攻击。火绒将持续追杀WannaCry目前,对抗“蠕虫”勒索软件攻击的行动仍未结束,在此,火绒安全专家提醒广大用户无需过度担心,“火绒安全软件”已迅速采取措施,完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。自5月12日,WannaCry病毒一出,各机构和用户人心惶惶,草木皆兵,日前更是出现了2.0新变种等耸人听闻的言论。截止到今日,火绒已经收集到的所谓的“WannaCry”最新版本的“变种”,但通过对比分析发现,该“变种“有明显的人为修改痕迹,是好事者在造谣蹭热度。火绒实验室可以负责任地告诉大家,目前还没有出现新版本变种。而日后病毒是否会变异出现新“变种”?火绒实验室将持续跟踪新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。此次勒索病毒WannaCry传播速度快,影响范围广,是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言,是一次极大的考验,“安全”重回主流势在必行,同时也促进了全社会对网络安全意识的提升。二、样本分析该病毒分为两个部分:(1) 蠕虫部分,用于病毒传播,并释放出勒索病毒。(2) 勒索病毒部分,加密用户文件索要赎金。2.1 蠕虫部分详细分析:2.1.1 蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接退出。关于这个“Kill Switch”的存在网络上众说纷纭,我们认为相对可靠的解释是:开关的存在是为了检测安全软件沙箱。这种手法多见于恶意代码混淆器,但是除了看到几个人为修改“Kill Switch”的样本外,该病毒并没有批量生成、混淆的迹象。另外,如果真是为了对抗安全软件沙箱,和以往对抗沙箱的样本比起来,这段代码过于简单,而且出现的位置也过于明显。所以,放置这样一个“低级”的“Kill Switch”具体出于何种原因,恐怕只有恶意代码作者能够解释了。2.1.2 如果上述域名无法访问,则会安装病毒服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。2.1.3 释放资源到C:\WINDOWS目录下的tasksche.exe(该程序是勒索病毒),并将其启动。2.1.4 蠕虫病毒服务启动后,会利用MS17-010漏洞传播。传播分为两种渠道,一种是局域网传播,另一种是公网传播。如下图所示:局域网传播主要代码如下图:病毒会根据用户计算机内网IP,生成覆盖整个局域网网段表,然后循环依次尝试攻击。相关代码如下: 公网传播主要代码如下图,病毒会随机生成IP地址,尝试发送攻击代码。 SMB漏洞攻击数据包数据,如下图所示:Worm病毒的PE文件中包含有两个动态库文件,是攻击模块的Payload,分别是:x86版本的payload,大小0x4060和x64版本的payload,大小0xc8a4。两个Payload都是只有资源目录结构没有具体资源的无效PE动态库文件。病毒在攻击前,会构造两块内存,在内存中分别组合Payload和打开Worm病毒自身,凑成有效攻击Payload,代码如下图所示:有效攻击Payload模型如下:完整的攻击Payload的资源如下图,资源中的第一个DWORD是病毒大小,之后就是病毒本身。然后使用MS17-010漏洞,通过APC方式注入动态库到被攻击计算机的Lsass.exe,并执行Payload动态库的导出函数PlayGame,该函数非常简单,功能就是释放资源“W”到被攻击计算机“C:Windows\mssecsvc.exe”,并执行,如下图所示:火绒剑监控被攻击计算机的如下:被攻击的计算机包含病毒的完整功能,除了会被勒索,还会继续使用MS17-010漏洞进行传播,这种传播呈几何级向外扩张,这也是该病毒短时间内大规模爆发的主要原因。如下图:目前,攻击内网IP需要用户计算机直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响,因此那些通过路由拨号的个人用户,并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的,那么企业网络中的电脑也不会受到来自公网的直接攻击。但是,现实中一些机构的网络存在直接连接公网的电脑,且内部网络又类似一个大局域网,因此一旦暴露在公网上的电脑被攻破,就会导致整个局域网存在被感染的风险。2.2 勒索病毒部分详细分析:2.2.1 该程序资源中包含带有密码的压缩文件,使用密码“WNcry@2ol7”解压之后释放出一组文件:a)taskdl.exe,删除临时目录下的所有“*.WNCRYT”扩展名的临时文件。b)taskse.exe,以任意session运行指定程序。c)u.wnry,解密程序,释放后名为@WanaDecryptor@.exe。d)b.wnry勒索图片资源。e)s.wnry,包含洋葱路由器组件的压缩包。病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信。f)c.wnry,洋葱路由器地址信息。g)t.wnry,解密后得到加密文件主要逻辑代码。h)r.wnry,勒索Q&A。2.2.2 通过命令行修改所有文件的权限为完全访问权限。命令行如下:icacls . /grant Everyone:F /T /C /Q2.2.3 解密t.wnry文件数据得到含有主要加密逻辑代码的动态库,通过其模拟的LoadLibrary和GetProcAddress函数调用该动态库中的导出函数执行其加密逻辑。调用勒索动态库代码,如下图所示:勒索主逻辑执行,先会导入一个存放在镜像中的RSA公钥,之后调用CryptGenKey生成一组RSA算法的Session key。之后将这组Key的公钥通过CryptExportKey导出,再写入到00000000.pky文件中。将Session key中的私钥用刚导入RSA公钥进行加密,存放在00000000.eky如下图所示:如果遍历到的文件扩展名在欲加密的文件扩展名列表中,如下图所示:则会将当前文件路径加入到文件操作列表中,在遍历文件结束后一并进行文件操作。代码如下图:对于每个需要加密的文件,都会调用CryptGenRadom随机生成AES密钥,之后使用Session Key中的RSA公钥对AES密钥进行加密,存放在加密后的数据文件头中,之后将原始文件数据用该AES密钥进行加密。如下图所示:整体加密流程,如下图所示:因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。三、关于“WannaCry”新变种的说明早期版本的“WannaCry”病毒存在“Kill Switch”开关,也就是病毒中检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问的代码片段,如果可以访问则不会利用“永恒之蓝”漏洞继续传播。现在这个域名已经被注册,这个版本“WannaCry”传播功能等于已经关闭,因为这段代码本身没有加密,所以很可能会被得到改病毒样本的“骇客”修改,放开开关,使病毒继续传播。截止到今日,火绒已经收集到的所谓“WannaCry”最新版本的“变种”,正如我们推测的一样,网上两个“热炒"变种, SHA256分别为:32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cfc8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6和早期的“WannaCry”相比SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c有明显人为修改痕迹,如下图所示:这个样本仅仅是16进制修改了两个字节,让"Kill Switch"失效,这个修改不会影响火绒的检测。另外一个样本除了修改了"Kill Switch"域名,还修改了病毒携带勒索模块。经过测试勒索代码已经被修改坏了,无法运行。如下图:除了以上两个样本,火绒还截获另一个人为修改的” WannaCry “样本,同样被修改的不能运行,火绒依然可以检测。SHA256如下:99c0d50b088df94cb0b150a203de6433cb97d4f8fd3b106ce442757c5faa35c4 截止到本篇分析完成火绒还没截获所谓关闭“Kill Switch”开关的病毒样本。四、附录样本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发布于 2017-05-16 16:33Wana Decrypt0r 2.0(计算机病毒)勒索病毒计算机病毒赞同 35441 条评论分享喜欢收藏申请
WannaCry勒索病毒,是这么一回事| 果壳 科技有意思
WannaCry勒索病毒,是这么一回事| 果壳 科技有意思
首页科学人物种日历吃货研究所美丽也是技术活一桶猫热点互联网3059字需用时 06:07WannaCry勒索病毒,是这么一回事一桶猫想哭!上周末,一个被称为“WannaCry”(也有称WannaCrypt)的勒索病毒在全球范围内肆虐。这个传说中属于“网络战武器”的病毒,到底是怎么回事?这篇文章会为你梳理事情的全貌。
什么是WannaCrypt勒索病毒?
北京时间2017年5月12日晚上22点30分左右,全英国上下16家医院遭到大范围网络攻击,医院的内网被攻陷,导致这16家机构基本中断了与外界联系,内部医疗系统几乎停止运转,很快又有更多医院的电脑遭到攻击,这场网络攻击迅速席卷全球。
这场网络攻击的罪魁祸首就是一种叫WannaCrypt的勒索病毒。
勒索病毒本身并不是什么新概念,勒索软件Ransomware最早出现在1989年,是由Joseph Popp编写的叫"AIDS Trojan"(艾滋病特洛伊木马)的恶意软件。在1996年,哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件,明确概述了勒索软件Ransomware的概念:利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。
最初的勒索软件和现在看到的一样,都采用加密文件、收费解密的形式,只是所用的加密方法不同。后来除了加密外,也出现通过其他手段勒索的,比如强制显示色情图片、威胁散布浏览记录、使用虚假信息要挟等形式,向受害者索取金额的勒索软件,这类勒索病毒在近几年来一直不断出现。
被WannaCrypt勒索病毒侵入的电脑都会显示上图要求赎金的信息
本次肆虐的WannaCry也是同样的勒索方式,病毒通过邮件、网页甚至手机侵入,将电脑上的文件加密,受害者只有按要求支付等额价值300美元的比特币才能解密,如果7天内不支付,病毒声称电脑中的数据信息将会永远无法恢复。
勒索病毒是怎么加密的?
在提到加密原理之前,首先要来科普一个概念:RSA加密算法,RSA公钥加密是一种非对称加密算法,包含3个算法:KeyGen(密钥生成算法),Encrypt(加密算法)以及Decrypt(解密算法)。
其算法过程需要一对密钥(即一个密钥对),分别是公钥(公开密钥)和私钥(私有密钥),公钥对内容进行加密,私钥对公钥加密的内容进行解密。“非对称”这三个字的意思是,虽然加密用的是公钥,但拿着公钥却无法解密。
这次WannaCrypt勒索病毒使用的就是2048位密钥长度的RSA非对称加密算法对内容进行加密处理。通过随机生成的AES密钥、使用AES-128-CBC方法对文件进行加密,然后将对应的AES密钥通过RSA-2048加密,再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY文件里。(感谢评论里的朋友指正)简单来说,就是用一个非常非常复杂的钥匙,把你的文件锁上了。能解开的钥匙掌握在黑客手里,你没有;而以现在的计算能力,也基本没有办法强行破解。
图片来源:腾讯安全联合实验室(http://slab.qq.com/news/tech/1575.html)
勒索病毒是怎么全球范围大规模爆发的?
按理说,勒索病毒只是一个“锁”,其本身并没有大规模传播的能力。这次病毒的泄露与爆发,跟美国国家安全局(NSA)有关。
NSA是美国政府机构中最大的情报部门,隶属于美国国防部,专门负责收集和分析外国及本国通讯资料,而为了研究入侵各类电脑网络系统,NSA或多或少会跟各种黑客组织有合作,这些黑客中肯定有人能够入侵各种电脑。
事情起源于2016 年 8 月,一个叫 “The Shadow Brokers” (TSB)的黑客组织号称入侵了疑似是NSA下属的黑客方程式组织(Equation Group),从中窃取了大量机密文件,还下载了他们开发的攻击工具,并将部分文件公开到网上(GitHub)。
这些被窃取的工具包括了大量恶意软件和入侵工具,其中就有可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝(Eternal Blue)。“永恒之蓝”是疑似NSA针对CVE-2017-(0143~0148)这几个漏洞开发的漏洞利用工具,通过利用Windows SMB协议的漏洞来远程执行代码,并提升自身至系统权限。
2017年4月8日和16日,“The Shadow Brokers”分别在网上公布了解压缩密码和保留的部分文件,也就是说,无论是谁,都可以下载并远程攻击利用,各种没有打补丁的Windows电脑都处在危险状态。
勒索病毒与永恒之蓝搭配的效果就是,只要有一个人点击了含有勒索病毒的邮件或网络,他的电脑就会被勒索病毒感染,进而使用永恒之蓝工具进行漏洞利用,入侵并感染与它联网的所有电脑。
图片来源:腾讯安全反病毒实验室攻击流程演示
简单地说,可以把永恒之蓝(传播的部分)当成武器,而WannaCrypt勒索病毒(加密文件并利用传播工具来传播自身)是利用武器的人。一旦机器连接在互联网上,它就会随机确定IP地址扫描445端口的开放情况,如果是开放的状态则尝试利用漏洞进行感染;如果机器在某个局域网里,它会直接扫描相应网段来尝试感染。
很多人会奇怪,攻击工具明明是上个月泄露的,但是怎么时隔一个月才集中爆发?一些安全专家发现,这些电脑其实早已被感染,也就是说,在一个月前永恒之蓝早已像定时炸弹一样被安在各个系统中,只是5月12日那天才被启动。
5月16日上午,杀毒软件公司卡巴斯基(Kaspersky Lab)的研究室安全人员表示,他们在研究了早期蠕虫病毒版本与2015年2月的病毒样本发现,其中部分相似的代码来自于卡巴斯基之前关注的朝鲜黑客团队“拉撒路组”,代码的相似度远超正常程度。
因此,卡巴斯基认为这次WannaCrypt勒索病毒与之前的冲击波病毒出自同一黑客团队,同时,信息安全领域的解决方案提供商赛门铁克(Symantec)也发现了同样的证据,安全专家Matt Suiche上午在推特(@msuiche)上公布证据,表示遍及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”的猜测。
Twitter:https://t.co/qSnkyug8XH
为什么要用比特币支付?
比特币(Bitcoin)是一种网络虚拟货币,在2009年被匿名的程序员创造之后作为开放资源发布,除了通过采矿获得,比特币还可以兑换成其它货币。
其最大的特点是分散在整个网络上,完全匿名且不受各种金融限制,几乎很难从一个比特币账户追查到另一个。由此可知,比特币自然成为黑客索要赎金的不二选择。
在中了勒索病毒的情况下,移除勒索病毒、使用防毒软件都无法打开加密文件,一些被侵入的企业会为了保护重要的文件而选择在规定时间内支付比特币赎金,截止到5月16日13时,跟这次病毒爆发相关的账户一共有36个比特币的收益。
36个比特币虽然看上去不值一提,但是从病毒爆发到现在,比特币兑换的汇率一路猛涨,截止到5月16日13时,1比特币相当于1700美元左右,约合人民币11700元。
自2016年6月至今的比特币汇率变化图
尽管如此,有几个已经中招的用户在网上向黑客求情,竟然真的被免费解锁了……
5月14日下午,一个台湾的受害者在社交软件上向黑客求情:“我每月收入仅 400 美元,你真的要这样对我吗?”,结果没想到,收到了黑客的回复并被免费解锁了!
哪些地方的系统成为病毒重灾区?
因为NSA的永恒之蓝漏洞太强大了,除了更新了的Windows 10系统(版本1703)之外的其它Windows系统都可能受到漏洞影响。
目前已知的受影响的系统有: Windows Vista、Windows 7、Windows 8.1、Windows Server 2008(含R2)、Windows 2012(含R2)、Windows2016、已脱离服务周期的Windows XP、Windows Server 2003、Windows 8以及关闭自动更新的win10用户。
英国医院成为病毒入侵重灾区的一个重要原因,就在于系统的落后,英国医院的IT系统一直没有及时更新,仍然在使用Windows XP系统,而Windows XP系统在2014年4月之后就没有发布更新的安全补丁了。
除了英国,意大利、德国、俄罗斯、西班牙等国家都大范围爆发勒索病毒。
意大利的大学机房被攻击
5月12日仅一夜之间,全世界就有超过99个国家遭到攻击,共计七万多起。
我们国家的内网受损害也很严重,尤其是高校的校园网,很多单位都在内网和外网之间部署了防火墙进行网络控制,但内网的安全反而多多少少有些被忽视,因为内网机器相互访问的需求,再加上网络管理人员忽略了内网本身的安全控制,在不少企业的内网里,绝大多数端口甚至是完全开放的状态。这种情况下,电脑间的网络连接毫无限制,也就给了蠕虫病毒以传播机会。
内网的网络控制是靠内网网管来进行部署的,国内的大多数网络运营商都直接对445端口进行了封锁,哪怕漏洞存在,因为端口无法访问,病毒也自然就不能继续传播了。
如何应对WannaCrypt勒索病毒?
从病毒爆发到现在,已经有各路专业人士发布过解决方法,简单总结一下:
1、划重点,电脑上的文件一定要备份,并且勤备份。注意不要备份在本机和网络硬盘上,备份盘也不要一直插在电脑上;
2、安装反勒索防护工具,不要访问可疑网站、不要打开可疑的电子邮件和文件,如果发现被感染,也不要支付赎金;
3、关闭电脑包括TCP和UDP协议135和445端口,尤其是Windows7系统,不要使用校园网;
4、安装微软发布的修复“永恒之蓝”攻击的系统漏洞的补丁MS17-010,尽快升级安装Windows操作系统相关补丁。
除了上面的措施,幕后的网络安全人员也在通宵奋战。病毒爆发的第二天,一个英国安全人员分析了病毒的代码,发现在代码的开头有一个域名地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,从病毒开始侵入之后访问量激增。
于是他花钱把这个域名注册了下来,结果发现这个域名接到了几乎全世界的电脑上!随后,安全人员进一步分析发现,这是病毒作者留给自己的紧急停止开关。
在代码中提到,每一个被感染的电脑在发作前都会访问这个域名,而如果这个域名不存在,就会一直继续传播下去,一旦被注册就会停止传播。
因为一次意外,安全人员还绘制出了攻击地图...
地图上的每一个蓝点都代表着被攻击的电脑,并且有可能继续攻击同一网络中的其它电脑。
在安全人员昼夜不停地努力之下,有效阻止了进一步大范围爆发的可能,人们的安全意识也普遍提高了。(编辑:姜Zn)
来源:
https://en.wikipedia.org/wiki/Ransomware
https://en.wikipedia.org/wiki/Bitcoin
http://www.bbc.com/news/technology-39896393
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/charts/market-price
http://www.coindesk.com/price/
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95
http://www.sbs.com.au/yourlanguage/cantonese/zh-hant/article/2017/05/15/hei-ke-mian-fei-wei-tai-wan-qiong-yong-hu-jie-suo
http://wemedia.ifeng.com/15669018/wemedia.shtml
https://twitter.com/msuiche/status/864261490953641985
https://www.zhihu.com/question/25912483/answer/31653639
The End发布于2017-05-16, 本文版权属于果壳网(guokr.com),禁止转载。如有需要,请联系果壳。举报这篇文章一桶猫果壳作者麒麟视频编辑科技有意思 · 果壳走着瞧关于果壳联系我们电话+86 010-85805342邮箱service@guokr.com更多联系方式关注我们©果壳网·京ICP备09043258号·京网文[2018] 6282-492号·新出发京零字第朝200003号·京公网安备11010502007133号违法和不良信息举报邮箱:jubao@guokr.com·举报电话:17310593603·网上有害信息举报专区·未成年人专项举报邮箱未成年人专项举报热线:15313123670·萃取-pensieve
勒索病毒:原理与防御-腾讯云开发者社区-腾讯云
:原理与防御-腾讯云开发者社区-腾讯云用户8909609勒索病毒:原理与防御关注作者腾讯云开发者社区文档建议反馈控制台首页学习活动专区工具TVP最新优惠活动文章/答案/技术大牛搜索搜索关闭发布登录/注册首页学习活动专区工具TVP最新优惠活动返回腾讯云官网用户8909609首页学习活动专区工具TVP最新优惠活动返回腾讯云官网社区首页 >专栏 >勒索病毒:原理与防御勒索病毒:原理与防御用户8909609关注发布于 2024-01-20 10:25:081270发布于 2024-01-20 10:25:08举报文章被收录于专栏:BM CTFBM CTF一、勒索病毒概述勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。近年来,勒索病毒已经成为网络安全领域的一大公害,给个人和企业带来了巨大的经济损失和数据泄露风险。二、勒索病毒原理勒索病毒的原理主要是利用加密技术来锁定用户文件。一旦感染,病毒会对用户文件进行加密,使用户文件无法正常打开和使用。同时,病毒会在屏幕上显示一条警告信息,要求用户支付赎金以解锁文件。勒索病毒通常通过电子邮件附件、恶意网站、下载的文件等方式传播。三、防御措施保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。更新操作系统和软件不仅可以修复安全漏洞,还可以提高系统安全性。安装杀毒软件:选择可靠的反病毒软件,并定期更新病毒库,可以有效检测和清除勒索病毒。杀毒软件可以对未知病毒进行防御和清除,保护系统免受攻击。
不要随意打开未知邮件和链接:不要随意打开未知邮件和链接,特别是那些附件和链接看似可疑的邮件。恶意邮件可能包含勒索病毒的下载链接或附件,打开这些邮件可能会导致感染。
定期备份重要文件:定期备份重要文件是一种有效的预防措施。即使感染了勒索病毒,也可以通过备份恢复文件。备份文件应该存储在外部硬盘、云存储或者只读媒体上,以避免备份文件被加密或损坏。
提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。同时,用户还应该了解网络安全的基本知识,例如如何识别恶意链接和附件、如何避免点击可疑广告等。
使用安全的网络连接:在公共场合使用网络时,应尽量避免使用未加密的连接方式,例如使用Wi-Fi时应该选择加密的Wi-Fi网络。同时,避免使用未经授权的Wi-Fi网络,因为这些网络可能会被黑客利用来感染用户的设备。
限制软件的权限:用户应该限制软件的权限,特别是那些需要访问个人数据的软件。过度的权限可能会导致软件被恶意利用,从而感染勒索病毒。
使用虚拟机或沙箱运行未知程序:对于未知程序或可疑文件,可以使用虚拟机或沙箱来运行它们。这样即使程序包含恶意代码,也不会对实际系统造成影响。
定期进行安全审计:定期进行安全审计可以及时发现系统中的安全漏洞和隐患。审计的内容可以包括系统日志、安全策略、软件更新等。
建立应急响应计划:建立应急响应计划可以帮助企业在感染勒索病毒后快速应对,减少损失。应急响应计划应该包括数据备份、系统恢复、信息共享等方面的内容。四、总结勒索病毒是一种严重的网络安全威胁,但通过采取有效的防御措施,可以有效地避免感染。保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。同时,用户还应该了解勒索病毒的特点和传播途径,以便更好地预防和应对这种威胁。本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。 原始发表:2024-01-19,如有侵权请联系 cloudcommunity@tencent.com 删除前往查看网络安全加密软件系统原理本文分享自 作者个人站点/博客 前往查看如有侵权,请联系 cloudcommunity@tencent.com 删除。本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!网络安全加密软件系统原理评论登录后参与评论0 条评论热度最新登录 后参与评论推荐阅读LV.关注文章0获赞0相关产品与服务对象存储对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。免费体验产品介绍产品文档COS新用户专享存储包低至1元,新老同享存储容量低至0.02元/GB/月,立即选购!
领券社区专栏文章阅读清单互动问答技术沙龙技术视频团队主页腾讯云TI平台活动自媒体分享计划邀请作者入驻自荐上首页技术竞赛资源技术周刊社区标签开发者手册开发者实验室关于社区规范免责声明联系我们友情链接腾讯云开发者扫码关注腾讯云开发者领取腾讯云代金券热门产品域名注册云服务器区块链服务消息队列网络加速云数据库域名解析云存储视频直播热门推荐人脸识别腾讯会议企业云CDN加速视频通话图像分析MySQL 数据库SSL 证书语音识别更多推荐数据安全负载均衡短信文字识别云点播商标注册小程序开发网站监控数据迁移Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档Copyright © 2013 - 2024 Tencent Cloud.All Rights Reserved. 腾讯云 版权所有登录 后参与评论00
勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
>勒索病毒的原理和防范机制研究_勒索软件防护原理是什么-CSDN博客
勒索病毒的原理和防范机制研究
最新推荐文章于 2024-01-19 18:17:45 发布
图书馆415章若楠
最新推荐文章于 2024-01-19 18:17:45 发布
阅读量1.1w
收藏
77
点赞数
9
分类专栏:
学习笔记
文章标签:
web安全
网络安全
安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yrhych123/article/details/120431915
版权
学习笔记
专栏收录该内容
2 篇文章
0 订阅
订阅专栏
勒索病毒的原理和防范机制研究
什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。 【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,回报高。由于这把锁的钥匙只有攻击你的人才拥有,所以很多被攻击的企业为了找回自己的数据资料不得不支付动辄千万的赎金。与其他机构相比,医院的信息系统也比较有特殊性,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。所以常常看到勒索病毒的优先攻击对象往往是一些医院、企业、政府、高校、银行。
什么是挂马? :挂马是木马的一种传播方式。话句话说,木马是一种恶意软件,而挂马是使该软件进入用户电脑的途径之一。其中网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面!再加代码使得木马在打开网页时运行!
近几年爆发的勒索病毒概况
1、2017年5月,一种名为“想哭”(WannaCry)的勒索病毒袭击全球150多个国家和地区,30万名用户,近百个国家的政府、高校、医院等机构及个人的计算机收到感染,恶意加密用户个人文件,以解密诉求为由索要赎金,引发了迄今为止网络世界最大的安全危机。 2、2017年6月,欧洲、北美地区多个国家遭到新型勒索病毒“Petya”攻击。乌克兰受害严重,其政府部门、国有企业相继“中招”,多国的政府、银行、电力系统、通讯系统等多个行业均受到不同程度的影响。 3、2017年10月,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。 4、2018年2月,多家互联网安全企业截获了“Mind Lost”勒索病毒。 5、2018年2月,中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。 6、2018年3月,有杀毒软件厂商表示,他们监测到了“麒麟2.1”的勒索病毒。 7、2018年3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。 8、从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。 9、2018年12月,火绒安全团队曝光了一个以微信为支付手段的勒索病毒在国内爆发。几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。 10、2018年12月,平安东莞账号证实“12.05”特大新型勒索病毒案已被侦破,根据上级公安机关“净网安网2018”专项行动有关部署,近日,东莞网警在省公安厅网警总队的统筹指挥,24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者罗某某(男,22岁,广东茂名人),缴获木马程序和作案工具一批。 11、2019年3月,瑞星安全专家发现通过发送恐吓邮件,诱使用户下载附件,导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。 12、近日,国内很多公司都感染了后缀.file勒索病毒,甚至国内某个软件Saas云服务器全部沦陷,91数据恢复团队已经接到很多公司的求助,这些公司的服务器都因中毒感染.file后缀勒索病毒而导致公司业务停摆或耽误
勒索病毒特征及危害
以勒索病毒WannaCry为例。它与以前的勒索软件有非常明显的区别,具有蠕虫性质,特点和危害: 1、传播速度更快、传播范围更广。 2、全程自动化、攻击行为更隐蔽。 3、感染无法补救、危害程度深 什么是蠕虫性质? :蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。具有感染更强传播更快的特点。
勒索病毒通过什么方式入侵我们的电脑?
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
勒索病毒的原理是什么?技术特点?
勒索类病毒都利用了密码学中的公钥密码算法来加密文件。有的病毒使用RSA加密(比如WannaCry病毒),有的使用椭圆曲线加密(比如CTB Locker)。 WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
攻击流程图:
加密流程图:
密钥及加密关系:
现实生活中,我们该如何防范?
【企业防范】 1、在省一级以上的医院,将配备安全人员或相关预算(安全服务外包),可以定期做安全检测,相当于每年体检一次,知道问题在哪里,根据自己的产品部署安全或配备安全。 2、更改服务器口令:复杂度最好采用大小写字母、数字、特殊符号混合的组合结构、口令位数足够长(15位、两种组合以上),并且定期更换登录口令;服务器密码使用高强度和不规则密码,多台机器不使用相同或相似的口令,要求每个服务器使用不同的密码管理。 3、建立内部访问控制,建立服务器和工作站内部访问的相应控制,不需要互连需求,避免服务器在连接外部网络后被攻击,作为跳板被企业服务器攻击。 4、为安全专业人员部署云服务。我们不熟悉终端和服务器上的专业和安全保护软件。服务器可以考虑诸如不熟悉的腾讯云和专业安全保护功能等云服务。 【个人防范】 1、安全加固,对服务器和终端安装专业的安全防护软件;定期检测系统漏洞并修复,及时更新Flash、Java、以及一系列Web服务程序,打齐安全补丁。 2、保护你自己的文档,勒索病毒最想加密的是你的重要文件,所以平时注意备份,或者加密;对重要的数据、文件进行实时或定期备份,而且是异地备份。 3、关闭不必要的端口,默认情况下,许多端口对Windows开放,非法黑客可以通过这些端口连接到您的计算机。尽可能关闭445, 135, 139和其他不需要的端口,3389端口可以是白名单配置,只允许白名单的IP连接登录。 4、关闭不必要的文件共享。文件共享也有风险。如有必要,请使用ACL和强密码保护来限制访问权限,并禁用对共享文件夹的匿名访问。 5、不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描,确认安全性,尽量从软件管家或官网等可信渠道下载软件;要养成上网的良好习惯。
小结
网络安全的威胁来源和攻击手段不断变化,不是依靠几个病毒防护软件就可永保网络安全,而是需要树立动态、综合的防护理念。新的网络攻击必须要有新的核心技术才能应对,可信计算技术体系及其产品具有主动免疫、动态防御、快速响应等特点,可有效应对非预知病毒木马,改变网络攻击被动挨打,受制于人的局面,是建立网络空间主动免疫的安全防御体系的有利支撑。
优惠劵
图书馆415章若楠
关注
关注
9
点赞
踩
77
收藏
觉得还不错?
一键收藏
知道了
0
评论
勒索病毒的原理和防范机制研究
勒索病毒的原理和防范机制研究什么是勒索病毒?近几年爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?5、勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结什么是勒索病毒?【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。【密码学技术】这种病
复制链接
扫一扫
专栏目录
2023年中国企业勒索病毒攻击态势分析报告
02-01
本次报告,从 2022 年 1 月至 2023 年 3 月的千余份网络安全应急响应分析报告中,甄选
出了 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究
样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开
深度分析,并首次给出了勒索病毒攻击的生存曲线。同时,报告还结合勒索病毒的攻击特征,
深入分析了中招机构网络安全建设与运营方面的“通病”,为政企机构高效率的建设勒索病
毒防范体系提供了重要的参考依据。
Web安全深度剖析
07-23
资源名称:Web安全深度剖析资源截图:
资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
参与评论
您还未登录,请先
登录
后发表或查看评论
[图解] 勒索病毒加密原理
Qode
08-13
7909
示意图
原理
公开密钥密码体制 要求密钥成对出现,一个用于加密,另一个用于解密,并且且不可能从其中一个推导出另一个。
加密过程
病毒作者首先在自己电脑上生成的 私钥Q 和 公钥Q,算法可以基于RSA或者椭圆曲线。
病毒在目标电脑上随机生成 私钥Z 和 公钥Z
将用户电脑上的文件通过 公钥Z 加密
将用户电脑上的 私钥Z 通过 公钥Q 加密
删除用户电脑上的 私钥Z 、公钥Q、数据
解密过程
支付...
勒索病毒:原理与防御
最新发布
m0_73734159的博客
01-19
632
保持操作系统和软件的更新、安装可靠的反病毒软件、不随意打开未知邮件和链接、定期备份重要文件和提高网络安全意识等措施都是预防勒索病毒的有效手段。勒索病毒,又称为Ransomware,是一种恶意软件,通过感染电脑系统、服务器或者手机等设备,使用户文件被加密,从而向用户索取赎金以解锁文件。提高网络安全意识:提高网络安全意识,不轻信陌生邮件、链接和附件,可以有效降低感染勒索病毒的风险。保持操作系统和软件的更新:及时更新操作系统、软件和安全补丁,可以有效防止勒索病毒的感染。
勒索病毒的原理和防御学习说明资料
08-28
勒索病毒的原理和防御
深入剖析NGINGX
01-31
深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX深入剖析NGINGX
勒索软件的原理
m0_62063669的博客
08-04
1635
算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买。勒索软件攻破企业网络之后,如果顺利获取重要数据,就会进入下一环节,但如果没有。3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。用户文档,只有在用户支付赎金后,才提供解密文档的方法。...
勒索病毒的原理与防范
2302_76601220的博客
11-17
359
什么是勒索病毒?
【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。
【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
【密码学技术】这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
【喜好攻击对象】这种病毒很精明,一般很少入侵个人电脑,主要针对的是企业用户,原因是成本低,
勒索软件工作原理
NewTyun的博客
06-06
829
新钛云服已累计为您分享646篇技术干货勒索软件的工作原理是通过非对称加密方法加密用户的文件。勒索软件是一种恶意软件,也称为恶意软件,勒索软件通过攻击用户的计算机或设备来工作,并通过加密来阻止他们访问其文件。然后,攻击者要求金钱以换取解密文件。勒索软件可以通过多种方式攻击和加密文件,这些方法具有不同程度的复杂性。勒索软件如何获得访问权限与所有恶意软件一样,勒索软件必须绕过设...
应急响应二 - 后门分析&勒索病毒&攻击
acepanhuan的博客
04-01
854
应急响应二 - 后门分析&勒索病毒&攻击
医疗行业勒索病毒防范.pdf
08-08
医疗行业网络安全形势
勒索病毒介绍
勒索病毒处置解决方案
结语
计算机病毒与木马程序剖析
04-09
对计算机病毒和木马的内核和技术进行详细的描述
TensorFlow 内核剖析
12-21
TensorFlow 内核剖析
勒索病毒应急措施及防护方案.pptx
09-08
勒索病毒产业链
病毒勒索五大形式
常见的勒索病毒
勒索病毒攻击手段
勒索病毒中毒特征
勒索病毒自救措施
加强管理制度建设预防勒索病毒
勒索病毒立体防护解决方案
勒索病毒立体防护方案用户收益
OptiSystem剖析.pdf
05-29
OptiSystem中文实例介绍
勒索病毒的刨析与防范.pptx
12-02
勒索病毒原理 勒索病毒的发展和进化 勒索病毒常见传播方式 勒索病毒内网传播方式 勒索病毒的特点和挑战 勒索病毒应急处置与加固
关于预防勒索病毒的应急防范措施.pdf
09-15
关于预防勒索病毒的应急防范措施。
勒索病毒防范
12-06
如何防范勒索病毒,如何关闭135、137、138、139、445端口
公有云防勒索病毒原理
08-25
公有云防勒索病毒的原理是通过配置安全组和云防火墙来过滤流量,从而提供对云主机的保护。安全组配置在云主机的虚拟网卡上,安全组规则对云主机的东西向和南北向流量生效。而云防火墙配置在VPC的流量统一出口处,对VPC内云主机的南北向和跨子网流量生效。通过在安全组和云防火墙中添加白名单规则,可以允许云主机之间的通信。如果其中一个没有相应放通的规则,可能会影响云主机之间的通信。因此,在使用公有云时,配置安全组和云防火墙是保护云主机免受勒索病毒侵害的重要措施。123
#### 引用[.reference_title]
- *1* *2* *3* [移动云产品工作记录](https://blog.csdn.net/ximenjianxue/article/details/113573443)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]
“相关推荐”对你有帮助么?
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
图书馆415章若楠
CSDN认证博客专家
CSDN认证企业博客
码龄5年
暂无认证
2
原创
117万+
周排名
40万+
总排名
1万+
访问
等级
31
积分
6
粉丝
10
获赞
1
评论
81
收藏
私信
关注
热门文章
勒索病毒的原理和防范机制研究
11629
Web安全学习记录(一)
1506
分类专栏
学习笔记
2篇
最新评论
Web安全学习记录(一)
我是榜样:
写的什么东西
您愿意向朋友推荐“博客详情页”吗?
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
Web安全学习记录(一)
2021年2篇
目录
目录
分类专栏
学习笔记
2篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
祝福语
请填写红包祝福语或标题
红包数量
个
红包个数最小为10个
红包总金额
元
红包金额最低5元
余额支付
当前余额3.43元
前往充值 >
需支付:10.00元
取消
确定
下一步
知道了
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝
规则
hope_wisdom 发出的红包
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
0
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。
余额充值
勒索病毒的原理、危害与防护 - 知乎
勒索病毒的原理、危害与防护 - 知乎切换模式写文章登录/注册勒索病毒的原理、危害与防护创信长荣人因梦想而伟大什么是勒索病毒勒索病毒是一种通过加密被感染者计算机上面的文件,并施于敲诈勒索的恶意程序。勒索病毒会导致严重的数据安全问题,让企业、个人的核心数据资产被完全加密,从而影响正常的生产、或者让一些业务系统完全不可用,间接造成了严重的经济损失。2017年,勒索病毒借助永恒之蓝漏洞,席卷全球,造成全球超过550亿元以上的损失,让无数企业闻风丧胆。很多安全厂商都马上推出各种针对勒索病毒的专杀工具、防护工具、解密工具,但时至今日,勒索病毒仍然经久不衰。一些人可能会问,勒索病毒这么厉害,是因为它很复杂,安全厂商没有研究透它吗?不,事实刚好相反,勒索病毒太过于简单了,简单到谁都可以轻易的实现一个勒索病毒。勒索病毒完全没有固定的特征,可以使用任何的开发语言实现(最新很多采用了Go、Rust这样的语言开发),或者直接基于PowerShell脚本就可以实现勒索病毒的效果。更甚者,直接通过压缩文件,压缩后删除源文件,也可以实现勒索病毒效果。勒索病毒大部分使用了非对称加密,即使把源码完全公开,也没有办法还原被加密的文件。正因为如此,网上甚至出现了很多开源勒索病毒,勒索病毒 as Service的概念,勒索病毒完全产业化,在利益驱动下,使得勒索病毒层出不穷。甚至有一些缺乏法律意识的人直接下载开源的勒索病毒,然后采用微信收款来实现勒索病毒的收款。勒索病毒的防护在目前的安全市场上,针对勒索病毒主要是两个方向的防护:针对勒索病毒的感染渠道来做防护及时安装补丁添加防火墙策略使用零信任网络增强边界防御针对勒索病毒本身的特点来做防护杀毒云引擎依赖海量数据采集能力,可以短时间内捕获到新型的勒索病毒,然后将特征同步给杀毒软件文档守护者在用户修改文件的时候,智能备份,在出现数据被加密后,可以通过备份恢复行为智能提醒 在发现某些程序频繁操作文件后,弹框提醒让用户确认添加可信区域将计算机隔离成可信、不可信两个区域,保证数据只被可信区域的程序访问冰盾 · 主动防御系统为解决勒索病毒的问题,基于行为防御的冰盾专门针对勒索病毒添加了两个规则模板:文档保护可以保护匹配规则的文件只被信任的进程操作隐私保护可以保护匹配规则的文件只被信任的进程读取只需要简单添加需要保护的文件路径,然后添加允许操作这些文件的进程路径,就可以得到文档保护的目的。用户可以非常灵活的制定自己针对勒索病毒的防护解决方案,同时不会占用大量系统资源。特别是一些没法实时更新杀毒软件的内网环境、或者是需要长期运行的服务器环境。冰盾 · 主动防御系统 【专业不流氓】是一款为专业人士打造的终端、主机主动防御系统,可以帮助您抵制流氓软件、保护电脑安全、提高工作效率。除了文档保护、隐私保护,冰盾 · 主动防御系统还有更多不同类型的规则模板,比如进程保护、注册表拦截、网络防护等等。有需要的可以通过 https://imonitorsdk.com/idefender 下载了解更多。对于企业希望集成防御能力到自己的产品里面的,也可以通过接入iMonitorSDK来实现。发布于 2023-01-08 18:25・IP 属地广东勒索病毒网络安全赞同添加评论分享喜欢收藏申请
勒索病毒原理及防范措施 - 知乎
勒索病毒原理及防范措施 - 知乎切换模式写文章登录/注册勒索病毒原理及防范措施凌启数据恢复专业应急处理勒索病毒解密,具备一支资深网络救援团队【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。发布于 2023-05-18 15:11・IP 属地海南勒索病毒网络安全数据恢复赞同 2添加评论分享喜欢收藏申请
什么是勒索软件?| IBM
什么是勒索软件?| IBM
什么是勒索软件?
勒索软件攻击通过劫持受害者的数据和设备,要求其支付赎金。了解勒索软件如何演变以及组织如何防御勒索软件。
获取勒索软件权威指南
探索 IBM Security QRadar
什么是勒索软件?
勒索软件是一种恶意软件,它会锁定受害者的数据或设备,并威胁受害者,使其保持锁定状态(或更糟糕的状态),并要求受害者向攻击者支付赎金。根据 IBM Security X-Force Threat Intelligence Index 2023,勒索软件攻击占 2022 年网络攻击总数的 17%。
最早的勒索软件攻击只是要求通过支付赎金换取重新访问受影响数据或使用受感染设备所需的加密密钥。通过定期或连续进行数据备份,组织可以限制此类勒索软件攻击的成本,并且通常可以避免支付赎金要求的情况。
但近年来,勒索软件攻击已经演变为包括双重勒索和三重勒索攻击,这使受害者面临的风险大幅增加 — 即使对于严格维护数据备份或支付初始赎金要求的受害者也是如此。双重勒索攻击增加了受害者面临数据被窃取并将其泄露到网上的威胁;除此之外,三重勒索攻击还威胁受害者要使用窃取的数据来攻击受害者的客户或业务合作伙伴。
2023 X-Force Threat Intelligence Index 发现,从 2021 年到 2022 年,勒索软件在所有网络安全事件中所占的比例下降了 4%,其中的原因可能是防御者能够更成功地检测和阻止勒索软件攻击。但这一积极的发现因平均攻击时间大幅缩短 94%(从 2 个月减少到不到 4 天)而黯然失色,组织几乎没有时间检测和阻止潜在攻击。
勒索软件受害者和谈判者不愿透露赎金金额。然而,根据 勒索软件权威指南,赎金要求已增至七位数和八位数金额。赎金只是勒索软件感染总成本的一部分。根据 IBM 的《2022 年数据泄露成本报告》,勒索软件攻击造成的数据泄露的平均成本(不包括赎金)为 454 万美元。预计到 2023 年,勒索软件攻击将给受害者造成总体约 300 亿美元的损失。
勒索软件的类型
勒索软件有两种常见类型。最常见的类型称为加密型 (Encrypt) 勒索软件或加密 (Crypto) 勒索软件,这类勒索软件通过加密来劫持受害者的数据。然后,攻击者向受害者索要赎金,以换取提供解密数据所需的加密密钥。
另一种不太常见的勒索软件称为非加密勒索软件或锁屏勒索软件,这类勒索软件通常通过阻止受害者访问操作系统来锁定受害者的整个设备。受影响设备不会像往常一样启动,而是显示一个提供赎金要求的屏幕。
这两种类型可以进一步分为以下子类别:
泄漏软件(或称 Doxware)是指窃取或泄露敏感数据并威胁受害者要发布相关数据的勒索软件。虽然早期形式的泄漏软件(或称 Doxware)经常在不加密的情况下窃取数据,但当今的变体通常在加密/不加密的情况下均会窃取数据。
移动勒索软件包括影响移动设备的所有勒索软件。移动勒索软件通过恶意应用程序或路过式下载传播,它通常是非加密勒索软件,因为许多移动设备上标配的自动云数据备份可以轻松逆转加密攻击。
如果不支付赎金,擦除式/破坏性勒索软件就会威胁破坏数据,即使支付了赎金,勒索软件也会破坏数据的情况除外。后一种类型的擦除式勒索软件通常疑似是由国家/政府攻击主体或黑客行动主义者而非普通网络罪犯部署的。
假冒安全软件,顾名思义,是指试图通过恐吓用户使其支付赎金的勒索软件。假冒安全软件可能冒充来自执法部门的信息,指控受害者犯罪并要求受害者缴纳罚款;它可能会假装合法的病毒感染警报,鼓励受害者购买防病毒软件或反恶意软件。有时,假冒安全软件是勒索软件,它会加密数据或锁定设备。在其他情况下,它是勒索软件感染媒介,不加密任何内容,只是强迫受害者下载勒索软件。
注册获取 2023 年勒索软件权威指南
勒索软件如何感染系统或设备
勒索软件攻击可以使用多种方法或媒介来感染网络或设备。其中一些最重要的勒索软件感染媒介包括:
网络钓鱼电子邮件和其他社会工程攻击:网络钓鱼电子邮件操纵用户下载并运行恶意附件(其中包含伪装成看似无害的 .pdf、Microsoft Word 文档或其他文件的勒索软件),或访问通过用户的 Web 浏览器传播勒索软件的恶意网站。在 IBM 的 2021 年网络弹性组织调研报告中,在调查参与者报告的所有勒索软件攻击中,网络钓鱼和其他社会工程策略导致的攻击占 45%,使其成为所有勒索软件攻击媒介中最常见的媒介。
操作系统和软件漏洞:网络罪犯经常利用现有漏洞向设备或网络插入恶意代码。零日漏洞是安全社区未知或已识别但尚未修补的漏洞,构成了特殊的威胁。一些勒索软件团伙从其他黑客那里购买有关零日缺陷的信息,用来制定攻击计划。黑客还有效地利用已修补的漏洞作为攻击媒介,如以下讨论的 2017 年 WannaCry 攻击所示。
凭证盗用:网络罪犯可能会窃取授权用户的凭证,在暗网上购买凭证或通过暴力进行破解。然后,他们可以使用这些凭证登录网络或计算机并直接部署勒索软件。远程桌面协议 (RDP) 是 Microsoft 开发的一款专有协议,旨在允许用户远程访问计算机,它是勒索软件攻击者中常见的凭证盗用目标。
其他恶意软件:黑客经常使用为其他攻击开发的恶意软件向设备发送勒索软件。例如,Trickbot 木马最初是为了窃取银行凭证而设计的,后来在 2021 年用于传播 Conti 勒索软件变体。
路过式下载:黑客可以在用户不知情的情况下利用网站将勒索软件传播到设备。漏洞工具包使用遭破坏的网站来扫描访问者的浏览器,查找可用于将勒索软件插入设备的 Web 应用程序漏洞。恶意广告(已遭黑客破坏的合法数字广告)可以将勒索软件传播到设备,即使用户没有单击广告也会执行此操作。
网络罪犯不一定需要开发自己的勒索软件来利用这些媒介。一些勒索软件开发人员通过勒索软件即服务 (RaaS) 约定与网络罪犯共享其恶意软件代码。网络罪犯(或“关联公司”)使用该代码进行攻击,然后与开发人员分享赎金。这是一种互惠互利的关系:关联公司可以从勒索中获利,而无需开发自己的恶意软件,开发人员可以在不发起额外网络攻击的情况下增加利润。
勒索软件分销商可以通过数字市场销售勒索软件,或直接通过在线论坛或类似途径招募关联公司。大型勒索软件组织已投入大量资金来吸引关联公司。例如,REvil 集团在 2020 年 10 月的招聘活动中花费了 100 万美元。
勒索软件攻击的不同阶段
勒索软件攻击通常会经历以下阶段。
第一阶段:初始访问
勒索软件攻击最常见的访问媒介仍然是网络钓鱼和漏洞利用。
第二阶段:后渗透
根据初始访问媒介,第二阶段可能会在建立交互式访问之前插入中介远程访问工具 (RAT) 或恶意软件。
第 3 阶段:了解和扩展
在攻击的第三阶段,攻击者的重点是了解他们当前可以访问的本地系统和域,以及获得其他系统和域的访问权限(称为横向移动)。
第 4 阶段:数据收集和渗漏
在此阶段,勒索软件运营商将重点转移到识别有价值的数据并进行渗漏(窃取),通常所用方式是自己下载或导出副本。虽然攻击者可能会渗漏他们可以访问的任何和所有数据,但他们通常会关注特别有价值的数据(登录凭证、客户的个人信息、知识产权),这些数据可用于双重勒索。
第 5 阶段:部署和发送通知
加密勒索软件开始识别和加密文件。一些加密勒索软件还会禁用系统恢复功能,或者删除或加密受害者计算机或网络上的备份,以增加为获取解密密钥而支付赎金的压力。非加密勒索软件会锁定设备屏幕、用弹出窗口侵入设备或以其他方式阻止受害者使用设备。
一旦攻击者加密文件和/或禁用设备,勒索软件通常会通过存放在计算机桌面上的 .txt文件或通过弹出通知存放向受害者发出感染警报。勒索通知包含如何支付赎金的说明,通常以加密货币或类似的无法追踪的方式支付,以换取解密密钥或恢复标准操作。
值得注意的勒索软件变体
自 2020 年以来,网络安全研究人员已识别出超过 130 个不同的、活跃的勒索软件系列或变体,即具有自己的代码签名和功能的独特勒索软件变体。
在多年来传播的众多勒索软件变体中,有几种变体因其破坏程度、对勒索软件发展产生的影响或它们至今仍然构成的威胁而值得人们注意。
CryptoLocker
CryptoLocker 于 2013 年 9 月首次出现,被广泛认为开启了现代勒索软件时代。CryptoLocker 通过僵尸网络(被劫持的计算机网络)进行传播,是最早对用户文件进行强加密的勒索软件系列之一。在国际执法部门于 2014 年将其销毁之前,通过该勒索软件获得的赎金约 300 万美元。CryptoLocker 的成功催生了众多模仿者,并为 WannaCry、Ryuk 和 Petya(如下所述)等变体的出现奠定了基础。
WannaCry
WannaCry 是第一个引人注目的加密蠕虫病毒,即一种可以传播到网络上其他设备的勒索软件,它攻击了超过 200,000 台计算机(分布在 150 个国家/地区),而这些计算机的管理员未能及时修补 EternalBlue Microsoft Windows 漏洞。除了加密敏感数据外,WannaCry 勒索软件还威胁受害者:如果 7 天内未收到赎金,就会擦除文件。它仍然是迄今为止最大的勒索软件攻击之一,估计损失高达 40 亿美元。
Petya 和 NotPetya
与其他加密勒索软件不同,Petya 会加密文件系统表而不是单个文件,导致受感染的计算机无法启动 Windows。2017 年,经过大幅修改的版本 NotPetya 用于实施大规模网络攻击,主要针对的是乌克兰。NotPetya 是一个即使在支付赎金后也无法解锁系统的擦除恶意软件。
Ryuk
Ryuk 首次出现于 2018 年,常见的是针对特定高价值目标的“大型勒索软件”攻击,其平均赎金要求超过 100 万美元。Ryuk 可以找到和禁用备份文件和系统恢复功能;2021 年发现了一种具有加密蠕虫病毒能力的新变体。
DarkSide
DarkSide 是由一个疑似在俄罗斯境外运营的组织运行的勒索软件变体,它于 2021 年 5 月 7 日攻击了美国的输油管道运营商 Colonial Pipeline,这起案件被视为迄今为止针对美国关键基础设施实施的最严重的网络攻击。因此,为美国东海岸供应 45% 燃料的输油管道不得不暂时关闭。除了发起直接攻击外,DarkSide 组织还通过 RaaS 约定将其勒索软件授权给关联公司。
Locky
Locky 是一种加密勒索软件,具有独特的感染方法:它使用隐藏在电子邮件附件(Microsoft Word 文件)中的宏伪装成合法发票。当用户下载并打开 Microsoft Word 文档时,恶意宏会秘密地将勒索软件有效内容下载到用户的设备上。
REvil/Sodinokibi
REvil 也称为 Sodin 或 Sodinokibi,该团伙帮助普及了 RaaS 勒索软件分发方法。REvil 以追寻大目标和双重勒索攻击而闻名,它是 2021 年针对著名 JBS USA 和 Kaseya Limited 发起攻击的幕后黑手。在整个美国牛肉加工业务中断后,JBS 支付了 1100 万美元的赎金,而Kaseya 超过 1,000 个软件客户受到了严重停机的影响。俄罗斯联邦安全局报告称,其已于 2022 年初解散 REvil 并对其几名成员提出指控。
赎金
直到 2022 年,大多数勒索软件受害者都满足了攻击者的赎金要求。例如,在 IBM 的2021 年网络弹性组织调研报告中,在进行该调研的两年内,经历过勒索软件攻击的参与公司中有 61% 表示他们支付了赎金。
但最近的报告表明,从 2022 年起,这种情况发生了变化。网络勒索事件响应公司 Coveware 发布的调查结果显示,2022 年勒索软件受害者中只有 41% 支付了赎金,而 2021 年为 51%,2020 年为 70%。区块链数据平台提供商 Chainanalysis 报告称,勒索软件攻击者在 2022 年向受害者勒索的资金比 2021 年减少近 40%(ibm.com 外部链接)。专家指出,提升网络犯罪应对准备(包括数据备份)以及增加对威胁预防和检测技术的投资是出现这一逆转背后的潜在推动因素。
执法部门指导
美国联邦各执法机构一致劝阻勒索软件受害者支付赎金要求。根据国家网络调查联合特遣部队 (NCIJTF)(该联合部队由 20 个负责调查网络威胁的美国联邦机构组成)的说法:
“FBI 不鼓励向犯罪分子支付赎金。支付赎金可能会鼓励对手向其他组织发动攻击,鼓励其他犯罪分子参与勒索软件的分发和/或资助非法活动。支付赎金也不能保证受害者的文件能够恢复。”
执法机构建议勒索软件受害者在支付赎金之前向相应机构举报攻击行为,例如向 FBI 的互联网犯罪投诉中心 (IC3) 举报。无论是否支付赎金,一些勒索软件攻击的受害者都可能应法律要求举报勒索软件感染事件。例如,HIPAA 合规部门通常要求卫生保健实体向美国卫生与公众服务部举报任何数据泄露事件,包括勒索软件攻击。
在某些情况下,支付赎金可能是非法行为。根据美国财政部外国资产控制办公室 (OFAC) 2020 年的一份咨询报告,向来自受美国经济制裁的国家/地区(例如俄罗斯、朝鲜或伊朗)的攻击者支付赎金将违反 OFAC 法规,并可能导致民事处罚、罚款或刑事指控。
勒索软件保护和响应
为了防御勒索软件威胁,CISA、NCIJFT 和美国特勤局等联邦机构建议组织采取某些预防措施,例如:
维护敏感数据和系统映像的备份,最好保存在硬盘驱动器或其他可以与网络断开连接的设备上。
定期应用补丁,以帮助阻止利用软件和操作系统漏洞的勒索软件攻击。
更新网络安全工具,包括反恶意软件和防病毒软件、防火墙、网络监控工具和安全 Web 网关以及企业网络安全解决方案(如安全编排、自动化和响应 (SOAR)、端点检测和响应 (EDR)、安全信息和事件管理 (SIEM) 和扩展检测和响应 (XDR)),帮助安全团队实时检测和响应勒索软件。
员工网络安全培训,帮助用户识别和避免网络钓鱼、社会工程和其他可能导致勒索软件感染的策略。
实施访问控制策略,包括多重身份验证、零信任架构、网络分段和类似措施,可以防止勒索软件接触特别敏感的数据,并防止加密蠕虫病毒传播到网络上的其他设备。
虽然某些勒索软件变体的解密工具可以通过 No More Ransom 等项目公开获得,但主动勒索软件感染的修复通常需要采取多方面的方法。请参阅 IBM Security 的勒索软件权威指南查看按照美国国家标准与技术研究院 (NIST) 事件响应生命周期建模的勒索软件事件响应计划示例。
勒索软件简要时间线
1989 年:记录的第一个勒索软件攻击,称为 AIDS Trojan 或“P.C. Cyborg 攻击”,通过软盘分发。此次攻击隐藏了受害者计算机上的文件目录,并要求支付 189 美元的赎金才能取消隐藏。但由于它加密的是文件名而不是文件本身,因此用户很容易在不支付赎金的情况下修复损坏。
1996 年:在分析 AIDS Trojan 病毒的缺陷时,计算机科学家 Adam L. Young 和 Moti Yung 警告称,未来的恶意软件可能会使用更复杂的公用密钥密码术来劫持敏感数据。
2005 年:在 21 世纪初相对较少的勒索软件攻击之后,感染开始上升,主要集中在俄罗斯和东欧。出现第一个使用非对称加密的变体。随着新的勒索软件提供了更有效的勒索手段,更多的网络罪犯开始在全球范围内传播勒索软件。
2009 年:加密货币(尤其是比特币)的推出为网络罪犯提供了一种接收无法追踪的赎金的方式,从而促使勒索软件活动再次激增。
2013 年:勒索软件的现代时期始于 CryptoLocker,这款勒索软件开启了当前一波高度复杂的加密勒索软件攻击,其赎金以加密货币进行支付。
2015 年:Tox 勒索软件变体引入了勒索软件即服务 (RaaS) 模型。
2017 年:第一个广泛使用的自我复制加密蠕虫病毒 WannaCry 出现。
2018 年:Ryuk 通常通过勒索软件追寻大目标。
2019 年:双重和三重勒索勒索软件攻击开始增加。自 2019 年以来,IBM Security X-Force Incident Reponse 团队响应的几乎每一起勒索软件事件都涉及双重勒索。
2022 年:线程劫持(网络罪犯将自己插入目标的在线对话中)成为一种重要的勒索软件媒介。
相关解决方案
IBM Security® QRadar® Suite
利用互联的现代化安全套件战胜攻击。QRadar 产品组合嵌入了企业级 AI,并提供用于端点安全、日志管理、SIEM 和 SOAR 的集成产品,所有这些产品都具有通用用户界面、共享见解和互联工作流程。
探索 QRadar Suite
勒索软件防御解决方案
防止勒索软件中断业务连续性,并在攻击发生时快速恢复 — 采用零信任方法,帮助您更快地检测和响应勒索软件,并最大限度地减少勒索软件攻击的影响。
探索勒索软件防御解决方案
IBM Security® X-Force® Incident Response
我们的防御安全服务包括基于订阅的事件预防、检测和应急响应计划,有助于在发生重大损害之前检测、响应并遏制相关事件。
探索 X-Force Incident Response
IBM Security® X-Force® Red
利用我们的进攻型安全服务(包括渗透测试、漏洞管理和对手模拟)来帮助识别、优先处理和修复覆盖整个数字和物理生态系统的安全缺陷。
探索 X-Force Red
网络安全服务
在网络安全咨询、云端和安全托管服务方面的全球行业领导者的帮助下,推动业务转型并有效管控风险。
探索网络安全服务
资源
X-Force Threat Intelligence Index
找到切实可行的洞察,帮助您了解威胁参与者如何发动攻击,以及如何主动保护您的组织。
阅读报告
勒索软件权威指南
了解在勒索软件攻击渗透防御系统之前保护企业的关键步骤,以及在对手突破边界时实现最佳恢复的关键步骤。
下载指南
数据泄露成本
今年是该报告发布的第 17 个年头,它分享了对不断扩大的威胁态势的最新洞察,并提供了节省时间和限制损失的建议。
阅读报告
什么是 SIEM?
安全信息和事件管理 (SIEM) 提供事件的实时监控和分析,以及出于合规或审计目的进行安全数据的跟踪和记录。
了解更多信息
市民越安全,社区越强大
洛杉矶与 IBM Security 合作创建首个网络威胁共享组,以防范网络犯罪。
阅读成功案例
IBM 安全框架与发现研讨会
与 IBM 高级安全架构师和顾问合作,通过免费、虚拟或面对面的 3 小时设计思维会议确定您的网络安全计划的优先级。
了解详情
Take the next step
Cybersecurity threats are becoming more advanced and more persistent, and demanding more effort by security analysts to sift through countless alerts and incidents. IBM Security QRadar SIEM helps you remediate threats faster while maintaining your bottom line. QRadar SIEM prioritizes high-fidelity alerts to help you catch threats that others simply miss.
Explore QRadar SIEM
Book a live demo
勒索病毒的原理及防御措施
勒索病毒的原理及防御措施
Login
|
Registration
|
中文(简体)
Home
Journals
Articles
About
Network security technology & application
Title
Abstract
Keywords
Author
Affiliation(s)
DOI
All
Journal homepage
Introduction
Instructions for Authors
Back Issues
Network security technology & application
››
2023 , (02)
: 10-12.
勒索病毒的原理及防御措施
Author(s):
薛丹丹
1
;
王媛媛
2
;
卲一潇
1
;
郝娜
1
;
吴傲
1
Affiliation(s):
1 航天器在轨故障诊断与维修重点实验室
2 中国人民解放军95596部队
Classification number:
TP393.08
Cite this article
GB/T 7714
薛丹丹,王媛媛,卲一潇,郝娜,吴傲等.勒索病毒的原理及防御措施[J].网络安全技术与应用,2023(02):10-12.
MLA
薛丹丹, and 王媛媛, and 卲一潇, and 郝娜, and 吴傲. "勒索病毒的原理及防御措施."网络安全技术与应用,02(2023):10-12.
APA
薛丹丹, & 王媛媛, & 卲一潇, & 郝娜, & 吴傲. (2023)勒索病毒的原理及防御措施[J].网络安全技术与应用,(02),10-12.
Export
BibTeX
EndNote
RefMan
NoteFirst
NoteExpress
More formats
Abstract
本文从勒索病毒的概念出发,简要阐述了勒索病毒的攻击原理,估算了AES、RSA等勒索病毒常用加密算法的破解时间,通过客观的数据证明勒索病毒难以被破解的根本原因是破解勒索病毒需要耗费大量时间,对勒索病毒未来的发展趋势进行了说明,最后从勒索病毒的处置方法以及防范措施两个方面给出了建议。
Keywords
勒索病毒; 破解时间; 防御措施
Fulltext link
重庆维普
万方数据
中国知网
131
Read
add
Related articles
address: No.5 Yiheyuan Road, Haidian District, Beijing Post Code:100871
©2012-2023 北京大学 版权所有
Scan QR code on WeChat to share with friends
Advanced
Associator
Search Fields
Keywords
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
AND
OR
NOT
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
AND
OR
NOT
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
AND
OR
NOT
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
AND
OR
NOT
Title
Author
Affiliation(s)
Abstract
Keywords
DOI
Topic
All fields
Fuzzy
Accurate
Year
-