报告老板:我们遭遇黑客勒索0.05个比特币_澎湃号·湃客_澎湃新闻-The Paper
:我们遭遇黑客勒索0.05个比特币_澎湃号·湃客_澎湃新闻-The Paper下载客户端登录无障碍+1报告老板:我们遭遇黑客勒索0.05个比特币2022-01-27 14:32来源:澎湃新闻·澎湃号·湃客字号原创 巴九灵 吴晓波频道勒索病毒之所以猖獗,一个重要原因是:制作者常常利用比特币支付的“匿名性”特点,逃脱警方追踪。文 / 巴九灵(微信公众号:吴晓波频道)这件事发生在一个月前。我们公司被黑客攻击了,黑客留下一封“勒索信”,如下:翻 译非常抱歉,由于设备安全问题,你的所有文件都已经被RSA和AES加密。如果你认为你的资料非常重要,唯一的解密方法是购买我的解密工具。你也可以删除加密文件或是重装你的系统。◎ 解密步骤如下:1.如果你没有比特币,你可以在一些网站中在线购买。比如……(两个网址)2.发送0.05个比特币到我的钱包地址……3.发送交付比特币的截图和你的个人账号到我的邮箱……我会把解密工具发给你。◎ 提示:1.不要重命名你的文件。2.你可以尝试用一些软件解密,但最后你会意识到这是徒劳的。3.如果你无法联系到我,你可以尝试把比特币转给我,并在传送信息中粘贴你的邮箱,我会联系你,并把解密工具发送给你。祝你度过愉快的一天。总结来说:我们遭遇了勒索病毒,文件资料被锁了,对方要求支付0.05个比特币,才给解密。事件经过与直接影响2021年12月13日,周一,“网管”老沈,如往常在10点左右到公司上班。上午时间,公司员工较少,老沈的工作压力相对较轻。类似事件是破天荒,头一回!一开始,老沈只是觉得某个程序出错了,看到勒索信时,才知道原来是中了勒索病毒。这时候,距离攻击时间已经超过12个小时。12月11日周六晚上的8点多时间,黑客就开始入侵我方服务器,服务器开始报错,频繁登录,有不明访问……这些都是留有痕迹的。彼时正值周末,且是双12这个购物节日,我方几乎无人值班。时间过去7个小时,12月12日凌晨3点,服务器被攻破了。我们的数据库被加密了。无论是Word还是Txt都被更改了后缀名,打不开。很快,这件事开始直接影响我们的办公效率。10点35分,一位曹姓同事,在公司大群发了一条信息:“OA大概多久能好呀……”我们的报销、打款、审批等事项,就放在OA(办公系统)上进行。这句话虽然没有指名道姓,但大家都知道,这是对行政部的老沈说的。无论是网页卡了,密码忘了,电脑坏了,还是打印机没动静了……都找老沈。老沈常常顾了这,顾不到那,做不到快速反应。但这次反应明显要快许多,不过是坏消息。10分钟后,行政部的一条消息在公司群里炸了锅:今天OA服务器无法正常使用,具体原因老沈还在进行排查,还请大家耐心等候,如有恢复,将在群里及时通知大家。“今天不会恢复了吗?有着急的文件今天要盖章。”一位女同事询问,配了一个流泪的表情包。刹那间,满屏的“恨铁不成钢”。初步应对失败与原因干了16年“网管”的老沈,对此并没有办法。我们的应对策略都遭到了失败。① 断网,但是黑客加密已经完成。② 尽可能备份,但财务等核心资料已经被加密。③ 找网警报案,虽已经立案,可侦破案件时间不确定,实在耗不起。④ 借助已有安全软件工具寻找是否存在公开解密工具,无果。我们也想遂了黑客的心愿。0.05个比特币,按照12月13日比特币5万美元的价格,对此我们需要花2500美元(折合人民币1.5万元左右)。相比于OA系统无法运作可能造成的损失,这笔钱不算多。但老沈觉得对方也可能出尔反尔,甚至在解密邮件上大做文章。最近也有类似的一则新闻:去年12月下旬,温州某超市的储值卡系统瘫痪,数据库信息均被加密。黑客留言,24小时内支付0.042个比特币(当时相当于1789.2美元)才提供解密工具。超市老板照做了,但黑客未履约。在这种情况下,意味着这件事很大可能是无解的。早在2017年,知名的杀毒软件供应商俄罗斯卡巴斯基实验室说,勒索病毒使用的加密算法无解,(中了勒索病毒后)重装系统才能继续使用,但被加密的文件将会丢失。那么如今呢?值得一提的是,在“净网2020”专项行动中,国内首名比特币勒索病毒的制作者巨某(涉案500余万元)落网。引用其中的专案组成员、启东市公安局网安支队民警黄潇艇的话来说:一般来说,没有病毒制作者的解密工具,其他人是无法完成解密的。勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的。据360安全大脑2020年相关报告称:超过3700例确认遭受勒索病毒攻击,最终帮助超过260例完成文件解密工作。即,仅只有7%的成功率。事态进一步严重化,12月13日下午两点50分,行政部进一步发布公告:本周OA服务器无法使用。问题出在哪里?勒索病毒卷土重来!回顾勒索病毒的发展史,2017年,勒索病毒“想哭”席卷了全球150个国家的30万台电脑,一般需要支付价值300—600美金的比特币方能解密。此后勒索病毒持续不断演变成为各个版本与类型。比如:加密文档、锁定屏幕、锁定硬盘、加密数据库,等等。国内企业遭遇的高峰期是在2019年。据亚信安全《2019威胁态势分析》,2019年中国勒索病毒感染量为全球榜首,占比达20%。老沈记得,当时(防护)措施都做完了,所以没中招。但2021年12月,在勒索病毒影响力似乎式微的时候,我们却中招了。据他猜测,这次出现问题的原因可能是安全服务软件到期。12月上旬时,我们的安全服务软件服务到期,本准备1月进行服务器迁移才续费。但这半个月时间,由于防火墙特征库到期,给了黑客可乘之机。这意味什么?打个比方,黑客是小偷,到我们公司偷东西。我们大门的管理以前是谨慎小心的,会经常换锁,小偷来我们公司门口转,寻找机会下手,但锁经常没两天就换了,很难很快匹配到合适钥匙。渐渐地,小偷失去兴趣。但直到锁出现连着十几二十天不换的情况,小偷因此有足够时间配钥匙。那么,勒索病毒是怎么碰巧盯上我们的呢?老沈怀疑是有人使用公司网络挖矿,或者有人无意间把外面的病毒带到公司,抑或是黑客“广撒网”的结果……总之,各种可能性都存在,难以确定。——一般来说,远程桌面、网页挂马、激活/破解、僵尸网络、数据库弱口令、漏洞、钓鱼邮件等都是勒索病毒进攻的常见方式。不得不提的是,多个信号提醒我们勒索病毒颇有卷土重来之势。近一年就发生多起巨头企业与重要国家机构出现勒索病毒事件,很是轰动。比如,2021年5月,美国最大的成品油管道运营商Colonial Pipeline遭遇勒索病毒攻击,其向美国东部沿海主要城市输送油气的管道系统因此下线,此事甚至引发美国总统关注。此外,在2021年,还出现华盛顿特区大都会警察局、石油巨头皇家壳牌、全球IT咨询巨头埃森哲、台湾存储组件制造商ADATA、厄瓜多尔国营电信运营商CNT等遭遇勒索病毒攻击,大量文件泄露和被窃取。据360安全大脑《2021年勒索病毒疫情分析报告》,2021年超4000位用户遭遇勒索病毒的攻击,高于2020年的超3700位,其中10月—12月是高峰期。其中,值得警惕的是,据美国国土安全部长去年5月的演讲提到,勒索病毒攻击的50—70%的对象都是中小企业,2020年总计造3.5亿美元损失。而思科去年10月发布的调查显示,42%的中国区中小企业在过去一年遭遇网络攻击,41%的企业相关损失超50万美元。5万块的教训与经验12月15日,我们被迫找了杭州一家安全服务商,由对方全权解决此事,花费5万块。这5万块,可以支付三次以上勒索病毒攻击的费用,相当于一套安全软件的费用,一个可以用三五年的防火墙特征库也是差不多的价钱。3天后,基本解决了问题。12月20日上午10点,OA恢复使用。具体到这家公司是如何解决问题的,老沈并不知情。“也许交了赎金,也许没有,也许弄清楚了勒索病毒的版本,找到了解密工具。”老沈说道。关键在于未来的防护,除了保障安全服务软件全天候运行,老沈强调还会“加强备份”。比如,财务数据以前是财务部门管理,只做本地备份,现在由老沈自己管,已经做了好几份备份。值得一提,据彭博社报道,上述提到的Colonial Pipeline虽然支付了赎金,但黑客解密过慢,最后还是依靠备份数据恢复系统的。此外,8月份,埃森哲遭遇勒索病毒后,黑客声称“从埃森哲窃取了6TB的数据,并要求支付5000万美元的赎金”,但埃森哲回应:“在事件发生后立即控制并隔离了受影响的服务器,并从备份中完全恢复了受影响的系统。”也就是说,备份数据可以较大程度避免损失。总结来说,勒索病毒之所以猖獗,一个重要原因是:制作者常常利用比特币支付的“匿名性”特点,逃脱警方追踪。但是好的开始是:如今国内存在不少与病毒制造者沆瀣一气的数据解密、恢复公司,它们承担着渠道商的作用,比如替病毒制作者分发病毒,利用国内企业不方便购买比特币代替交易等。参与的人多了,犯错的机会也就多了。在上述“净网2020”专项行动案例中,警方破案的关键在于,借助与病毒制作者有直接合作关系的数据恢复公司这一线索抓住了背后的病毒制作者。在近一个月时间里,比特币出现闪崩,一度跌到3.3万美元,为近半年时间的最低价。这对“勒索病毒产业链”的利益获得者也会是一个打击。最后强调的是,我们不建议支付赎金,如迫不得已,可以尝试“讨价还价”。至少有一个例子可以说明这一可能性:据媒体报道,2017年5月14日,台湾网友陈子聪中了勒索病毒,为此他发邮件向黑客“求情”:“我月收入400美元,要这样对我吗?”结果对方回应:“我们明显高估了你们的收入。所以你不用支付任何费用。待会系统将会帮你的计算机解锁。”作者 | 林波 | 当值编辑 | 李梦清责任编辑 | 何梦飞 | 主编 | 郑媛眉 | 图源 | VCG原标题:《报告老板:我们遭遇黑客勒索0.05个比特币!》阅读原文 特别声明本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。+1收藏我要举报#勒索病毒查看更多查看更多开始答题扫码下载澎湃新闻客户端Android版iPhone版iPad版关于澎湃加入澎湃联系我们广告合作法律声明隐私政策澎湃矩阵澎湃新闻微博澎湃新闻公众号澎湃新闻抖音号IP SHANGHAISIXTH TONE新闻报料报料热线: 021-962866报料邮箱: news@thepaper.cn沪ICP备14003370号沪公网安备31010602000299号互联网新闻信息服务许可证:31120170006增值电信业务经营许可证:沪B2-2017116© 2014-2024 上海东方报业有限公不可破解的比特币勒索病毒,究竟是怎样的? - 知乎
不可破解的比特币勒索病毒,究竟是怎样的? - 知乎首发于Odaily星球日报-探索真实区块链切换模式写文章登录/注册不可破解的比特币勒索病毒,究竟是怎样的?Odaily星球日报权威区块链媒体,36氪独家战略合作,让一部分人先读懂Web3作者 | 秦晓峰编辑 | 卢晓明出品 | Odaily星球日报(ID:o-daily)(电影《黑客帝国》剧照)2017 年,WannaCry 比特币勒索病毒攻击了包括中国在内的 150 多个国家,造成损失超 80 亿美元。此后各类勒索病毒(NotPetya、Bad Rabbit等)虽层出不穷,但影响范围始终有限。近日出现的一款名为 GandCrab V5.2 加密货币勒索病毒,似乎大有再现 WannaCry “昔日荣光”的迹象,目前已在中国攻击了数千台政府以及企业的电脑。所谓勒索病毒,即设法让你的电脑中毒,锁死内部文件,要求用户通过比特币支付赎金才会解锁。包括慢雾、DVP 在内的众多安全团队都向Odaily星球日报表示,GandCrab V5.2目前不可破解,只能做好防御。GandCrab 团队不仅技术高超,而且“盗亦有道”:既信守承诺给赎金就“解毒”,还曾“人道地”将叙利亚等战乱地区排除在感染地区之外,因而曾被人称为“侠盗”病毒。不过,其却将中国、韩国视为其重要的攻击目标。GandCrab 幕后团队也通过出售病毒获得了 285 万美元收益。近年来针对加密货币的攻击日益增多,区块链安全事件频发。除了勒索病毒,恶意挖矿也一直不甘示弱。如果说,2017年攻击是以“勒索病毒”为主,2018年以“恶意挖矿”为主。现在,勒索病毒会否再次卷土重来?上千台政府、机构电脑感染新型的比特币勒索病毒再次肆虐。根据国家网络与信息安全信息通报中心监测,GandCrab V5.2 自 2019 年 3 月 11 日开始在中国肆虐,攻击了上千台政府、企业以及相关科研机构的电脑。截止发稿前,湖北省宜昌市夷陵区政府、中国科学院金属研究所、云南师范大学以及大连市公安局等政府、企业、高校均在其官网发布了遭受病毒攻击的公告。(夷陵区政府官网截图)根据网络安全分析师 David Montenegro 所言,GandCrab V5.2 勒索病毒目前已经感染了数千台中国电脑,接下来还将通过 RDP 和 VNC 扩展攻击影响中国更多的电脑。手段:垃圾邮件攻击GandCrab V5.2 又是如何让受害者电脑“中毒”的呢?据了解,该勒索病毒目前主要通过邮件形式攻击。攻击者会向受害人邮箱发送一封邮件,主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min,Gap Ryong”,邮件附件名为“03-11-19.rar”。(图片来自腾讯安全)一旦受害者下载并打开该附件,GandCrab V5.2 在运行后将对用户主机硬盘数据全盘加密,并让受害者访问特定网址下载 Tor 浏览器,随后通过 Tor 浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。 DVP区块链安全团队认为,除了垃圾邮件投放攻击, GandCrab V5.2 还有可能采用“网页挂马攻击”。即除了在一些非法网站上投放木马病毒,攻击者还可能攻击一些防护能力比较弱的正规网站,在取得网站控制权后攻击登陆该网站的用户。另外,该病毒也有可能通过漏洞传播,利用CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)以及 weblogic 漏洞进行传播。“攻击者会对受害者电脑里面的文件进行了不可逆加密,要想解开,只能依靠攻击者给你特定的解密密钥。”慢雾安全团队解释说,受害者只有付款才能获得特定密钥。不过,有时候也会发生受害者交了钱但攻击者不给密钥解锁的情况,慢雾安全团队认为攻击者所属团队的声誉高低可以作为一个判断依据。“勒索蠕虫知名度越高,越有可能给你发密钥,GandCrab 在暗网上的知名度还是很高的,口碑也不错。”慢雾安全团队说,“如果不发私钥就会降低声誉,其他被攻击者就不会再打钱了。”“关键是看,攻击者是否给受害者提供了一个联系渠道。” DVP区块链安全团队告诉Odaily星球日报,由于加密货币具有匿名性,攻击者很难判定受害者是否进行了打币操作,如果没有沟通渠道,说明攻击者根本无意解锁受害电脑。不可破解:地表最强的勒索病毒? “目前根本没有办法直接破解,一旦被攻击成功,如果电脑里有重要的资料,只能乖乖交钱领取私钥破解。”包括慢雾、DVP 在内的众多安全团队都向Odaily星球日报表示该病毒不可破解。(贴吧截图)然而,Odaily星球日报发现在一些论坛上,出现了宣称可以破解 GandCrab V5.2 的公司,条件是先付款,再破解。“基本上都是骗子,都是一些皮包公司,根本没有能力。”一家匿名的区块链安全公司表示,“腾讯、360等公司都破解不了,他们能破解?”“一些团队或个人宣称可以破解 GandCrab V5.2 ,其实是‘代理’破解。”慢雾安全团队解释说,“他们收你的钱,帮你向勒索者支付加密货币,从而拿到解密密钥(破解)。”攻击者来势汹涌,一时之间破解不了木马病毒,只能做好防御。宜昌市夷陵区政府也给出了一些应对之策,包括:一是不要打开来历不明的邮件附件;二是及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;三是在Windows中禁用U盘的自动运行功能;四是及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;五是对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。不过,慢雾安全团队指出,非 Windows 操作系统暂时并不会被感染。“GandCrab V5.2蠕虫目前只在Windows上运行,其他系统还不行。” “强悍”的病毒,也让团队在安全圈里“小有名气”。GandCrab 勒索病毒诞生于 2018 年 1 月,并在随后几个月里,成为一颗“新星”。该团队的标签之一是 “技术实力”强。今年2月19日,Bitdefender 安全实验室专家曾根据GandCrab自己给出的密钥(后文会解释原因),研发出 GandCrab V5.1之前所有版本病毒的“解药”。然而,道高一尺,魔高一丈。根据 zdnet 报道,今年2月18日,就在 Bitdefender 发布最新版本破解器的前一天,GrandCrab 发布了正肆虐版本(V5.2),该版本至今无法破解。目前在暗网中,GrandCrab 幕后团队采用“勒索即服务”(“ransomware as-a-service” )的方式向黑客大肆售卖 V5.2 版本病毒。即由 GrandCrab 团队提供病毒,黑客在全球选择目标进行攻击勒索,攻击成功后 GrandCrab 团队再从中抽取 30%-40% 的利润。“垃圾邮件制造者们,你们现在可以与网络专家进行合作,不要错失获取美好生活的门票,我们在等你。”这是GrandCrab团队在暗网中打出的“招商广告”。值得一提的是,GandCrab 是第一个勒索 Dash 币的勒索病毒,后来才加了比特币,要加 499 美元。根据 GandCrab 团队 2018 年 12 月公布的数据,其总计收入比特币以及Dash币合计 285 万美元。(GandCrab 收入截图) “盗亦有道”的侠盗团队?这款病毒的团队,另外标签是“侠盗”。该标签来源于2018年发生的“叙利亚密钥”事件。2018 年 10 月16日,一位名叫 Jameel 的叙利亚父亲在 Twitter上发贴求助。Jameel 称自己的电脑感染了GandCrab V5.0.3并遭到加密,由于无力支付高达 600 美元的“赎金”,他再也无法看到在战争中丧生的小儿子的照片。(Twitter截图)GandCrab 勒索病毒制作者看到后,随即发布了一条道歉声明,称其无意感染叙利亚用户,并放出了部分叙利亚感染者的解密密钥。GandCrab 也随之进行了 V5.0.5 更新,并将叙利亚以及其他战乱地区加进感染区域的“白名单”。此外,如果 GandCrab 监测到电脑系统使用的是俄语系语言,也会停止入侵。安全专家据此猜测病毒作者疑为俄罗斯人。(勒索者道歉图)一时之间,不少人对 GandCrab 生出好感,称呼其为“侠盗”。“ GandCrab 颇有些武侠小说中侠盗的意味,盗亦有道。”一位匿名的安全人员告诉Odaily星球日报,“不过即使这样,也不能说 GandCrab 的行为就是正当的,毕竟它对其他国家的人就没有心慈手软。”根据腾讯安全团队统计,GandCrab 受害者大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家。并且,GrandCrab V 5.2 版本所使用的语言主要是中文、英文以及韩文,说明中国目前已经成为其重要的攻击目标。(GrandCrab V 5.2 版本)“一个黑客如果对一个区域的人没有感情,那么作恶时就不会考虑这个区域的人的感受。”慢雾安全团队解释说,“在黑客看来,中国网络空间积金至斗,所以对中国下手也就不足为奇。”发布于 2019-03-19 20:00比特币 (Bitcoin)勒索病毒赞同1 条评论分享喜欢收藏申请转载文章被以下专栏收录Odaily星球日报-探索真实区块链新闻资讯、数据行情、技术解读、独家深度,一网
读·解 | 细数比特币勒索攻击(一) - 知乎
读·解 | 细数比特币勒索攻击(一) - 知乎切换模式写文章登录/注册读·解 | 细数比特币勒索攻击(一)安华金和让数据使用自由而安全勒索攻击的演进2005年至今,勒索类攻击至少经历了四次技术形态的“演进”:· 2005年-2009年:冒牌应用软件兴起;· 2010年-2011年:假冒杀毒软件泛滥;· 2013年-2014年:“锁勒索”攻击肆虐;· 2015年至今:进入以“比特币”支付赎金为主的“加密勒索”时代。1、“起步”期:冒牌应用软件和假杀毒软件2005年,市场上出现了很多辅助操作计算机的第三方工具,而黑客借此编写了能够引起计算机异常的第三方系统工具。不知情的客户一旦使用此类“冒牌应用软件”就会导致操作系统出现各种问题,然后黑客就以向客户收取计算机维修费和安全检测费用为由诈骗钱财。2009年,杀毒软件大规模兴起,很多黑客又开始编写能够伪造安全问题的“假杀毒软件”。客户使用这种“杀毒软件”自然就会发现很多根本不存在的安全问题,然后“假杀毒软件”就会以修复安全问题为由,向蒙在鼓里的客户收取费用——处理每个假安全问题的费用高达40-100美金!同时,为了不让被骗客户起疑,黑客伪造的杀毒软件在界面设计风格及样式上都会与当时主流杀毒软件保持一致。不过,以上两种方式存在一个“弊端”,即在行骗过程中,黑客无法完全置身事外,不可避免要与受害人相接触,从而留下蛛丝马迹;正因如此,骗局一旦东窗事发,执法机关就很容易顺藤摸瓜,最终抓捕犯案的黑客。2、“成熟”期:锁勒索和加密勒索2012年之后,对黑客而言更“安全”的锁勒索和加密勒索开始成为主流。这两种勒索攻击行为大多采用TOR网络和比特币赎金,从而有效隐藏了收款过程中给执法者留下的追踪链条,大大降低了不法分子的被捕几率。不过锁勒索和加密勒索也存在明显区别,因为二者是基于不同层来阻断用户访问数据的。锁勒索锁勒索(locker ransomware),也被称为Computer locker。一般是通过锁定受害人计算机或手机的操作系统界面(大多仅是锁定屏幕),继而以“恢复正常访问”相要挟勒索比特币赎金。总体来说,锁勒索相对容易被破解,黑客的勒索界面大多伪装成司法机关以便于“威吓”。以手机端为例,锁勒索主要有两种方式:第一种方式,黑客添加一个置顶框在操作界面之上(覆盖住界面),从而达到阻止用户正常操作的目的。实际上,这种方式并未对系统中的底层文件做任何修改,只是添加了一层“阻断”界面而已,因此大都可以通过技术手段解除锁定,并不需要向黑客缴纳赎金。第二种方式,黑客利用某些系统漏洞拿到了root权限,从而设置屏保或修改锁屏密码,并以此对受害者进行勒索。这种方式也能够在损失一定数据的前提下,通过手机的recoery方式进行解锁。加密勒索加密勒索(crypto ranspmware)也被称为data locker。此种类型的勒索软件专门查找用户机器上有价值的数据,然后对这些数据进行高强度加密(如AES 256等),还会在加密的同时删除原始数据;加密勒索攻击一般不会对操作界面、鼠标和键盘等进行锁定,虽然数据文件被加密,但通常不会导致操作系统出现异常,受害者还可以使用计算机,只是难以通过单纯的技术手段破解被加密的文件等。如果受害者事先没有对数据进行备份,则很可能迫于压力向黑客支付比特币赎金。3、“商业”期:勒索软件即服务今时今日,勒索软件攻击的范畴定义已不再是单纯的黑客技术或恶意软件,其俨然形成了一套成熟的商业模式——“勒索软件即服务”(RaaS:Ransomware as a service),并围绕比特币勒索建立起了一条完善的产业链。例如:暗网中就存在大量出售比特币勒索服务的黑客团体,他们会提供模块化的比特币勒索服务组件,这些组件可以定制化的生成勒索套件,从而用来“帮助”那些还不了解或有特殊需求的恶意分子完成比特币勒索攻击,而恶意分子只需为相关服务支付一定的费用,以及指定收款钱包和赎金金额等即可。凭借种种“优势”,比特币勒索自2013年起进入发展的“快车道”,越来越多的黑客团伙从传统的恶意软件、银行木马、间谍软件、网络犯罪等模式转入比特币勒索。比特币勒索攻击对象1、偏向企业级目标的“定点打击”式勒索在这种方式下,黑客只追求高质量的目标,而不是制造更多的受害者,往往单笔勒索的比特币金额超过一万美金。2、偏向个人目标的“乱枪打鸟”式勒索在这种方式下,黑客主要是针对个人目标开展攻击,攻击的最终落点是个人数据,并通过快速、广泛、大量传播以感染更多受害者,继而诈取比特币赎金;这类勒索软件和病毒大多藏身于各种来路不明的广告或信息中,且感染源有很强的自动复制能力,虽然看似单笔勒索金额较低,但对于个人电脑、手机用户的危害一点都不亚于前者。比特币勒索攻击模型比特币勒索是一个相当复杂的攻击流程,可以对多种平台和软件发动攻击。主流比特币勒索软件可以根据不同的软硬件环境做出各种适应性变化,虽然比特币勒索软件千变万化,但核心依旧符合“感染、下载、执行、勒索、收款”这五大步骤。1、感染感染是整个比特币勒索的第一步,也是最关键的一步,主要包括:网络安全漏洞、垃圾邮件、下载器、僵尸网络、社会工程学和自我传播等途径;其中,不同的传播途径通常适用于不同的目标环境,当然也有大量组合使用的案例存在。例如:社会工程学辅助下的垃圾邮件一直是分发各种网络恶意软件的首选方法,比特币勒索也不例外。据统计,有七成以上的比特币勒索攻击是从包含恶意附件或恶意url的垃圾邮件开始的,而黑客为了保护自己不被追踪,发送垃圾邮件一般都会使用属于僵尸网络的服务器完成。2、下载当不知情的用户打开带有“感染源”的邮件、网址等等之后,恶意软件便会开始收集当前机器的信息,其主要目的有二:第一,识别当前机器的操作系统,直接选择一款“适合”对应操作系统的恶意软件并开始下载;第二,识别当前机器是否为虚拟机,如果确定是虚拟机或虚拟化环境,为了避免被发现,部分勒索软件还会选择终止此次攻击;如果确定是实体机,勒索软件则会把收集到的信息发送至黑客准备好的服务器上,同时从该服务器上自动下载一款“适合”目标机器的恶意软件。3、勒索在真正执行勒索软件之前,恶意软件会先尝试利用漏洞来获取一定的用户权限,同时尝试关闭一些系统自带的安全保护机制;其中一些勒索软件还会根据尝试关闭的情况,判断是否要继续开展攻击。当勒索软件被成功部署到目标机器上以后,下一步就要开始正式实施勒索攻击,而勒索攻击的方式则与勒索软件使用的技术有关,例如:两大主流勒索攻击类型——锁勒索和加密勒索(前文已经讲过,这里不再赘述)。4、扩散这一步和勒索攻击往往是同时进行的。勒索软件的扫描模块会自动通过被感染机器的网卡、驱动来探测网络中的其他机器以及机器上的其他电子设备,一旦发现可以访问的设备就会尝试把“感染源”复制到这些新的机器或电子设备之中,然后在新的机器或电子设备上继续重复这一套动作——感染、下载、勒索、扩散,直至勒索软件蔓延到其所能触及的整个网络范围。5、收款与其他货币不同,比特币不依靠特定货币机构发行,而是依据特定算法,通过大量计算产生。更重要的是,比特币应用密码学设计确保货币在流通交易环节的安全性与匿名性。黑客在勒索成功后,要求受害者以比特币支付赎金正是出于对其“安全性”的考量。可以说,比特币的出现“无意间”为黑客实施勒索攻击开辟了一条更加隐秘的通道,也值得所有企业和个人加以关注和重视。攻击类型防护建议攻击趋势攻击目标:数据库(未完待续)【精彩内容 · 敬请期待】发布于 2020-06-09 09:24勒索病毒计算机病毒恶意软件赞同添加评论分享喜欢收藏申请
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎
勒索病毒真的无解?手把手教你对付勒索病毒 - 知乎切换模式写文章登录/注册勒索病毒真的无解?手把手教你对付勒索病毒太平洋科技软件频道最近几年一种以敲诈用户钱财为目的病毒流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,并且显示勒索信息,让受害者交付赎金才能解密找回文件,这对于电脑中存储有重要资料的用户来说,简直就是噩梦。那么勒索病毒危害如何?咱就来实测一下看看它的恐怖为例!如何防范此类病毒,咱也来探讨一下!如何解密被这类病毒加密的文件,咱也来唠叨唠叨!图1 勒索病毒对用户资料文件是个灾难(图片来源Kaspersky)什么是勒索病毒勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金,最终也还是无法还原被加密的文件。勒索病毒在真假方面可以分为两类,一类为真实加密一类为虚假加密。采用真实加密的勒索病毒由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行文件的解密操作,受害者不得不为此而交付赎金。而有些则因为无法联系到病毒作者或者病毒加密文件时出错,进而导致了文件无法解密,用户资料文件因此被锁,损失惨重。而采用虚假加密的勒索病毒只是简单地将用户的文件进行了隐藏甚至只是改了后缀名,稍微懂电脑技术的都可以把文件重新找回来。勒索病毒实测 恐怖的全盘文件加密为了让大家更好的了解勒索病毒,让我们先来用虚拟机测试一下勒索病毒,看看它的恐怖威力。为了方便测试,本次测试Windows环境采用了Windows 7系统,没有安装任何的杀毒软件。笔者先在虚拟机硬盘分区的PConline文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。图2 测试文件列表接下来,运行勒索病毒,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。这个时候再进入PConline件夹中查看测试文件,PConline文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为WNCRY。图4 常用文件格式全军覆没然后还有个勒索说明弹窗,这个弹窗还“贴心”的准备了多国语言。图5 勒索说明弹窗造成的危害:由于勒索病毒大多都都是全盘扫描并加密用户电脑中的常见文件格式文件。诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作甚至导致工作停摆。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。由于勒索病毒大多数采用了比特币支付方式,并且有些勒索病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些勒索病毒所加密的文件在用户支付赎金后依然无法进行解密操作。需要提醒受害者的是,如果你的重要资料文件被勒索病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。勒索病毒能自行解密么 安全厂商联合推出解密网站上边说了,多数勒索病毒都采用了高强度加密算法进行加密,如RSA加密,这类加密算法具有极高的安全性,除非拿到密钥,否则几乎无法解密(大多数敲诈者木马,目前都采用了比较规范的非对称结合对称的加密手段,这直接导致了在没有拿到黑客手中的私钥的前提下,解密文件几乎不可能。)。也就是说,如果受害者不接受黑客的勒索条件,则电脑上的几乎所有重要数据都将无法找回,给受害者带来巨大的损失。提供100+勒索病毒解密工具正由于勒索病毒给受害者带来了严重的损失,所以勒索病毒也成为了各大计算机安全厂商重点关注对象。这不,为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了专门针对勒索病毒的网站-——No more ransom(拒绝勒索软件)。No more ransom:https://www.nomoreransom.org/zh/index.html“拒绝勒索软件”网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室 和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。No more ransom收录了超过100种已知的勒索病毒,并且针对这些勒索病毒做了专门的解密工具。如果不幸中招的用户,可以尝试使用该网站里的“解码刑警”工具来识别所中的是何种勒索病毒,并且查询是否有解密工具。只需要上传一个小于1M的被恶意加密的文件到解码刑警页面,稍等片刻该网站就会给用户提供究竟是中了何种病毒以及病毒信息,并且给出了解决方案。(如果你已经知道是何种勒索病毒,可以直接在“解密工具”页面查找解密工具)可是也别抱太大的希望,就像小编测试的这种勒索病毒,虽然已经老旧,但是在No more ransom还没找到解密方案。图6 上传文件到解码刑警图7 获得结果图8 解密工具页面在的解密工具页面提供了100+勒索病毒的加密工具,这里有着多家安全软件厂商提供的针对性勒索病毒解密工具,有解密工具的直接下载地址与使用指南,切记先看指南再用工具。图9 有下载地址与解密指南360在线查询与解密网站国内知名安全软件360页推出了一个专门的勒索病毒查询与在线解密网站。360勒索病毒解密:https://lesuobingdu.360.cn/在这里,用户同样可以通过上传被加密文件的方式来查询是中了哪种勒索病毒,并可以尝试解密。图10 上传被加密文件获得结果勒索病毒可以防范么 做足措施防范损失防范措施一:最重要的是定期异地备份硬盘有价,数据无价。和以前不同,现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。可是许多人却忘记了硬盘会坏,电脑可能被盗,文档可能被误删除,系统可能会被感染病毒,甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见,有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件,可以帮助你自动进行文档的本地及局域网、FTP备份。而笔者建议的是,至少要用一个移动存储器(如U盘、移动硬盘)来对重要资料进行异地备份。也就是说,备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染,所以强调“异地”备份。对于这个用户备份的移动存储器里边的备份文件保密问题,你可以采用Windows BitLocker功能相对该移动存储器进行加密操作,不过千万不要忘记密码。图11 FileGee同步备份软件而且还有许多的网盘客户端软件,也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能,更是可以帮你找回文件的旧版本。图12 百度网盘的文件夹备份功能防范措施二 安装一款靠谱的杀毒软件别相信什么裸奔电脑的情况,杀毒软件无用论,至少,目前勒索病毒已经被各个安全软件公司所关注,当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种,所以安装一款靠谱的杀毒软件还是非常有必要的,还有,记得要升级所安装的杀毒软件病毒库到最新版本。图13 靠谱的杀毒软件还是有作用的只是,勒索病毒或许还在更新,并且会形成更多的变种以逃避杀毒软件的查杀,所以有了杀毒软件也不能掉以轻心。还有需要注意的是,如果系统真的中了勒索者病毒,并且重要文档被加密的话,千方不要先查杀该病毒,因为某些勒索病毒采用了将用户文件加密并植入病毒的方式,如果你查杀了病毒,也就同步删除了被加密的文件。重要的是,先恢复被感染的文档再进行病毒查杀操作。总结近几年病毒木马似乎变得少了,于是现在的网友们就没有了以前那必装杀毒软件,甚至还要装上几个杀毒软件那种警惕性了。其实各种盗号木马还是层出不穷,各种病毒还在不少用户电脑中潜伏着肆意破坏着。作为普通用户,咱还需多加防范,对于重要资料文件,咱的备份操作少不得,安全第一!发布于 2022-08-20 12:30勒索病毒赞同 31 条评论分享喜欢收藏申请
中了比特币勒索病毒怎么办?千万不要打钱|比特币_新浪财经_新浪网
中了比特币勒索病毒怎么办?千万不要打钱|比特币_新浪财经_新浪网
新浪首页
新闻
体育
财经
娱乐
科技
博客
图片
专栏
更多
汽车
教育
时尚
女性
星座
健康
房产历史视频收藏育儿读书
佛学游戏旅游邮箱导航
移动客户端
新浪微博
新浪新闻
新浪财经
新浪体育
新浪娱乐
新浪众测
新浪博客
新浪视频
新浪游戏
天气通
我的收藏
注册
登录
区块链 >
正文
行情
股吧
新闻
外汇
新三板
中了比特币勒索病毒怎么办?千万不要打钱
中了比特币勒索病毒怎么办?千万不要打钱
2019年03月05日 16:07
新浪财经-自媒体综合
新浪财经APP
缩小字体
放大字体
收藏
微博
微信
分享
腾讯QQ
QQ空间
下载新浪财经app,追踪全球币市行情
热点栏目
自选股
数据中心
行情中心
资金流向
模拟交易
客户端
来源:白话区块链
病毒千万条,预防第一条,链接随便点,中毒两行泪
根据360安全卫士今年1月29日发布的公告,勒索病毒卷土重来,受害者被要求三日之内支付1个比特币,逾期加倍。
那么,什么是比特币勒索病毒呢?它和比特币是什么关系?电脑使用比特币容易中病毒吗?
今天,白话区块链就带着大家来了解一下“比特币勒索病毒”。
2017年5月份,国内媒体以“比特币勒索病毒”为关键词,大肆报道了有150多个国家遭受攻击,影响了教育、金融、能源、医疗等行业的勒索病毒,并详细报道了国内高校很多学生的重要学习资料、毕业论文等文件被加密锁住的例子。
▲ 比特币勒索病毒:WannaCry
这是普通大众第一次听到“比特币勒索病毒”。
其实,媒体报道的这个勒索病毒,叫“WannaCry(想哭)”,由不法分子利用美国国家安全局泄露的危险漏洞“Eternal Blue(永恒之蓝)”进行传播。和其他勒索病毒不同的是,这个勒索病毒索要的钱财是比特币。借助2017年牛市比特币价格暴涨的热点,新闻媒体用了“比特币勒索病毒”作为关键词来博取眼球。
换句话说,这个“比特币勒索病毒”其实就是一种普通的勒索病毒,只因为索要比特币,为了博取眼球,被媒体冠以“比特币勒索病毒”。
这件事之后,每隔一段时间就会有新的勒索病毒出现,模仿“WannaCry(想哭)”,向受害人索要比特币。360安全卫士今年1月29日发布公告的勒索病毒,名为“Satan(撒旦,基督教中与上帝为敌的魔王)”,要求受害者三日之内支付1个比特币,逾期加倍。
看到这里,想必你也明白了,这些所谓的“比特币勒索病毒”与比特币没有直接的关系,并不是由比特币造成的。
比特币的源代码是公开的,十多年来,世界上那么多顶级程序员、黑客、白帽黑客检查过源代码,比特币也稳定运行了十多年,说明比特币是安全的。当然,这里说的安全是相对的,毕竟道高一尺魔高一丈,谁也不知道明天会不会有更厉害的程序员发现漏洞。
近年来,随着价格的不断上涨以及其本身的匿名性,比特币深受众多不法分子的青睐。
如果你的电脑很不幸地中了“比特币勒索病毒”,千万不要支付比特币赎金。腾讯安全联合实验室就曾指出,制造病毒的不法黑客没有设置任何机制来判断到底是谁支付了赎金,哪些计算机应该被释放,最重要的是,解密完成后仍然有可能重新中毒。
“病毒千万条,预防第一条,链接随便点,中毒两行泪。”对我们普通人而言,预防病毒是最关键的,日程生活中就要养成“慎点开、勤备份、装杀软”的好习惯,防止自己的电脑中毒或者变成“肉鸡”。
免责声明:自媒体综合提供的内容均源自自媒体,版权归原作者所有,转载请联系原作者并获许可。文章观点仅代表作者本人,不代表新浪立场。若内容涉及投资建议,仅供参考勿作为投资依据。投资有风险,入市需谨慎。
责任编辑:唐婧
文章关键词:
比特币 勒索病毒 区块链
我要反馈
热门推荐
收起
新浪财经公众号
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
相关新闻
加载中
点击加载更多
最近访问
我的自选
01/政府工作报告:行业税负只减不增 制造业税率降至13%02/"掉队"魅族的求生欲:去年销量腰斩 节衣缩食减开支03/15城人均GDP超2万美元:都市圈崛起有了强力支点04/身家曾达85亿 王子华为何要卖北京农商行股权05/人大将审议外商投资法(草案) 但房地产税法并未提及06/标志雪铁龙在华合资企业亏损扩大 CEO不满中方团队07/商务部部长钟山:中美经贸磋商的成果是互利的08/全文|国务院总理李克强作政府工作报告09/特斯拉大降价背后:挑战者前赴后继成“挑战者联盟”10/李克强:小规模纳税人增值税起征提至月销售额十万
01/中信证券千名员工300亿薪水抄底自家股票 长牛信号?02/A股巨震大股东减持 券商吵翻:牛市起点还是反弹尾声?03/易会满:证监会不好评论牛市是否已经到来(视频)04/董少鹏:刚刚 李克强这样定调中国股市05/申万宏源:牛市尚无坚实基础 四月回调是大概率06/8大券商评增值税下调:哪些行业受益?如何影响市场?07/午后名博看市:市场分化下关注几个聚焦点08/国信证券:本轮行情更像反转而非反弹 潜在风险有三点09/解读政府工作报告:地产税提法有变 10大投资机会(股)10/科创板又传大消息 已有客户完成开户预约受理申请
01/郭树清提示防范风险:老百姓要提高警惕 不能借钱投资02/邮政集团:任命张金良为邮储银行党委书记 提名董事长03/3月5日在售高收益银行理财产品一览04/大学生薅羊毛卷入大骗局 被骗光生活费还给五星好评05/信用卡降额封卡调查:银行防范多头授信 引征信数据06/深圳多家银行下调房贷利率 首套利率环比下降1.97%07/行业协会提示 “小额贷款”营业执照非金融牌照08/78只互联网宝宝收益率连续4周下跌09/2018年年报密集披露 社保、QFII最新持仓浮出水面10/银行理财转型不易 惯性操作引发过渡期“阵痛”
7X24小时
徐小明 凯恩斯 占豪 花荣 金鼎 wu2198 丁大卫 易宪容 叶荣添 沙黾农 冯矿伟 趋势之友 空空道人 股市风云 股海光头
彭文生
李奇霖:
政府工作报告的10大关注点
朱邦凌:
丹东港再成老赖
李德林:
牛市真的来了吗?
盘和林:
科创板注册与监管体现包容性
星球商评:
创业创到最后都是微商
交易提示
操盘必读
证券报
最新公告
限售解禁
数据中心
条件选股
券商评级
股价预测
板块行情
千股千评
个股诊断
大宗交易
财报查询
业绩预告
ETF期权
类余额宝
基金净值
基金对比
基金排名商品行情
外盘期货
商品持仓
现货报价
CFTC持仓
期指行情
期指持仓
期指研究
行业指数
权重股票
期货名人
专家坐堂
高清解盘
期货入门
各国国债
期市要闻
期货研究
机构评论
品种大全外汇计算器
人民币牌价
中间价
美元指数
直盘行情
所有行情
美元相关
人民币相关
交叉盘
拆借利率
货币分析
机构观点
经济数据
专家坐堂
分析师圈
国债收益率
全球滚动
CFTC持仓
比特币外汇计算器
黄金资讯
白银分析
实物金价
ETF持仓
黄金TD
白银TD
金银币
专家坐堂
基础知识
现货黄金
现货白银
现货铂金
现货钯金
高清解盘
黄金吧 白银吧
黄金分析
CFTC持仓
叶檀
凯恩斯
曹中铭
股民大张
宇辉战舰
股市风云
余岳桐
股海战神
郭一鸣
赵力行
老乐说股:阳谋之后再防阴谋涨停老妖:大盘为什么持续逼空闵非:市场分化 多空信号需要进一步验证涨停王者V5:3000点上方紧盯这两个板块不下车马上钧:怕字当头 纵使在牛市里也别想捞到一根毛老股民大张:耐心等待时空点的出现天天涨停:小牛氛围下市场总是超预期强势黄斌汉:创业板10000点不难 市场是入补涨涨停周期智股十方:大盘周线九连阳进入重压力区域大满贯股:3000点上方开始有分歧魅仙儿炒股秘籍:筑顶中期果断减仓狄琼霏:再次加仓良机出现
叶檀
凯恩斯
曹中铭
股民大张
宇辉战舰
股市风云
余岳桐
股海战神
郭一鸣
赵力行
老乐说股:阳谋之后再防阴谋涨停老妖:大盘为什么持续逼空闵非:市场分化 多空信号需要进一步验证涨停王者V5:3000点上方紧盯这两个板块不下车马上钧:怕字当头 纵使在牛市里也别想捞到一根毛老股民大张:耐心等待时空点的出现天天涨停:小牛氛围下市场总是超预期强势黄斌汉:创业板10000点不难 市场是入补涨涨停周期智股十方:大盘周线九连阳进入重压力区域大满贯股:3000点上方开始有分歧魅仙儿炒股秘籍:筑顶中期果断减仓狄琼霏:再次加仓良机出现
中美商业航天的太空之战
朱正廷、Justin背后共同的女人
这位国民闺蜜,了解一下
这位国企老板曾靠安眠药入睡
先河论市:冲高回落分歧犹在 益学堂:本周行情推演研判 中级别退潮期正式开始! 彭恩泽:三月重点博弈两条主线! 沙漠雄鹰8:猜忌声中继续前行 飞杨看市:赚自己的钱,别管那些不信牛市的人! 推石的凡人:冲击3000点可期,低估值权重股有机会 黄-昭博:大调整则是二次抄底的绝佳机会 趋势巡航:今天补缺需关注一点
03-13
新诺威
300765
-- 03-13
青农商行
002958
3.96 03-12
每日互动
300766
-- 03-06
金时科技
002951
9.94 03-05
上海瀚讯
300762
16.28
团车网再度调低IPO募资额
君实生物赴港IPO:研发烧钱苏州龙杰核心工艺将被淘汰
三只松鼠:IPO仍在排队中IPO排队者:高新成通关密码
股市直播
图文直播间
视频直播间
新浪财经意见反馈留言板
电话:400-690-0000 欢迎批评指正
新浪简介|广告服务|About Sina
联系我们|招聘信息|通行证注册
产品答疑|网站律师|SINA English
Copyright © 1996-2019 SINA Corporation
All Rights Reserved 新浪公司 版权所有
新浪首页
语音播报
相关新闻
返回顶部
从赎金角度看勒索病毒的演变 - FreeBuf网络安全行业门户
从赎金角度看勒索病毒的演变 - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 从赎金角度看勒索病毒的演变
关注
资讯网络安全 从赎金角度看勒索病毒的演变
2019-09-15 09:00:43
自2017年一场全球性互联网灾难——Wannaycry爆发,勒索病毒正式进入人们的视野,如同打开了潘多拉的盒子。近年来,勒索病毒无论是传播方式,还是代码结构,都一直在“进化”。 但今天,我们不谈技术,单单从经济角度,谈一谈勒索病毒在交易过程中的演变。交易过程即支付赎金的过程,从另外一个角度探索,勒索病毒为何会如此“繁荣”? 为了更好回答这个问题,我们不急于直入主题,先来谈谈历史背景。 Tor洋葱网络(暗网) 1995年,美国海军实验室开始研发一种匿名通信机制,可以避免人们的行迹在Internet上被追溯到。他们把这个技术叫做Onion Router,即“洋葱路由”,其形成的网络也叫Tor。2004年底,Tor正式对普通用户发布,美国海军砍掉了大部分Tor的资金支持并且把Tor开源,从此民间开始介入Tor建设和维护。可以看到,到2015年,国内安全技术爱好者已经开始广泛了解和使用Tor网络(也就是大家所讲的暗网),国外技术爱好者就更不用说了。 下图显示,Freebuf开始出现如何使用Tor网络的教程: Tor网络能如此流行和易于推广,正是因为它满足了人性的一大需求——保护隐私,让使用该网络的人不被监控和追踪。当然,这同样适用于违法犯罪行为。简言之,Tor网络提供了一个匿名的信息交互平台。任何人都可以和其他人进行匿名通信,这也就说明,可以通过这个平台,快速召集到一批“志同道合”的人,并且彼此之间不暴露真实身份信息。平台是有了,接下来的问题却是Tor网络不能解决的,即交易的支付问题,使用银行账号?现金交易?如果使用银行账号,就有被金融机构监控的风险;如果使用现金交易,交易双方得见面,不仅麻烦、暴露身份,且人身安全也是一个问题。但这个问题,被接下来的另一项革命性技术解决了。 加密数字货币(以比特币为例): 比特币(Bitcoin)的概念最初由中本聪在2008年11月1日提出,并于2009年1月3日正式诞生。比特币的技术讲起来蛮复杂,简化的说,区别于传统中心化的法定货币交易系统,这是分布式加密数字货币系统,不可人为操纵,所有交易都匿名且真实有效,不可能被伪造。而且比特币的数量是固定的,不会发生膨胀,财富不会被稀释,类比于法定货币,有抗通胀作用。归根结底,加密数字货币(以比特币为首)与法定货币在根源属性上是一致的,都是一种信用而已,人们相信它,愿意使用它,它就有了交易属性,可以作为衡量资产和财富的一种标准。 作为一种新兴的货币,刚开始,人们肯定不会那么待见的。在比特币诞生的第二年,2010年5月21日,美国程序员拉丝勒用1万枚比特币换取了两款披萨饼,折合市场价30美元,也就是说,比特币的初始价值差不多是0.003美元。 起初,比特币价格都是缓慢增长的,而2017年是比特币发展史中十分重要的一年,全年涨幅高达1700%,这一年到底发生了什么事? 勒索病毒(Tor网络与加密数字货币的一种应用): 2017年,微软在4月14号发出安全公告《Microsoft 安全公告 MS17-010 - 严重》,该漏洞几乎影响所有微软系统,黑客可直接利用该漏洞执行任意命令。同年,5月12日WannaCry勒索病毒在全球爆发,WannaCry利用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w+用户,包括学校、医疗、政府等各个领域。 其实在WannaCry勒索病毒爆发之前,勒索病毒就一直有,只是这一次像是“一战成名”一样,人尽皆知,因为其确实影响到了普通大众的生活。当然,“一战成名”不仅仅会引起普通民众的广泛关注,同样也“唤醒”了广大黑产团队,包括潜在的可能往这个方向发展的技术爱好者。就是说,勒索病毒这一种新的“商业模式”,被越来越多从事黑产的人士所喜爱。 勒索病毒之于黑产人士,有哪些优点? 1、门槛低 2、投入少 3、周期短 4、变现快 5、收益高 门槛低和投入少,主要还是得益于Tor网络。就是这样一个平台,可以快速完成人力召集,并且保障了彼此身份的保密性,也可以快速发布勒索病毒应用,如RaaS(勒索软件即服务),通过购买这些软件,对目标客户进行渗透和攻击,完成勒索动作。 周期短和变现快,主要得益于加密数字货币,正是这一货币体系,保障了攻击者的“支付安全”,随时可以提现,又不用担心暴露身份。当然,这也与勒索病毒本身有关,即勒索病毒会加密数据,很多重要业务急于恢复数据和业务,不得不在短时间内快速完成交易。 而收益高,就是勒索病毒本身的原因,由于数据和业务被破坏和或中止,对大多数人或企业来说,都是灾难性的。在“灾难”面前,愿意为之付高价赎金,自然是情理之中了。 总之,没有Tor网络和加密数字货币,就不会有勒索病毒的发展壮大;而反过来,勒索病毒的发展壮大,又极大促进了Tor网络和加密数字货币体系的健壮性,使支撑者和维护者越来越多。 如何交赎金,为何对勒索病毒的发展如此重要呢?支付方式有哪些演变呢?接下来,切入主题,谈谈交易的艺术。 关于赎金交易方式的梳理 交易可以从两个方面进行分类,一个是支付的货币角度,一个是联系通信方式角度。货币角度,指受害者直接支付给黑客的货币,一种是加密数字货币,一种是法定货币。但通常来讲,以加密数字货币为主流,而加密数字货币的主流则是比特币。 联系通信方式角度,即受害者联系黑客的方式,用以确认赎金金额、赎金地址等问题。经过多年迭代和演变,大致分化出了以下类型: Jabber即时通信 电子邮件通信 网页 微信 直接支付 下文,一一阐述各个类型。 微信支付:典型代表UNNAMED1989 2018年12月1日,一款叫UNNAMED1989勒索病毒在公众视野出现,据报道有10万主机感染,大量终端被加密。所不同的是,此勒索病毒,首次使用了微信支付赎金的方式,前无古人后无来者,各大媒体冠以“全国首例”使用微信支付赎金的勒索病毒,其实说全球首例也不为过,真的是勒索病毒发展史的一朵奇葩。确实是首例,但现在来看估计也是最后一例,后果是活生生的: 下图左边,是UNNAMED1989勒索病毒运行后的勒索界面,一个硕大的微信支付二维码看的人好尴尬,赎金是110元人民币(大大“拉低”了正常勒索病毒的赎金下限)。 下图右边,就是UNNAMED1989勒索病毒的作者,22岁的罗某某,没几天就被抓了,原因嘛,你懂的。 所以,你看,加密数字货币,对勒索病毒而言是几乎不可替代的存在。使用银行账号,微信支付,支付宝等等方式,真的不适合勒索病毒。从攻击成本来讲,特别不划算,为了区区110元,居然铤而走险,暴露自己身份。人性本身,就是趋利避害的,所以感觉就是一个年轻并不专业的黑产人士玩了一次过家家一样。 直接支付:典型代表WannaCry/JCry 既然传统法定货币交易方式(网银/微信/支付宝等)不能用,自然将支付方式调整为加密数字货币了,这其中,主要还是以比特币为主。那比特币又怎么支付呢?对于币圈人士来说,信手拈来,但对普通民众来说,还是有点懵逼的。不过,早期阶段,懵逼的还有勒索病毒的策划者,由于无法考虑到普通民众对黑科技的掌握程度和黑吃黑等复杂因素,把赎金支付流程都设置得过于简单粗暴了:直接支付。 典型代表WannaCry勒索病毒(2017年),其完成所有文件加密后释放说明文档,弹出勒索界面,需支付价值几百美元等值的比特币到指定的比特币钱包地址,三个比特币钱包地址硬编码于程序中。 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 如上图所示,比特币钱包地址直接就放在勒索界面上。给人的感觉就是,账号放在这里了,你爱打不打。这里有很多逻辑问题,分列如下: 1、因为比特币钱包是匿名的,而比特币的转账记录又是公开的,如果直接把比特币转账给了黑客,那么怎么证明那钱是你转过去的,真的挺头疼。对黑客来说也是,这么多人给我打钱,哪一个受害者是真正交了赎金的呢? 2、如果提前联系黑客呢?Check payment和Contact us根本不好用,怎么联系,都很难有答复。 3、此外,还存在“黑吃黑”的现象,“假黑客”通过修改“原版Wannacry”比特币钱包地址,修改后重新进行攻击。这样一来,“假黑客”收了钱,而密钥却在WannaCry原作者手里,这怎么可能解得了密?这对WannaCry原作者也是打击,自己布下的局,居然让其他人来享受“革命果实”,这怎么能忍。 4、赎金不是以比特币为计量单位,而是以美金为计量单位,再观察上图比特币钱包上方的提示语“Send $300 worth bitconis to this address”,翻译过来就是,“请将价值300美元的比特币打入这个比特币地址”。问题是?比特币价格是市场化浮动交易,每时每刻都在变化,有时候波动还特别大。所以价值300美元这个赎金,特别不好操作,等黑客收到的时候,有可能高于300,也有可能低于300,这非常麻烦。 下图,是今天比特币一天的波动价格,有时候这个波动可以夸张到百分之几百的涨跌幅度。 邮箱通信:典型代表Globelmposter/CrySiS/Ryuk 做为硬编码比特币支付的一种改进,邮件通信目前已成为勒索病毒主流的联系方式之一,黑客会将自己的邮箱地址嵌入到勒索信息中,或者干脆文件加密后缀也改成了邮箱地址。以著名的Globelmposter勒索病毒“十二主神”变种为例,下图为黑客留在受害者主机上的勒索信息文件,文件名为HOW TO BACK YOUR FILES.txt,下图可以看到,黑客留下了邮箱地址Sin_Eater.666@aol.com,还有受害者的个人ID,用于唯一标识“客户”。这里完全没有黑客的比特币钱包地址,没有硬编码到勒索程序中,避免了上述情景下的尴尬状况。 而且也考虑到了“用户”体验问题,怎么交赎金,比特币地址多少,交多少比特币,被加密的数据能恢复吗,我是小白,我该怎么操作等等……一系列疑问,黑客会在邮箱里面“全方位耐心解答”。总之,你要交钱,他肯定比你还积极的(巴不得把毕生技术功力传授给你,就怕你不懂比特币交易)。 Jabber即时通信:典型代表Phobos/GandCrab3.0 除了邮箱通信,Jabber也被当作一种勒索病毒的联系方式,有些勒索家族会将这种通信方式作为备用方式,典型的代表是Phobos勒索病毒和GandCrab3.0勒索变种。 Jabber 是著名的Linux即时通讯服务服务器,它是一个自由开源软件,能让用户自己架即时通讯服务器,可以在Internet上应用,也可以在局域网中应用。Jabber最有优势的就是其通信协议,可以和多种即时通讯对接。 不过,缺点也很明显,Jabber的主要受众是技术宅,普通大众是没玩过Linux即时通讯工具的,所以这个受用面还是比较窄的。 存在即合理,作为“备胎”通信,由于Jabber开源,且自己可搭,成本和维护都很经济,很安全。虽然多数人不懂怎么用,不过人急了总会想到办法的。 网页在线聊天:典型代表Sodinokibi/GandCrab4.0以后 作为邮件通信的一种改进,网页在线聊天,被主流勒索寡头所喜爱。典型代表是GandCrab4.0以后的勒索变种,以及Sodinokibi勒索病毒。 以Sodinokibi勒索病毒为例,该勒索之所以开始爆发,主要还是得益于其已形成产业化规模,即分布式团伙作案,每个人各司其职,按劳分配,多劳多得。首先,Sodinokibi勒索病毒运行成功后,会在主机上留下如下勒索信息,形成“随机后缀-readme.txt”的文档: 可以看到,此病毒留了两个黑客联系网页,一个是暗网聊天网页,一个是普通聊天网页,受害企业可以根据自身情况任意联系(访问)其中一个网页。访问该网页后,可以看到,这是一个可以聊天的网页,设计十分专业,可以用于黑客与受害企业就赎金问题进行协商。 不过,实际上,这是一个产业化的团队,黑客并没有直接与受害企业沟通,而是雇佣了一批线上客服,7*24小时在线,负责与受害者沟通,并协商价格。这个工作相当技术难度不大,但需要人力较多,在线时间较长,所以外包给客服再合适不过了。当然,线上客服没有最终定价权,最终赎金价格由上级老板拍板,即Sodinokibi勒索病毒的组织运营者。 Sodinokibi勒索病毒的要价普遍偏高,多数是在3到6个比特币,所以其主要攻击对象是企业,并且是中大型企业,其攻击目的是瘫痪企业核心业务网络,因此很多受害企业迫于无奈交了不少赎金。正常情况下,受害企业所交赎金不会低于20万人民币。 由于其为产业化运作,故此每个参与者都有相应的分成。我们通过大量数据研究发现,当受害企业向黑客钱包转入比特币的时候,此钱包会分批次转入其它成员。 如下图所示,某次攻击成功后,将赎金分2批转给了4个钱包,分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。 勒索病毒作者、集成平台提供商属于薄利多销型,每一笔交易都有提成,所以单次提成比例虽低,但总数是非常客观的;线上客服按劳分配,说服一个客户,就有一小笔提成,当然大头不在他们,因为他们可替代性比较强,技术难度也不大。 每次攻击所得的赎金,大头由统筹钱包分配给了攻击者和组织运营者,攻击者是实际从事攻击企业的个人或者渗透团队,所以单次成功后的贡献比较大,而任何个人和团队都能参与到不同客户的攻击活动中来,类似销售团队,每成一单,提成都比较可观。最后的大头,当然给了组织运营者,其负责拉通了各个环节和资源,保障平台和团伙的正常运作。 我们大致抽象出其交易流程如下: 基于上述追踪,Sodinokibi勒索病毒的产业化运作模式形如: 讲这么多,其实就是想告诉大家,勒索病毒已经不再是单纯的个人行为,演变至今,必须以集体力量对抗集体力量。 如果攻击者已经产业化运作,防护者更不应该只是单纯的安装某个软件,就指望着解决所有问题,这是很困难的,防勒索,还得系统化思考,深层次多角度进行产业化对抗。 好了,今天先谈到这里,下次我们将深入探讨下,中了勒索病毒该怎么办的问题。*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM 本文作者:,
转载请注明来自FreeBuf.COM # 赎金 # 勒索病毒 # 演变
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备
如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响? - 知乎
如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册网络安全计算机科学计算机病毒勒索病毒Wana Decrypt0r 2.0(计算机病毒)如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响?近日网络上出现了一种名为“WannaRen”的新型比特币勒索病毒。它与2017年大爆发的“WannaCry”病毒类似,当用户电脑系统被“WannaCr…显示全部 关注者950被浏览785,620关注问题写回答邀请回答好问题 18714 条评论分享100 个回答默认排序火绒安全已认证账号 关注4.9日晚更新: 目前,火绒根据WannaRen勒索病毒作者提供的密钥,已经制作出针对该病毒的解密工具(下载地址见稿件)。安装运行后,只需点击“开始扫描”即可对被WannaRen勒索病毒加密的文件进行一键全盘解密,也可以将文件直接拖入工具框进行解密,无需其它操作。如果大家在使用中遇到其它相关问题,可随时联系我们获得帮助。此外,为避免不必要的风险,我们不建议大家使用WannaRen勒索病毒作者公布的密钥自行解密文件。4.9日下午更新:WannaRen勒索病毒作者主动提供解密密钥4月9日,“WannaRen”勒索病毒作者通过多方主动联系到火绒,并提供了相关解密密钥。经火绒工程师分析后,验证密钥有效,稍后我们也会发布针对该病毒的解密工具,欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。此外,我们也将在文末公布该密钥,分享给广大安全同行和专业团队,共同开发解密工具,帮助遭遇该病毒的用户解决问题,挽回损失。(文中“火绒工作室****@huorong.ltd”为用户私人邮箱)9日上午,一名火绒用户以解密为由,通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后,竟主动提供病毒解密钥匙,并要求该火绒用户将密钥转发给火绒团队,制作“相应解密程序”。从上述邮件可以看出,该病毒作者在使用英语进行交流后,又使用了中文进行沟通,再加上火绒此前披露该病毒使用易语言编写的情况来看,极有可能为国人所为。至此,随着事件发酵,各媒体、安全厂商进行了大量的曝光和溯源调查,截止目前,该病毒作者提供的比特币钱包未收到任何赎金,而该作者也已经停止下发、传播“WannaRen”勒索病毒。WannaRen勒索病毒解密密钥-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----4.8日晚更新:通过进一步溯源,我们发现国内西西软件园(西西软件园-西西游戏网-多重安全的软件下载基地)中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之一。分析发现,火绒捕获到的勒索病毒会在本地同时执行下载挖矿病毒和勒索病毒两个命令,还可以通过“永恒之蓝”漏洞进行横向传播,并与大多数勒索病毒一样使用了非对称的加密方式,因此暂时无法对其进行解密。而西西下载站内软件所携带的病毒传播脚本目前虽然只传播挖矿病毒,但不排除未来传播勒索病毒的可能性。令人担忧的是,通过搜索发现,该下载站的开源代码编辑器在同类软件中人气排名第一(如下图),或已致使不少用户受到影响。详细分析报告见:近期,网上出现一款名为“WannaRen”的新型勒索病毒。对于该网传病毒样本,各厂商进行了第一时间的处理。但经火绒分析溯源发现,该样本并非病毒样本,而是该病毒进行勒索后留给用户交赎金用的“解密工具”,经检测其中并没有恶意代码。另外,火绒已经溯源到真实的“WannaRen”勒索病毒并进行分析(详细分析后续发布),火绒用户(企业、个人)升级到最新版即可对该病毒进行拦截查杀。4月6日,有用户在火绒论坛等地反馈,表示中了新型勒索病毒,被加密文件后缀名变为“. WannaRen”,并被索取0.05比特币作为解密赎金。得知情况后,火绒第一时间对用户反馈的可疑样本进行拉黑查杀处理。随后,火绒工程师通过溯源分析发现,真正的勒索病毒已经在感染用户电脑后的第一时间就自我删除。留在用户电脑上的并非该勒索病毒,而是病毒用以获取勒索赎金的解密工具,被感染用户只有通过该工具提交赎金后才能获得密钥。另外分析还发现,该被病毒使用易语言编写,基本排除与“WannaCry”勒索病毒具有同源性。针对该勒索病毒,火绒已经解除了对其解密工具的拉黑行为,并对真实的“WannaRen”勒索病毒进行拦截、查杀。目前,感染该勒索病毒的文件还无法被破解。建议用户不要轻易使用安全软件对该解密工具进行查杀,以免无法赎回被加密的重要资料。最后,火绒也会密切关注该病毒的后续情况,如果您遇到所述问题,可随时联系火绒寻求帮助。附预防勒索病毒的方式:1、 重要资料进行多地备份2、 不点击陌生链接、邮件(附件),不浏览不安全的网站3、 及时修复系统漏洞4、 设置强度高的登录账号、密码5、 安装并开启合格的安全软件,并定期查杀病毒编辑于 2020-04-14 09:48赞同 1138204 条评论分享收藏喜欢收起yang leonierSiyah çerçeveli gözlük. 关注这病毒用来存储本体的肉鸡上面的那几个木马文件都还在,我直接下载回来了。WINWORD.EXE的微软签名是真的。难不成,用上hash碰撞了?但应该不是这样,只是拿合法的EXE去加载非法的DLL。这种玩艺不会用如此高大上的手段。这个UUID,查了一下是Word 2007的。看到这个pdb信息,我怀疑这部分代码真的来自Word 2007了。。文件的版本信息。查了一下12.0.4518.1014,发现有报道以前APT32“海莲花”的钓鱼邮件里面用了这个版本的winword.exe加载恶意wwlib.dll。看来这个winword.exe确实是微软的文件,可能只是WannaRen作者从哪里抄了这种手法,可执行文件都没有换一下。之前版本的回答里对这个exe多写了一点东西,但完全都是无用功。不过Word 2007启动要调用wwlib.dll,看一下我下下来的这个文件吧。有微软签名的这个WINWORD.EXE会骗过某些眼瞎的(没有这个wwlib.dll的特征码)的杀软,再启动这个不属于Word的木马本体wwlib.dll。我日,VMProtect壳。。。不好玩。但反正微软不可能用这个玩艺加壳。这玩艺挺大,估计脱了壳就是病毒本体了。至于you这个文件,一眼看出就是加密了。还有两个文件,一个是驱动,一个是应该属于这个挖门罗币的软件。这个驱动文件和Github下下来的完全一样,它确实是CrystalDiskMark作者的作品。看来这个木马,一边加密勒索比特币,一边还挖门罗币。可谓两不误。我回去再找块硬盘,看能不能把vmp加壳的主程序释放的文件再看一下。。根据360抓到的那段PowerShell脚本,木马会从某个国外网盘上下载两个文本文件,一个用于判断自己是否已经下载运行成功,一个则是判断是否下载运行挖矿程序。好像还有一个office.exe,用来本地局域网攻击的模块,我没成功下下来。更新:我找到了另一个版本的攻击PowerShell脚本,写的东西差不多,下载的东西不一样。nb.exe、office.exe都没了,yuu.exe下回来一看,一个WinRAR的自解压包,中文版WinRAR做的。duser.dll,太像木马了。而且好像还是易语言写的。userapp.exe其实是Win7的rekeywiz.exe,似乎rekeywiz.exe会导致Windows的knownDLLs机制失效,而直接把这个非系统的duser.dll加载了。网上查,似乎rekeywiz.exe被利用的情况有一些,以往有用公式编辑器漏洞攻击的Word文件下下来的东西会用它来加载恶意DLL。 9603ea7c66935f693721d3a09947e9d159b51252e352ba4abff04e1bdedd2f2a | ANY.RUN - Free Malware Sandbox Online谁玩门罗币的可以找f2pool矿池举报一下这个ID。编辑于 2020-04-09 00:12赞同 46836 条评论分享收藏喜欢
勒索病毒“绑架”比特币:黑客也是看上了它的支付优势
病毒“绑架”比特币:黑客也是看上了它的支付优势 首页 > 新闻 > 金融 分享到:微信微博QQ分享到微信打开微信,点击底部的“发现”,使用“扫一扫”即可将网页分享至朋友圈。 勒索病毒“绑架”比特币:黑客也是看上了它的支付优势 第一财经 2017-05-14 08:40:00 作者:殷怡 责编:林洁琛 这个名为WannaCry的勒索软件,已经致使全球99个国家和地区超过7.5万台电脑遭遇病毒攻击,而黑客要求以比特币进行赎金支付,恰恰是看中了比特币在支付转账时的全球化、去中心化和匿名性等优势。 从本周五(5月12日)晚间开始,一种锁死电脑的恶意软件正在世界各地迅速传播,目前已经有近百个国家和地区的数万台电脑遭到攻击。黑客将电脑中的资料文档上锁,并要求支付300美金等价的比特币才能解锁文件。受此消息影响,比特币结束了4月29日以来连涨的趋势。据比特币美元交易平台OKCoin国际数据显示,美国比特币价格结束14天连涨的行情,于5月12日下跌6.42%,报收1735美元,期间最高曾到达1854美元。13日又小幅回升,价格徘徊在1750美元附近。而据OKCoin数据显示,中国比特币价格12日下跌3.15%,13日遭遇震荡后价格徘徊在10500元人民币左右,仍在万元之上。
截至记者发稿,这个名为“想哭”(WannaCry)的勒索软件,已经致使全球99个国家和地区超过7.5万台电脑遭遇病毒攻击。
然而,就在大家开始质疑比特币和其他虚拟货币的安全性以及所谓的“去中心化”是否存在漏洞时,多位虚拟货币投资者和区块链圈人士告诉第一财经记者,这次的勒索病毒与比特币本身并无直接关系,而黑客要求以比特币进行赎金支付,恰恰是看中了比特币在支付转账时的全球化、去中心化和匿名性等优势。
“从某种意义上来看,此次全球勒索更像是比特币的一种‘应用场景’。”一位资深虚拟货币投资人对第一财经记者表示。
为什么是比特币?
实际上,这种黑客勒索软件从1980年开始就已经存在。根据Cyence的资料显示,黑客往往锁定医院、企业等一些资讯化程度不高的场所,平均每单的赎金支付在500~1000美元。而由于比特币的存在,让全球勒索相比盗刷信用卡之类的犯罪,变得更加低成本和低风险。
多位比特币投资者对记者表示,这次勒索病毒袭击的原因与比特币本身并没有直接关系,业内担心会比特币会被“妖魔化”。而黑客之所以要求以比特币支付赎金,只是看中了它在全球转账汇款时的种种优势,从而成为了被选中的支付手段。
比特币投资者普遍认为,比特币被用于勒索,是因为比特币不仅相对于其他传统支付工具有优势,同时在其他虚拟货币中也是最佳选择。首先,比特币有一定的匿名性,便于黑客隐藏身份;其次它不受地域限制,可以全球范围收款;同时比特币还有“去中心化”的特点,可以让黑客通过程序自动处理受害者赎金。而相比于其他数字货币,比特币目前占有最大的市场份额,具有最好的流动性,所以成为黑客选择。这和现实中犯罪人士喜欢使用美元现钞背后有相似的逻辑。
然而,也有观点认为,比特币的上述优势实际上也存在漏洞,比特币的交易处理效率和匿名性其实并不是最理想的。就拿匿名性来说,虽然比特币交易时是匿名的,但是比特币交易者身份实际上是可以追踪的。
“比特币的交易信息其实是透明的,虽然在支付时不会传递身份信息,但使用者支付时的IP地址是可查的。比特币全网记账的特点,使它每一笔交易在所有记账节点都可以看到其交易的内容。我们可以在例如blockchain.info等网站上查询交易量等具体交易信息,例如这次黑客公布的其中一个收款地址,截至5月13日晚六点一共收到了23笔比特币汇款,每笔支付在0.17个比特币左右,总计约4.26个(价值约7455美元)。根据FBI已经处理的案例,除非使用者擅长防追踪( 如使用Tor ),否则多数还是可以查到身份。”一位资深区块链圈人士告诉记者,不过,如果勒索者收到比特币后并不使用和交易,那么仍然是无法追踪其身份的。
图为截至13日晚六点blockchain.info上显示的23笔支付赎金的交易
上述区块链圈人士在查询上述23笔比特币交易时还发现,受害人电脑的IP地址和其汇出比特币电脑的IP地址其实是没有对应关系的,而黑客并没有要求受害人在汇出比特币的同时附加受害电脑的相关信息,也就是说,黑客其实并不知道是哪台电脑给自己汇了比特币,由于没有对应关系,因此即使支付了比特币,黑客也可能做不到自动恢复电脑。
若果真如此,这次全球勒索都不像是一场真正的勒索,而比特币仅仅是这场“轰动事件”制造者所利用的一个工具。
事实上,除了勒索之外,一些黑暗网络中的犯罪,例如洗钱、非法交易、逃避外汇管制等也利用了比特币的匿名性特点。例如,2013年10月,一家利用比特币进行匿名非法买卖的电子交易平台Silk Road被美国多个执法部门查缴,同时被查封的还有26000个比特币,当时约值360万美元。平台创始人和运营者罗斯·威廉姆斯·乌布利希——一个从无前科、正在攻读学位的29岁的年轻人以“恐怖海盗罗伯茨”(Dread Pirate Roberts)的另一重身份活跃在网上,在短短两年时间内将Silk Road变成网络世界最大的黑市,拥有近100万名客户,销售总额高达12亿美元。在这个平台上,服务涵盖了办假护照、假驾照,非法入侵系统和获取信息,买卖毒品、武器,色情服务等,只是所有交易通过比特币支付完成。正是利用了比特币的匿名性特征,犯罪分子“完美”的避开了监管通过银行卡交易记录追踪每笔钱来龙去脉的可能。
除此,比特币还被利用来洗钱和进行资产非法转移,用本国货币买入比特币,在国外交易平台上卖出,再以美元取出,几分钟就可以完成资产转移。
“越挖越少“致比特币价格不断飙涨
也有观点认为,黑客很可能也想顺便搜罗些比特币。
“我最近正准备入手一批比特币和莱特币呢,我觉得这是最佳买入时机,”一位虚拟货币投资者在看到这则勒索消息后告诉记者。
另一位投资者也表示:“比特币今天一度下跌近10%,这正是入货的好时机,像这样的消息的确会引起价格的短期波动,但基本上长期还是会走高的。”
勒索消息和价格波动几乎没有影响投资者的信心。而比特币火爆的势头,也从另一方面助长了各类问题的爆发。
自从比特币走出了ABC的释义阶段后,就一路走红。5月以来,美国比特币价格突破1800美元大关,而中国价格也于近日破万元。刺激比特币价格持续上涨的原因很多,但最根本的还是其天然的稀缺性。
“从技术上,比特币在创立之初,运用数学和计算机软件的原理保证了比特币发行量的恒定,它的总量增长十分缓慢,目前每个区块结构中每十分钟产生的比特币量已经从最初的50枚降低到12.5枚,并且最终会走向2100万个的上限。“比特币本质上是一种‘通缩货币’,发明者的初衷,一定程度上是想抵制央行滥发钞票导致通货膨胀的问题,所以才发明了这一电子货币系统试图平衡货币市场。”上述区块链圈人士表示。
全球来看,关注或参与比特币交易的用户数量近年来不断攀升,截至目前,活跃用户数量已经从2013年的平均160万人次上升至目前的870万人次。而在比特币产出数量跟不上交易规模的情况下,必然导致供不应求,天然的稀缺性是导致比特币价格不断上涨的首要原因。
图为比特币钱包活跃用户数量
火币网特约分析师认为,4月以来,国际上对比特币认可的利好消息不断刺激着比特币上涨。日本支持比特币支付的《支付服务修正法案》在4月1日生效后,日本比特币等虚拟货币支付手段合法性得到承认,在日本将有26万家商店接受比特币支付。
最近几日,比特币猛涨也和美国证券交易委员会5月10日重审比特币ETF日期临近有密切关系。如果比特币ETF被美国证券交易委员会审核通过上市,则意味着,比特币在全球的投资地位更会随之高升。
澳大利亚日前宣布将于2017年7月1日把比特币视为货币,并将废除比特币商品与服务税。比特币交易者和投资者通过受监管的交易所和交易平台购买和出售比特币将不会再被征税。
也有比特币投资者对第一财经记者表示,区块链技术的火热也是原因之一。“数字货币本身是了解区块链最好的工具,现在有很多对区块链感兴趣的人会选择通过购买虚拟货币的方式来加深了解。“随着比特币应用场景的不断增加,有可能会进一步吸引投资者购买比特币,其实全球勒索也是一种应用场景。”上述投资者笑称。(本报记者吴茜对本文亦有贡献)
举报 第一财经广告合作,请点击这里此内容为第一财经原创,著作权归第一财经所有。未经第一财经书面授权,不得以任何方式加以使用,包括转载、摘编、复制或建立镜像。第一财经保留追究侵权者法律责任的权利。 如需获得授权请联系第一财经版权部:021-22002972或021-22002335;banquan@yicai.com。 文章作者 殷怡 相关阅读 黄金、比特币携手突破历史新高,还有多少上行空间?交易员认为阻力最小的方向仍是上行。 03-06 22:11 现货黄金 比特币先后刷新历史新高 比特币大涨后暴跌根据伦交所的数据,周二纽市早盘,现货黄金价格一度触及2141美元/盎司,刷新了去年12月创下的2135美元纪录。随后,现货金价有所回落。与此同时,比特币价格短暂达到69210美元。随后,因资金获利涌出,加密货币交易所出现大量抛售,拖累比特币大幅回落失守60000美元,暴跌逾10%。 03-06 12:38 苹果市值两日蒸发万亿元人民币!纳指挫1.7%,比特币破历史新高后暴跌郭明錤5日表示,英伟达的市值将很有可能超越苹果。 外盘头条 03-06 07:03 再创新高!比特币涨破69000美元,年内涨超62%机构指出,本次SEC通过比特币ETF一定程度上规范了加密货币的交易方式,更多的流动性将望带来加密货币在2024年上半期短期的繁荣。 03-05 23:31 比特币时隔28个月再度突破60000美元 2月涨幅达40%比特币持续扩大涨势,时隔28个月再度突破60000美元,日内涨6%。2月迄今,除8个交易日外其余所有交易日均上涨,当月累计涨幅达40%。 02-29 10:12 一财最热 点
国内首个比特币勒索病毒案告破,三年获利500万-虎嗅网
国内首个比特币勒索病毒案告破,三年获利500万-虎嗅网
资讯
24小时
源流
视频
妙投虎嗅智库
投稿
2020-10-14 16:48
国内首个比特币勒索病毒案告破,三年获利500万HyperAI超神经©关注近日,全国首个比特币勒索病毒开发者巨某,被江苏南通警方成功捕获。巨某在三年的时间里,利用网络勒索病毒,已非法获利超 500 万元人民币。本文来自微信公众号:HyperAI超神经(ID:HyperAI),作者:神经小兮,题图来自:视觉中国10 月 8 日,据江苏省南通市当地警方通报,在“净网 2020”行动中,成功侦破了一起特大网络敲诈案件,3 名犯罪嫌疑人巨某、谢某和谭某落网。犯罪嫌疑人巨某,作为多个比特币勒索病毒的制作者,已成功作案百余起,非法获取的比特币折合人民币 500 余万元。病毒勒索:想要数据?比特币来换近年来,网络勒索病毒十分猖獗,防不胜防。全球各地企业、机构、甚至高校都会遭遇勒索病毒攻击。今年 4 月,江苏省南通市启东某大型超市收银系统就遭到了攻击,系统被黑客植入勒索病毒,因此瘫痪,无法正常运转。超市立即进行了报案,南通市公安局与市局网安等部门组成专案组进行侦查。通过数据勘验,专案组找到一份告知如何解密文件的全英文留言,要求受害人必须支付 1 比特币(时价约合人民币 47000 元)作为破解费用。黑客勒索留言:若想恢复文件,就给我钱包里打 1 个比特币此外,网警经对该超市的服务器进行数据勘验,发现黑客锁定的服务器中所有文件均被加密,文件的后缀名都变成了“lucky”,文件和程序均无法正常运行。而在 C 盘根目录下有个自动生成的文本文档,留有黑客的比特币收款地址和邮箱联系方式。超市服务器数据文件后缀都变成了“lucky”随后,尽管专案组做了大量工作,却始终没有进展。线索无处可寻,侦查陷入僵局。根据南通市公安局网安支队三大队副大队长许平楠介绍,“由于比特币均通过境外网站交易,追查难度较大,发起攻击的始作俑者身份往往成谜。”随着价格的不断上涨以及其本身的匿名性,比特币深受众多不法分子的青睐超市求助数据恢复公司,竟成破案线索就在警方无处下手的时候,案情出现了一丝转机。由于超市被锁服务器中有重要工作数据,如果格式化则损失巨大。因此,超市工作人员联系了一家数据恢复公司,以低于被勒索(1 个比特币)的价格,委托其解锁加密文件。后来这家数据恢复公司,竟然神奇地对服务器数据进行了成功解密。警方获悉这一情况后,认为其中可能另有隐情。因为,一般来说,勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的,没有病毒制作者的秘钥,几乎不可能完成解密。专案组成员、启东市公安局网安支队民警黄潇艇分析称,一般只有向勒索者支付比特币才能解密但经过进一步侦查之后,排除了数据恢复公司的嫌疑。原来该数据恢复公司之所以能够恢复数据,是因为他们通过邮箱与黑客取得联系,并支付 0.5 比特币获取了解锁工具,从而完成任务,赚取差价。专案组通过数据恢复公司而获取的新线索,以及深度研判分析,成功锁定犯罪嫌疑人的真实身份为巨某,至此案件侦破工作终于取得重大进展。5 月 7 日,专案组在山东威海将巨某抓获归案,并在其居住地查获作案用的电脑。在巨某的电脑中,民警找到了相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。证据面前,巨某(右二)对自己的罪行供认不讳巨某交代称,他开发了一款网站漏洞扫描软件,在获得相关控制权限后,就针对性植入勒索病毒。为避免破解和逃避公安机关的追查,巨某相继开发升级了 4 种勒索病毒,索要难以追查的比特币作为赎金,使用的都是境外网盘和邮箱。在江苏警方抓获犯罪嫌疑人前,巨某已经向 400 多家网站和计算机系统植入敲诈勒索病毒,受害单位覆盖 20 多个省份,涉及企业、医疗、金融等多个行业。其中,苏州的一家上市公司,因为勒索病毒破坏了其相关工作使用的数据库文件,导致整个生产系统无法正常运行,直接停工三天,造成了巨大的经济损失。自学达人,却走上犯罪道路这位巨某,可以说是被敲诈勒索“事业”耽误了的自学达人。据了解,巨某生于内蒙古赤峰,今年 36 岁。他自幼就喜好并自学计算机知识,精通编程、网站攻防等技术。之后,他成立了工作室,利用自己开发的软件炒股。起初还赚了不少,可最后以亏损 300 多万元而告终。债台高筑的巨某,偶然的一次机会得知了用勒索病毒敲诈的发财门路,于是走上了开发病毒程序之路。从 2017 年下半年开始,巨某一直都在研究“撒旦”等勒索病毒,以及漏洞利用程序“永恒之蓝”,并编写了“satan_pro”病毒程序用于作案。2018 年就曾有中了该病毒的客户请求数据解密公司解密,其勒索留言如下:据巨某交代,为避免破解和逃避公安机关的追查,他在“satan_pro”之后,又陆续升级开发了“nmare”、“evopro”、“svmst”和“5ss5c”4 款勒索病毒,江苏南通受攻击的超市收银系统,就是被植入了“nmare”病毒。除了索要难以追查的比特币作为赎金,巨某还通过境外的网盘和邮箱将解密软件发送给受害人,并经常更换,到手的比特币也都是通过境外网站交易。对于巨某来说,自己天衣无缝的计划堪称“完美犯罪”,但终究没能逃过警方的侦查。在作案期间,与他合作的一家数据恢复公司经营者谢某、谭某,也均因涉嫌敲诈勒索罪被逮捕。不知道这位巨某如今身陷囹圄,会作何感想。如果他利用所学知识,做一名网络安全工程师,人生历程就完全不同了。或许在未来的某一天里,铁窗里的他还会想起很多年前,敲下第一行代码时振奋、纯粹的自己。新闻来源:新浪财经:《全国首个比特币勒索病毒制作者落网:曾迫使一上市公司停工3天》南通公安微信公众号:《全国首个比特币勒索病毒制作者落网!南通破获特大制作使用病毒实施敲诈勒索案》本文来自微信公众号:HyperAI超神经(ID:HyperAI),作者:神经小兮本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com如对本稿件有异议或投诉,请联系tougao@huxiu.com正在改变与想要改变世界的人,都在 虎嗅APP
Copyright ©
虎嗅网 京ICP备12013432号-1
京公网安备 11010502037938号
深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?-虎嗅网
深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?-虎嗅网
资讯
24小时
源流
视频
妙投虎嗅智库
投稿
2017-05-14 14:33
深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?Xtecher关注题图来自美剧《Mr. Robot》。5月12号,WanaCrypt0r2.0勒索软件攻击全球Windows漏洞 ,截止目前,已有七十多个国家的政府、高校、医院等机构被攻陷。此事仍在进一步发酵,而目前对于被感染的系统、文件似乎没有任何破解的方法,全球数十亿用户安全,竟被一位躲在暗处的人玩弄于鼓掌之中。为此,Xtecher第一时间采访了华为高级安全专家娄伟峰、威客安全CEO陈新龙、360安全首席工程师郑文彬、青莲云CEO董方、长亭科技CEO陈宇森、杰思安全CEO刘春华、阿里云技术专家、网络安全专家刘博士、招股科技CTO程超等众多国内一线安全领域专家,以理清此事来龙去脉。采访|小生生、dude、Cedain作者|小生生、dude、又田编辑|甲小姐网址|www.xtecher.com微信公众号ID|Xtecher大恐慌!5月12日,一个黑客坐在电脑前,轻轻按下了Enter键。这个看似无足轻重的动作,掀起了全球七十多个国家、数十亿用户对网络安全的恐慌。当晚,WanaCrypt0r2.0(以下简称Wcry2.0)勒索软件在全球爆发。在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。目前,该勒索病毒的攻击已经扩散到全球74个国家,包括美国、英国、中国、西班牙、俄罗斯等。此次被攻击的对象包括政府、医院、公安局以及各大高校等机构和个人。黑客要求每个被攻击者支付赎金后方能解密恢复文件,而此次的赎金方式使用了当下最为火热的产品比特币,勒索金额最高达5个比特币,价值人民币5万多元。国内最早的防病毒厂商kill公司技术总监、江民公司原技术总监、现华为高级安全专家娄伟峰告诉Xtecher:“从技术上讲,这不算是一次黑客攻击,而是一次大面积的以经济为目的勒索软件传播事件。此次大规模传播的Onion、WNCRY勒索软件是‘永恒之蓝’勒索软件的病毒变种,但恰这类并非新技术的病毒,反而能肆虐蔓延、短短时间内侵袭各大机构,经济损失截至目前已达数十亿。”网络安全专家刘博士告诉Xtecher:“本质上病毒要想获得访问权限、突破访问控制,操作系统会通过防火墙等做访问限制,但如果系统有安全漏洞可以被利用,就有可能突破。Windows被感染的几个版本恰好有漏洞可被利用。”360安全首席工程师郑文彬告诉Xtecher:“中国此次遭受攻击的主要是教育网用户。上个月360针对该端口漏洞发出预警,并推出了免疫工具,微软此前也已发布相关漏洞补丁。但许多教育网并未对此漏洞做出修复,以至于沦为重灾区。”为何教育网、公安局、医院等机构沦为重灾区?郑文彬认为,这类机构多使用内网、较少与外界接触,以至于在防范意识上存在疏漏。而另一方面,这些机构并不能保证完全隔绝互联网,一旦被病毒扫描,则同样会中毒——而只需一台电脑被扫描,便会像人类感染病毒一般传染到其它电脑。青莲云CEO董方告诉Xtecher:“学校使用教育网,教育网是专网,其特点为,学校的某一个网站被攻击以后,会在专网中迅速传播,且教育网防护的等级不是很高,导致学校成为重灾区。”此外,本次被病毒感染的多是Windows系统,而苹果、安卓侥幸免于灾难。长亭科技CEO陈宇森告诉Xtecher:“这与系统优劣并无关系。此次攻击是利用Windows漏洞进行,对其主机/服务器运行在 445 端口的 SMB 服务进行攻击,所以中招的都是Windows系统。微软官方3月份陆续发布不同版本的系统补丁,就在13号下午,还专门针对XP和2003系统发布了特别补丁。”不过华为云安全负责人娄伟峰认为,从经济利益的角度看,微软的用户远大于苹果的用户,因此成了被攻击的原因之一。“这是微软十年来出现的较为重大的事件,4月15号微软已发出预警,但可能预警发方式太偏技术,以至大家没看懂被攻击的后果是什么。” 青莲云CEO董方告诉Xtecher。那么,这样一次攻击范围波及全球,涉及金融、医疗、铁路、能源、教育系统等终端的病毒,究竟从何而来? 病毒从何而来?此次“永恒之蓝” 变异的勒索蠕虫,是NSA网络军火民用化的全球第一例。早在4月14日,自称“影子经纪人”(Shadow Brokers)的黑客团体泄露出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,可以覆盖全球70% 的Windows 服务器,影响程度极其巨大,但国内诸多政府、高校等机构并没有引起足够的重视。华为高级安全专家娄伟峰告诉Xtecher:“影子经纪人” (Shadow Brokers)攻破了NSA(美国国家安全局)网络,拿到其中一个叫“方程式”的黑客组织的大量军用级别黑客工具,ShadowBrokers将其中一个黑客工具做成“永恒之蓝”,而这次的勒索软件正是“永恒之蓝”的变种。而据360安全首席工程师郑文彬猜测,之前美国军方使用黑客技术攻击中东银行,而此前美国政府对叙利亚进行轰炸,导致了黑客的不满,继而盗出此技术,以示威胁。黑客使用勒索软件由来已久,但大多数病毒软件勒索的赎金都是法币、电子汇款、预付卡等手段收取。但这次病毒勒索事件,黑客似乎蹭了比特币热点。为何使用比特币作为赎金?深圳招股科技联合创始人程超告诉Xtecher:比特币作为一种匿名转账的数字资产,其匿名特性成为黑客首要看重的特性。比特币地址是一串英文字符乱码,不绑定任何用户信息,所以单纯从比特币地址无法追踪到用户信息,这让黑客可以更简单地规避追捕和监管。而网上不少观点认为后续黑客有可能放弃大额勒索,因为一旦大量比特币流入该黑客账户,有可能导致其行为轨迹被追踪。然而,360安全首席工程师郑文彬表示,基于比特币的勒索,很难查找踪迹,要想抓到黑客几乎不可能。事件发生后,网络热议,认为比特币不可追踪性、隐蔽性,给了黑客团伙提供了一个便捷作案工具。这件事是否要怪比特币?程超认为,本次勒索事件,比特币背了一个黑锅——即便没有比特币,黑客也会使用其它币种。当然,比特币也确实存在缺乏监管的问题,如果比特币交易所加强身份信息审核,将会增加黑客变现难度。当然,一旦比特币使用实名制,黑客也会寻找其他虚拟货币作为赎金。威客安全CEO陈新龙告诉Xtecher:虽然可以查到比特币流通的钱包信息,但是钱包信息是匿名的,因此无法追踪这个钱包属于谁。理论上来讲,可以通过技术手段找到钱包背后的人,但极为困难,目前仅是理论阶段。当然,比特币,作为一个新事物,不应该游离于法外之地,应辅以适当监管,保证行业稳定有序发展。2017年6月,中国将会出台比特币监管相关法律,或将在一定程度上让比特币免背黑锅。无论将来比特币如何接受监管,就目前而言,眼下人们似乎更为关心自己被病毒加密的文件该如何处理。亡羊补牢:预防为主NSA作为美国政府机构中最大的情报部门,在美国大片中,该部门似乎无所不能,但目前似乎尚未拿出对策,更遑论我等普通大众。网络安全专家刘博士告诉Xtecher:普通小白用户除了按照推荐设置开启系统防火墙、打开系统更新、安装杀毒软件、不访问可疑网络内容、小心使用可插拔存储之外,似乎没什么可做的。威客安全CEO陈新龙认为,高手在民间,不会只能束手就擒,大众要做的是保护好自己的个人财产安全,资金分类,分形态存放。那么,对于被勒索软件加密的文件该如何处理?杰思安全创始人刘春华表示,一旦文档被加密,如果黑客不提供解密的密码,则无法解密文档。所以,那些高校在写论文的孩子们,请老老实实重新写一遍!当然也可选择给对方发去赎金,不过黑客很有可能会撕票。当然,一个重要的破解信息或许已经出现。目前,网络上爆出已有专家查找出一个异常域名,网络安全专家注册该域名后,如果病毒能成功访问这个域名,就会停止攻击。这个异常域名是:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 对此,娄伟峰表示:由于不知道消息出处,消息并不靠谱,具体以病毒产商样本分析为主。威客CEO陈新龙表示,域名确实是一个重要的破解信息,如果无法与域名通讯,还是会被感染。且后续病毒可能有新的变种,攻击甚至更猛烈,只是互联网上的传播被遏制,如果域名被劫持,还会继续破坏。360安全首席工程师郑文彬表示,这件事情,敲响了大众“做好备份”的警钟。不过,即便有备份,也不一定百分百安全,尤其是对高校、政府等机构。陈新龙告诉Xtecher:对于此次攻击,即便政府有备份,但多数是离线备份,实时的业务数据一旦故障就无法更新,公共信息的服务基本都是动态的,所以大家误以为不能使用。此外,触发备份任务时,会涉及网络链接,许多备份策略基于445端口,因此源文件及备份文件会一并感染。当然,如果早期就打好补丁,做好预防,这次就可以幸免于难。互联网安全攻防,就像人类对于病菌的攻防,华为高级安全专家娄伟峰给出了一些建议:对于Onion、WNCRY这类混合型病毒的威胁,可通过访问控制手段,如防火墙,限制135、445等高位端口对内访问。通过邮件安全网管、WEB防火墙,严格过滤从互联网到内网的一切传播手段和邮件附件,彻底切断传播途径;通过沙箱工具进行启发式深度检测,比如使用华为的Firehunter来对未知威胁乃至APT进行深度检测,监控传染源,及时切断病毒传播,再在核心交换,接入交换机上屏蔽掉一切高危端口;最后,要有统一的终端安全工具,在终端上再次屏蔽高危的端口访问,并通过统一的补丁管理,及时打上最新的针对于MS17-010的补丁,通过纵深防御、层级联动的方式实现企业级安全的立体防护。静观其变1983年,凯文米特尼克因被发现使用一台大学内部电脑,擅自进入Internet的前身ARPA网,并通过该网入侵美国五角大楼电脑,而被判管教6个月。这一事件成为黑客攻击的开山之作。更可怕的是,黑客攻击手段曾出不穷:80年代的主流攻击方式是密码猜测、破解等;90年代是会话劫持、后门入侵等;2010年左右主要是远程控制、DDoS攻击、SQL注入等;2010年后主要是APT攻击、移动终端、云攻击等。杰思安全创始人刘春华表示:全世界黑客这两年的收益,是过去的5到10倍。黑客行为的逐利性带来黑产的异常活跃,各种黑客势力分工明确,形成完整合作链条,攻击目标和手段更加精准。在这种表面上的平静之中,以窃密、预制为目的的APT攻击,则由于其是高度隐秘的、难以为IT管理者感知到的攻击,始终未能得到足够的重视。没有引起足够的重视,或许也是导致本次全球大范围网络遭受攻击的原因。而对于此事后续发展状态如何,360安全首席工程师郑文彬认为“还很难预测”,只能等待黑客的下一步动作。互联网正从PC时代走向移动时代,手机也将同样面临巨大的安全考验。刘春华表示,未来移动智能终端安全将涉及各个方面,安全问题遵循“木桶效应”,解决一部分问题,不代表移动终端安全问题就得到了解决。移动安全是一个生态圈,需大家共同努力,只有企业、应用市场、终端厂商、个人用户各方一起携手提高安全意识,才能最终建立并不断优化移动智能终端的安全生态链。此外,业务应用云端化,带来了新一轮生产效率的提高,云的出现,是一次IT业务模式的重大变革,也让为其提供支撑保障的安全体系,面临着新的挑战。除了云服务商提供一定的安全保障外,使用云端的客户更要有防范意识,而非将安全交于他人之手。道高一尺魔高一丈,网络没有绝对安全。威客安全CEO陈新龙认为,日后通过加密进行勒索的方式会层出不穷,取消隐蔽支付与变现,是遏制这类事件发生的关键,安全防御能力的自动化防御将是趋势。人工反应速度无法赶上机器传播速度,这次事件各个国家将高度重视,带来的世界级的影响也将给各类人群敲响警钟,网络安全战略将走向一个新高度。尾注:本文特别感谢所有嘉宾在周末夜晚第一时间响应了Xtecher的访问!本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com如对本稿件有异议或投诉,请联系tougao@huxiu.com正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏
开启赞赏
支持一下
修改
确定
Copyright ©
虎嗅网 京ICP备12013432号-1
京公网安备 11010502037938号