详解让乌克兰总理都“呜咽”的勒索病毒,你到底要不要怕

作者:admin  来源:未知

详解让乌克兰总理都“哭泣”的勒索病毒,你到底要不要怕

原题目:详解让乌克兰总理都“呜咽”的勒索病毒,你到底要不要怕

北京时光 6 月 27 日晚间,欧洲受到新一轮的未知病毒的冲击,该病毒传播方式与今年 5 月暴发的 WannaCry 病毒十分相似。

据雷锋网宅客频道懂得,受影响最重大的国度是乌克兰,而且已经有海内企业中招,辉煌娱乐城。此外,俄罗斯(俄罗斯石油公司 Rosneft)、西班牙、法国、英国(寰球最大广告公司 WPP )、丹麦(航运巨头 AP Moller-Maersk)、印度、美国(律师事务所 DLA Piper)也受到不同水平的影响。

此前,国内的安全公司已确认该勒索病毒为 Petya 的变种,传播方式与 WannaCry 相似,利用 EternalBlue(永恒之蓝)和 OFFICE OLE 机制漏洞(CVE-2017-0199)进行传播。

不外,卡巴斯基试验室的剖析职员表现,这种最新的要挟并不是之前报道中所称的是一种 Petya 勒索软件的变种,而是一种之前从未见过的全新勒索软件。只管这种勒索软件同 Petya 在字符串上有所类似,但功效却完整不同,并将其命名为 ExPetr 。

传播方式

360 首席安全工程师郑文彬称,此次最新爆发的病毒具备了全主动化的攻击才能,即便电脑打齐补丁,也可能被内网其他机器渗入渗出感染。

根据 360 的威逼情报,有用户收到带有附件名为:“Order-20061017.doc“的邮件,该邮件附件为使用 CVE-2017-0199 漏洞的恶意文件,漏洞触发后从“http ://french-cooking.com/myguy.exe”下载歹意程序履行。外部威胁情报显示,该勒索软件就是由此恶意程序最早传播。

据分析,病毒作者很可能入侵了乌克兰的专用会计软件 me-doc,来进行最开端的传播。他们将病毒程序伪装成 me-doc 的进级程序给其用户下发。

因为这是乌克兰官方请求的报税软件,因而乌克兰的大批基本设施、政府、银行、大型企业都受到袭击,其余国家同乌克兰有关系的投资者跟企业也收到攻打,这展现了此次勒索病毒变种的一个针对性特点,针对有报税需要的企业单位进行攻击也合乎勒索病毒的牟利特色。

依据 360 保险核心监测,此次国内呈现的勒索病毒新变种重要攻击道路是内网浸透,也就是利用“治理员共享”功能攻击内网其他机器,相比已经被普遍器重的“永恒之蓝”漏洞更具杀伤力。

技巧原理

据阿里云安全专家先容,勒索病毒通过 Windows 漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。而这种勒索病毒在内网系统中,主要通过主要通过 Windows 管理系统构造(Microsoft Windows Management Instrumentation),和 PSEXEC(SMB 协定)进行扩散。

该病毒会加密磁盘主引诱记载(MBR),导致系统被锁逝世无法正常启动,而后在电脑屏幕上显示勒索提醒。如果未能胜利损坏 MBR,病毒会进一步加密文档、视频等磁盘文件,辉煌娱乐城

阿里云在对病毒样本进行研讨后发明,操作体系被感染后,从新启动时会造成无奈进入系统。下图显示的就是病毒假装的磁盘扫描程序。

而该病毒对勒索对象的加密,可以分为以下 7 个步骤:

根据安天方面的新闻,该病毒的勒索模块实际上是一个 DLL 文件,该文件被加载后遍历用户磁盘文件(除 C:\Windows 目录下),并对指定后缀名的文件进行加密,加密后不修改原文件名和扩大名。该文件修正 MBR,同时,增加打算义务,辉煌娱乐城,在等候一段时间后,封闭计算机。当用户开启盘算机时,会显示勒索界面和信息并无法进入系统。

与 WannaCry 的差别

据雷锋网宅客频道了解,这次的新型勒索病毒变种,是利用系列漏洞进行传播的新勒索病毒家族。与 5 月爆发的 WannaCry 相比,新型勒索病毒变种的传播速度更快。此次勒索病毒的主要特点有: 

  • 该勒索病毒应用了多种方式在内网进行攻击流传,包括使用了 NSA 的武器库中的永恒之蓝、永恒浪漫系列远程攻击兵器,以及应用内网共享的方法传布。因此不仅不及时修复 NSA 武器库破绽的用户会受影响,只有内网中有其他用户受到攻击,已经打了补丁的电脑也可能会受到攻击。

  • 此次的勒索病毒会导致电脑不可用。此前的 WannaCry 病毒仅会加密用户文件,然而用户的电脑仍临时可用。此次的勒索病毒会感染用户电脑的领导区,导致用户电脑无法畸形开机(强迫显示勒索信息)。

  • 此外,该勒索病毒加密的文件类型比拟 WannaCry 少,一共有65种,而 WannaCry 为 178 种(包含常见文件类型)。

解决计划

目前,网络管理员可通过监测相干域名/IP,拦阻病毒下载,统计内网感染散布:

84.200.16.242
111.90.139.247
185.165.29.78
111.90.139.247
95.141.115.108
COFFEINOFFICE.XYZ
french-cooking.com

此外,还能够通过如下要害 HASH 排查内网沾染情形:

415fe69bf32634ca98fa07633f4118e1
0487382a4daf8eb9660f1c67e30f8b25
a1d5895f85751dfe67d19cccb51b051a
71b6a493388e7d0b40c83ce903bc6b04

目前,包括 360、腾讯、阿里云、安天在内的各大平安厂商已经推出了初步的解决方案,详见雷锋网文章《应急指南|新一轮勒索病毒来袭,小白用户看这里》。

以下是针对受害者的初步倡议:

  • 目前勒索者使用的邮箱已经结束拜访,不提议支付赎金。

  • 所有在 IDC 托管或自建机房有服务器的企业,假如采取了 Windows 操作系统,即时装置微软补丁。

  • 安全补丁对个人用户来说绝对简略。只要自学装载,就能实现。

  • 对大型企业或组织机构,面对成千盈百台机器,最好仍是能使用客户端进行集中管理。

  • 牢靠的数据备份可以将勒索软件带来的丧失最小化。

详解让乌克兰总理都“哭泣”的勒索病毒,你到底要不要怕

原题目:详解让乌克兰总理都“呜咽”的勒索病毒,你到底要不要怕

北京时光 6 月 27 日晚间,欧洲受到新一轮的未知病毒的冲击,该病毒传播方式与今年 5 月暴发的 WannaCry 病毒十分相似。

据雷锋网宅客频道懂得,受影响最重大的国度是乌克兰,而且已经有海内企业中招,辉煌娱乐城。此外,俄罗斯(俄罗斯石油公司 Rosneft)、西班牙、法国、英国(寰球最大广告公司 WPP )、丹麦(航运巨头 AP Moller-Maersk)、印度、美国(律师事务所 DLA Piper)也受到不同水平的影响。

此前,国内的安全公司已确认该勒索病毒为 Petya 的变种,传播方式与 WannaCry 相似,利用 EternalBlue(永恒之蓝)和 OFFICE OLE 机制漏洞(CVE-2017-0199)进行传播。

不外,卡巴斯基试验室的剖析职员表现,这种最新的要挟并不是之前报道中所称的是一种 Petya 勒索软件的变种,而是一种之前从未见过的全新勒索软件。只管这种勒索软件同 Petya 在字符串上有所类似,但功效却完整不同,并将其命名为 ExPetr 。

传播方式

360 首席安全工程师郑文彬称,此次最新爆发的病毒具备了全主动化的攻击才能,即便电脑打齐补丁,也可能被内网其他机器渗入渗出感染。

根据 360 的威逼情报,有用户收到带有附件名为:“Order-20061017.doc“的邮件,该邮件附件为使用 CVE-2017-0199 漏洞的恶意文件,漏洞触发后从“http ://french-cooking.com/myguy.exe”下载歹意程序履行。外部威胁情报显示,该勒索软件就是由此恶意程序最早传播。

据分析,病毒作者很可能入侵了乌克兰的专用会计软件 me-doc,来进行最开端的传播。他们将病毒程序伪装成 me-doc 的进级程序给其用户下发。

因为这是乌克兰官方请求的报税软件,因而乌克兰的大批基本设施、政府、银行、大型企业都受到袭击,其余国家同乌克兰有关系的投资者跟企业也收到攻打,这展现了此次勒索病毒变种的一个针对性特点,针对有报税需要的企业单位进行攻击也合乎勒索病毒的牟利特色。

依据 360 保险核心监测,此次国内呈现的勒索病毒新变种重要攻击道路是内网浸透,也就是利用“治理员共享”功能攻击内网其他机器,相比已经被普遍器重的“永恒之蓝”漏洞更具杀伤力。

技巧原理

据阿里云安全专家先容,勒索病毒通过 Windows 漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。而这种勒索病毒在内网系统中,主要通过主要通过 Windows 管理系统构造(Microsoft Windows Management Instrumentation),和 PSEXEC(SMB 协定)进行扩散。

该病毒会加密磁盘主引诱记载(MBR),导致系统被锁逝世无法正常启动,而后在电脑屏幕上显示勒索提醒。如果未能胜利损坏 MBR,病毒会进一步加密文档、视频等磁盘文件,辉煌娱乐城

阿里云在对病毒样本进行研讨后发明,操作体系被感染后,从新启动时会造成无奈进入系统。下图显示的就是病毒假装的磁盘扫描程序。

而该病毒对勒索对象的加密,可以分为以下 7 个步骤:

根据安天方面的新闻,该病毒的勒索模块实际上是一个 DLL 文件,该文件被加载后遍历用户磁盘文件(除 C:\Windows 目录下),并对指定后缀名的文件进行加密,加密后不修改原文件名和扩大名。该文件修正 MBR,同时,增加打算义务,辉煌娱乐城,在等候一段时间后,封闭计算机。当用户开启盘算机时,会显示勒索界面和信息并无法进入系统。

与 WannaCry 的差别

据雷锋网宅客频道了解,这次的新型勒索病毒变种,是利用系列漏洞进行传播的新勒索病毒家族。与 5 月爆发的 WannaCry 相比,新型勒索病毒变种的传播速度更快。此次勒索病毒的主要特点有: 

  • 该勒索病毒应用了多种方式在内网进行攻击流传,包括使用了 NSA 的武器库中的永恒之蓝、永恒浪漫系列远程攻击兵器,以及应用内网共享的方法传布。因此不仅不及时修复 NSA 武器库破绽的用户会受影响,只有内网中有其他用户受到攻击,已经打了补丁的电脑也可能会受到攻击。

  • 此次的勒索病毒会导致电脑不可用。此前的 WannaCry 病毒仅会加密用户文件,然而用户的电脑仍临时可用。此次的勒索病毒会感染用户电脑的领导区,导致用户电脑无法畸形开机(强迫显示勒索信息)。

  • 此外,该勒索病毒加密的文件类型比拟 WannaCry 少,一共有65种,而 WannaCry 为 178 种(包含常见文件类型)。

解决计划

目前,网络管理员可通过监测相干域名/IP,拦阻病毒下载,统计内网感染散布:

84.200.16.242
111.90.139.247
185.165.29.78
111.90.139.247
95.141.115.108
COFFEINOFFICE.XYZ
french-cooking.com

此外,还能够通过如下要害 HASH 排查内网沾染情形:

415fe69bf32634ca98fa07633f4118e1
0487382a4daf8eb9660f1c67e30f8b25
a1d5895f85751dfe67d19cccb51b051a
71b6a493388e7d0b40c83ce903bc6b04

目前,包括 360、腾讯、阿里云、安天在内的各大平安厂商已经推出了初步的解决方案,详见雷锋网文章《应急指南|新一轮勒索病毒来袭,小白用户看这里》。

以下是针对受害者的初步倡议:

  • 目前勒索者使用的邮箱已经结束拜访,不提议支付赎金。

  • 所有在 IDC 托管或自建机房有服务器的企业,假如采取了 Windows 操作系统,即时装置微软补丁。

  • 安全补丁对个人用户来说绝对简略。只要自学装载,就能实现。

  • 对大型企业或组织机构,面对成千盈百台机器,最好仍是能使用客户端进行集中管理。

  • 牢靠的数据备份可以将勒索软件带来的丧失最小化。

文章关键字:www.am8.com

所属于栏目:辉煌国际官网

上一篇:还在等茅台涨到600元?价值派基金经理早卖了   下一篇:没有了

影像馆

pix pix pix