数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
时尚研究
法律研究WannaCry 恶意软件的工作原理是什么?
勒索软件已成为对企业最严重的网络威胁之一,因为它可能导致经济损失、企业不稳定和声誉受损。这种恶意软件使用复杂的加密算法来加密计算机上的所有文件,并在提供解密密钥之前阻止访问这些文件。设备屏幕上会显示一条勒索信息,要求受害者支付特定金额的钱(通常以比特币加密货币支付)以换取密钥(恶意黑客是否会信守承诺没有保证)。WannaCry 勒索软件是 2017 年发生的最灾难性的网络攻击之一。
它仅用一天时间就席卷全球,关闭了全球的关键系统,并感染了 150 多个国家的 230,000 多台机器。我们将在下面讨论这次攻击及其工作原理。
什么是 WannaCry?
WannaCry 是一种勒索软件攻击,首次出现在 2017 年春季,并将勒索软件的概念推向了公众视野。由于全球性攻击,许多系统被禁用,包括支持医院和执法机构的公共服务网络。专家将 WannaCry 识别为一种加密蠕虫。安全界做出了回应,提供了一个“终止开关”和修复程序,有效地阻止了 WannaCry 感染机器。
黑客在 WannaCry 攻击中使用了美国国家安全局之前使用的 EternalBlue。EternalBlue 通过利用微软服务器消息块协议中的漏洞导致 WannaCry 传播。
尽管提供了软件修复程序,但未安装该修复程序的计算机仍然容易受到 WannaCry 勒索软件攻击。在 WannaCry 攻击有效结束几个月后,美国和英国等国家表示,朝鲜资助了 WannaCry 黑客。
WannaCry 迅速成为勒索软件攻击的典型案例,它会加密文件数据并要求以比特币或无法追踪的货币支付赎金。WannaCry 快速而广泛的传播表明勒索软件的危险性,这次攻击影响了全球超过 200,000 台机器,并造成数十亿美元的损失。
WannaCry 的工作原理
WannaCry 利用微软 SMBv1 网络资源共享协议中的漏洞来传播其恶意软件。攻击者可以使用此漏洞将特制的包传输到任何在端口 445(保留用于 SMB)上接受来自公共互联网数据的系统。SMBv1 是一种已被淘汰的网络协议。
WannaCry 通过利用 EternalBlue 漏洞进行传播。攻击者首先扫描目标网络,查找在 TCP 端口 445 上接受流量的设备,这表明该系统已设置为运行 SMB。通常使用端口扫描来实现此目的。下一步是使用 SMBv1 连接到该设备。
当建立连接时,会使用缓冲区溢出获取对目标系统的控制权并安装攻击的勒索软件组件。一旦机器被感染,WannaCry 蠕虫就会传播到其他未修补的设备,而无需人工干预。据安全分析师称,即使受害者支付了赎金,勒索软件也不会立即解锁他们的计算机或解密其内容。相反,受害者必须寄希望于 WannaCry 的制造者通过互联网发送人质 PC 的解密密钥,这是一个完全手动且存在重大缺陷的过程:黑客无法知道谁支付了赎金。据安全专家称,因为受害者文件被解密的可能性很小,所以节省资金并重建受损系统是更明智的选择。
它是如何传播的?
WannaCry 的传播得益于 Windows 中的一个名为 MS17-010 的漏洞,黑客利用 EternalBlue 攻击利用了该漏洞。NSA 发现了此软件漏洞并创建了利用该漏洞的程序,而不是通知微软。然后,一个名为“影子经纪人”的神秘黑客组织入侵了此代码并将其公开。微软了解了 EternalBlue 并发布了补丁(修复漏洞的软件更新)。那些没有应用补丁的人(包括大多数人)仍然容易受到 EternalBlue 的攻击。
WannaCry 通过 SMBv1 攻击网络,SMBv1 是一种文件共享协议,允许 PC 与打印机和其他网络设备通信。WannaCry 是一种类似蠕虫的计算机病毒,可以在网络中传播。WannaCry 安装在一台机器上后,可以扫描网络以查找更多易受攻击的设备。它通过 EternalBlue 攻击渗透,然后使用 DoublePulsar 后门程序安装和执行。因此,它可以在不需要人工干预或主机文件或程序的情况下自行复制,这使其成为蠕虫而不是病毒。
WannaCry 是如何被阻止的?
据网络安全研究员 Marcus Hutchins 称,WannaCry 会在登陆机器后尝试访问特定 URL。如果找不到该 URL,勒索软件就会感染计算机并加密其内容。Hutchins 注册了一个域名,并使用它构建了一个 DNS 陷井,有效地终止了 WannaCry。当黑客利用 Mirai botnet 变体来攻击他的 URL(试图进行 DDoS 攻击以使 URL 瘫痪并关闭开关)时,他经历了几天焦虑的时光。
Hutchins 通过使用缓存版本的站点(可以承受更高的流量水平)来保护该域名,并且终止开关仍然有效。目前尚不清楚终止开关是偶然包含在 WannaCry 代码中还是黑客有意停止攻击。我应该支付赎金还是尝试恢复加密文件?
目前,无法解密加密文件,尽管 Symantec 研究人员正在研究此问题。有关更多信息,请参阅本文。如果您有备份副本,则可能能够恢复受影响的文件。Symantec 建议不要支付赎金。
如果没有备份,有时可以检索文件。保存在桌面、我的文档或便携式驱动器上的文件的原始副本将被删除并加密,无法恢复。计算机硬盘驱动器上的文件被加密,其原始版本被擦除。这意味着可以使用撤消删除工具来恢复它们。
支付赎金的流程是什么?
WannaCry 的制造者希望赎金以比特币支付。WannacCy 为每台受感染的计算机生成一个唯一的比特币钱包地址,但由于竞争条件问题,此代码无法成功执行。然后,WannaCry 使用三个硬编码的比特币地址作为其默认付款方式。由于攻击者无法确定哪些受害者使用硬编码地址付款,因此受害者的文件不太可能被加密。
WannaCry 的攻击者通过发布解决该缺陷的程序的新版本做出了回应,但它不如原始版本成功。
后来,受感染的 PC 上出现了一条新消息,警告受害者如果支付赎金,他们的文件将被解密。
WannaCry 勒索软件仍然是一种威胁吗?
尽管微软在 2017 年 3 月 14 日(即发现 WannaCry 之前两个月)修补了 SMBv1 漏洞,但允许勒索软件快速传播的漏洞仍然对未修补和未受保护的计算机构成威胁。
恶意软件编写者在利用微软的 SMB 协议方面取得了很大成功,EternalBlue 是 2017 年 6 月破坏性 NotPetya 勒索软件爆发的重要组成部分。2017 年,与俄罗斯有关的 Fancy Bear 网络间谍组织(也称为 Sednit、APT28 或 Sofacy)利用该漏洞攻击了欧洲酒店的 Wi-Fi 网络。该攻击也被确定为恶意加密货币矿工用来传播其代码的方法之一。由于攻击途径的根本转变和不断扩大的攻击面,WannaCry 仍然是一种威胁。它也是一种危险,因为许多企业没有修复其系统。在 2021 年第一季度,Check Point Research 记录了遭受 WannaCry 攻击的组织数量增加了 53%,而 2020 年第四季度和 2021 年第一季度勒索软件攻击数量增加了 57%。WannaCry 引入了勒索软件和加密蠕虫的概念,它们是通过远程办公服务、云网络和网络端点传播的代码片段。要感染整个网络,勒索软件只需要一个接入点。然后,它通过自我复制传播到其他设备和系统。自最初的 WannaCry 攻击以来,已经出现了更复杂的勒索软件变体。在这些新变体中,需要定期与其控制器连接的传统勒索软件攻击正被自动化、自学习策略所取代。
WannaCry 和其他勒索软件:如何保护自己?
确保您的软件是最新的:尽管微软发布了 EternalBlue 漏洞的补丁,但数百万人未能安装它。如果他们进行了升级,WannaCry 可能无法感染他们。因此,务必使所有软件保持最新状态。保持安全软件更新也很重要。
谨慎打开来自未知发件人的电子邮件:有很多诈骗行为,网络犯罪分子最常用的分发方式是通过电子邮件。应避免打开来自未知发件人的电子邮件,尤其应避免点击任何链接或下载任何文件,除非您确信它们是真实的。
任何指示您激活宏以读取其内容的 Microsoft Office 电子邮件附件都应避免。除非您确信这是来自信誉良好的来源的真实电子邮件,否则请勿激活宏。相反,请立即删除该电子邮件。
对抗勒索软件攻击最有效的策略是备份关键数据。攻击者通过加密有价值的文件并使其无法访问来控制受害者。如果受害者拥有其文件的备份副本,则可以在删除病毒后恢复它们。但是,组织应确保备份得到适当保护或脱机存储,以防止入侵者删除它们。
由于许多云服务会保留信息的先前版本,因此如果您使用它们,则可能能够将文件恢复到未加密状态。
427 次查看
