从5月12日起,毒霸安全中心监测到Onion、WNCRY两类敲诈者病毒变种在全国大范围内出现爆发态势,与以往不同的是,此类新变种添加了NSA黑客工具包中的“永恒之蓝”0day漏洞利用,通过端口(文件共享)在内网进行蠕虫式感染传播,没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染,所以目前感染用户主要集中在企业、高校等内网环境下。
一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密并勒索高额的比特币赎金(折合人民币~不等)。
勒索病毒是什么?
勒索病毒,英文名“OnionorWNCRY”。该类病毒会自动的加密用户在电脑硬盘中的各类文件,或者锁住用户电脑。由于采用了高强度加密AES或RSA算法方式,没有病毒作者手中的密钥,就无法进行被加密文件的解密操作,受害者不得不为此而交付赎金。被加密的文件类型包括:文档、图片、音频视频、压缩等文件
为什么会感染?
本次大规模传播的病毒不仅变种优化,而且利用了NSA(美国国家安全局)黑客工具中的“永恒之蓝”0day漏洞,通过共享端口在内网进行传播。所以主要感染用户集中在企业和高校等内网环境中。如果你没有安装杀毒软件,或者更新系统补丁,也容易被动感染。
为什么使用比特币?
比特币最早是一种网络虚拟货币,目前已经兑换成大多数国家的货币,也可以使用比特币购买现实生活当中的物品。其特点是匿名,只能在数字世界使用,所以比特币的交易难以追踪。而制作和传播这种勒索者病毒的的不法分子正是看中比特币这个特点,用它做“赎金”可避免执法人员追踪和查处。
敲诈者类病毒的危害
受害者需要在96小时内支付指定比特币赎金,否则文件将永久无法打开。可是在国内就算中招者想要使用比特币来支付赎金,也会遇到一系列的困难。病毒作者正是利用了比特币的匿名性来逃避警方的追查。
图1敲诈者病毒
文件被加密了不会解密么?该病毒可不是那种采用虚假隐藏目录来加密”文件的病毒,而是采用随机生成KEY的模式,对用户文件ZLIB压缩之后进行了AES加密,有专家呈针对AES的攻击是异常复杂的,使用现有技术不可能轻易做到,事实上要想完全破解AES,花费的时间要以数十亿年计。
正因为这些被恶意加密的文件,不少企业甚至个人都不得不与病毒作者进行交易。有的甚至因为无法支付赎金而导致了文件的无法恢复,给企业与个人带来了巨大的损失。
除了CTB-Locker这个敲诈者病毒外,还有另一种比较温柔一些的VirLock,同样为敲诈类病毒,主要通过伪装成EXE文件迷惑用户,病毒会感染DOC、XLS、PDF、PPT、PNG、GIF、BMP、PSD、JPG、MP3、MPG、RAR、ZIP文件,将其变成EXE文件,被感染文件比原始文件扩大kB左右,并且原文件的版本信息会丢失。
用户运行被感染文件后就会中招,硬盘中的文件会被锁定,并弹出提示框,提示用户付费(0.71BTC,约合人民币元)恢复被感染文件,黑客以此向用户实施敲诈。不过被VirLock感染的文件已经可以被某些杀毒软件推出的专杀工具所恢复。
图VirLock(图片来源)
敲诈者类的病毒,操作系统中如果中了该病毒的话,就会导致硬盘里的所有文档、图片文件及压缩包等等的文件遭到病毒的高强度加密,如果你想要取回这些文档,目前只有一个办法,那就是交赎金。
从防范敲诈者病毒说起来看看老生常谈的基本的防病毒措施
既然还没有能够破解它的方法,那么我们就只能在防范上边想想办法了。
接下来让点妹为大家科普一下如何防范这类病毒吧。
防范措施一邮件附件很危险
目前,敲诈者病毒主要通过电子邮件来进行传播,那么防范的第一要素就是不要轻易的打开陌生人发来的邮件附件及邮件里的链接,当然就算熟悉的人给你发来的邮件,如果没有特别的说明,也不要轻易打开。要知道,不仅仅是敲诈者病毒会通过电子邮件来传播,还有N多的病毒木马也会通过它来传播,并且利用感染者的邮箱来发送病毒邮件到用户的联系人中。
图3不要轻易打开邮件附件
而因为浏览网页而让系统感染上病毒的情况也不少见,这是因为用户浏览了一个被挂上了病毒木马的网页,而相关的病毒木马根据漏洞而入侵用户的电脑。这也就是上边所说的不要轻易的点击电子邮件里边的链接的原因。除了不要随便浏览未知网站外,最重要防范措施就是为你的系统打好补丁(WindowsUpdate)和使用新版的浏览器。
图4WindowsUpdate你开启了自动更新么
移动存储器也是一个重要的病毒木马传播途径,关闭系统的自动播放功能,可以帮助你防范病毒木马通过移动存储器的自动播放功能而感染你的操作系统。
具体步骤:运行(win+r键)→gpedit.msc→计算机配置→管理模板→Windows组件→自动播放策略→关闭自动播放→已启用→全部驱动器→确定。
图5关闭自动播放
防范措施二扩展名称仔细辨别
千万不要以貌取人,到了电脑上就是不要以文件图标来辨别文件类型。看了看文件图标,嗯,这个是PDF文档,那个是TXT文档,打开肯定不会感染病毒的,放心大胆的打开了看看是什么来的。
图6放心大胆的打开?
要知道,把自己伪装成正常的文档是病毒木马的基本功,把自己的图标伪装成TXT文档,伪装成JPG图片文档,那对于病毒木马的作者来说是轻而易举的。辨别文件不能只看图标,还得查看它的扩展名。前一阵子不是出现了淘宝店客服因为打开了客户发来的图像”文件而中了木马导致帐号金钱被盗的事件么。
如上边的文件,只需要用户显示了它们的扩展名,就能一眼看出它们不是普通文档,而是可执行文件,问题是Windows默认不显示文件扩展名。常见的可执行文件扩展名有*.exe/*.bat/*.福建白癜风医院复方斑蝥胶囊价格大概是多少
