WannaCry 恶意软件如何工作?

勒索软件已成为对企业最严重的网络威胁之一,它越来越受欢迎,它带来了财务损失、企业不稳定和声誉受损的危险。这种恶意软件采用复杂的加密算法,对计算机上的所有文件进行加密,并在提供解密密钥之前阻止它们被访问。设备屏幕上会显示一条赎金消息,要求受害者支付特定金额(通常是比特币加密货币)以换取万能钥匙(不确定恶意黑客是否信守承诺)。WannaCry 勒索软件是 2017 年有史以来最具灾难性的网络攻击之一。

仅在一天之内,它就席卷全球,关闭了世界各地的关键系统,并感染了 150 多个国家的 230,000 多台机器。我们将在下面讨论攻击及其工作原理。

什么是想哭?

WannaCry 是一种勒索软件攻击,于 2017 年春季首次浮出水面,并将勒索软件的概念推向公众。由于全球攻击,许多系统被禁用,包括支持医院和执法办公室的公共服务网络。WannaCry 已被专家鉴定为加密蠕虫。安全社区回复了“终止开关”并修复了有效阻止 WannaCry 感染机器的修复程序。

黑客利用了美国国家安全局之前在 WannaCry 攻击中使用的 EternalBlue。EternalBlue 利用微软的服务器消息块协议漏洞导致 WannaCry 传播。

尽管提供了软件修复程序,但未安装它的计算机仍然受到 WannaCry 勒索软件攻击。在 WannaCry 攻击有效结束几个月后,美国和英国等国家建议朝鲜资助 WannaCry 黑客。

WannaCry 很快成为勒索软件攻击的教科书示例,它加密文件数据并要求以比特币或无法追踪的货币支付赎金。WannaCry 的迅速和广泛传播证明了勒索软件的危险性,该攻击影响了全球超过 200,000 台机器,并造成数十亿美元的损失。

WannaCry 的工作

WannaCry 利用微软 SMBv1 网络资源共享协议中的一个缺陷来传播其恶意软件。攻击者可以利用该漏洞将特制数据包传输到端口 445 上的任何系统,该端口为 SMB 保留,接受来自公共 Internet 的数据。SMBv1 是一种已被淘汰的网络协议。

WannaCry 通过利用 EternalBlue 漏洞进行传播。攻击者首先扫描目标网络以查找接受 TCP 端口 445 上的流量的设备,这表明系统已设置为运行 SMB。端口扫描通常用于完成此操作。下一步是使用 SMBv1 连接到设备。

缓冲区溢出用于控制目标系统并在建立连接时安装攻击的勒索软件组件。一旦机器被感染,WannaCry 蠕虫就会传播到其他未打补丁的设备,而无需人工干预。据安全分析师称,即使受害者支付了赎金,勒索软件也没有立即解锁他们的计算机或解码他们的内容。相反,受害者不得不希望 WannaCry 的制造者通过互联网发送人质 PC 的解密密钥,这是一个完全手动的过程,存在一个重大缺陷:黑客无法知道谁支付了赎金。根据安全专家的说法,节省资金并重建受感染的系统是更明智的选择,因为受害者的文件被解密的可能性很小。

它是如何传播的?

WannaCry 的传播得益于一个名为 MS17-010 的 Windows 漏洞,该漏洞被黑客利用 EternalBlue 攻击加以利用。NSA 没有通知微软,而是发现了这个软件缺陷并构建了利用它的程序。该代码随后被一个名为 The Shadow Brokers 的神秘黑客组织破解并公开。微软得知 EternalBlue 并发布了补丁(修复漏洞的软件更新)。那些没有应用补丁的人(包括大多数人口)仍然暴露于永恒之蓝。

WannaCry 通过 SMBv1 攻击网络,SMBv1 是一种文件共享协议,允许 PC 与打印机和其他联网设备进行通信。WannaCry 是一种类似蠕虫的计算机病毒,可以跨网络传播。一旦安装在一台机器上,WannaCry 可以扫描网络以查找更多易受攻击的设备。它通过 EternalBlue 攻击渗透,然后使用 DoublePulsar 后门程序安装和执行。因此,它可以自行产生而无需人工接触或宿主文件或程序,从而将其定性为蠕虫而不是病毒。

WannaCry 是如何停止的?

据网络安全研究员 Marcus Hutchins 称,WannaCry 会在登陆机器后尝试访问特定的 URL。如果无法发现 URL,勒索软件将感染计算机并加密内容。Hutchins 注册了一个域名并用它来构建一个 DNS 沉洞,从而有效地杀死了 WannaCry。当黑客利用 Mirai 僵尸网络变体攻击他的 URL(尝试 DDoS 攻击以关闭 URL 并终止交换机)时,他忍受了焦虑的几天。

哈钦斯通过使用可以承受增加的流量水平的站点缓存版本来保护域,并且终止开关保持在原位。目前尚不清楚终止开关是偶然包含在 WannaCry 的代码中还是因为黑客打算阻止攻击。我应该支付赎金还是尝试恢复加密文件?

目前,加密文件的解密是不可能的,尽管赛门铁克研究人员正在研究它。有关详细信息,请参阅本文。如果您有备份副本,您可能能够恢复受影响的文件。赛门铁克建议不要支付赎金。

如果没有备份,有时可以检索文件。保存在桌面、我的文档或便携式驱动器上的文件的原始副本被删除和加密,无法取回它们。计算机硬盘驱动器上的文件被加密,其原始版本被擦除。这表明可以使用取消删除工具来恢复它们。

支付赎金的程序是什么?

WannaCry 的肇事者希望以比特币支付赎金。WannacCy 为每台受感染的计算机生成一个唯一的比特币钱包地址,但由于竞争条件问题,此代码无法成功执行。WannaCry 然后使用三个硬编码的比特币地址作为其默认支付方式。由于攻击者无法确定哪些受害者使用硬编码地址付款,因此受害者的文件不太可能被加密。

WannaCry 的攻击者通过发布解决该漏洞的新版本程序来回应,但它不如原来的成功。

后来,受感染的 PC 上出现了一条新消息,警告受害者如果支付赎金,他们的文件将被解密。

WannaCry 勒索软件仍然是威胁吗?

尽管微软在 2017 年 3 月 14 日(即 WannaCry 被发现前两个月)修补了 SMBv1 漏洞,但允许勒索软件快速传播的漏洞利用仍然对未修补和未受保护的计算机构成威胁。

恶意软件编写者利用 Microsoft 的 SMB 协议取得了很大成功,EternalBlue 是 2017 年 6 月毁灭性的 NotPetya 勒索软件爆发的关键组成部分。2017 年,与俄罗斯有关的 Fancy Bear 网络间谍团伙,也称为 Sednit、APT28 或Sofacy 利用该漏洞攻击欧洲酒店的 Wi-Fi 网络。该攻击也被确定为恶意加密矿工用来传播其代码的方法之一。由于攻击路线的根本转变和不断扩大的攻击面,WannaCry 仍然是一个威胁。这也是一个危险,因为许多企业不修复他们的系统。在 2021 年第一季度,Check Point Research 记录的受 WannaCry 攻击攻击的组织增加了 53%,而 2020 年第四季度和 2021 年第一季度勒索软件攻击增加了 57%。WannaCry 介绍了勒索软件和加密蠕虫的概念,它们是通过远程办公服务、云网络和网络端点传播的代码片段。要感染整个网络,勒索软件只需要一个接入点。然后它通过自我传播传播到其他设备和系统。自最初的 WannaCry 攻击以来,已经出现了更复杂的勒索软件变体。传统的勒索软件攻击需要与其控制器定期连接,正在被这些新品种的自动化、自学策略所取代。然后它通过自我传播传播到其他设备和系统。自最初的 WannaCry 攻击以来,已经出现了更复杂的勒索软件变体。传统的勒索软件攻击需要与其控制器定期连接,正在被这些新品种的自动化、自学策略所取代。然后它通过自我传播传播到其他设备和系统。自最初的 WannaCry 攻击以来,已经出现了更复杂的勒索软件变体。传统的勒索软件攻击需要与其控制器定期连接,正在被这些新品种的自动化、自学策略所取代。

WannaCry 和其他勒索软件:如何保护自己?

  • 确保您的软件是最新的:尽管 Microsoft 为 EternalBlue 漏洞发布了补丁,但仍有数百万人未能安装它。如果他们升级了 WannaCry 可能无法感染他们。因此,让所有软件保持最新状态至关重要。使您的安全软件保持最新也很重要。

  • 谨慎打开来自未知发件人的电子邮件:那里有很多骗局,网络犯罪分子最流行的分发方式是通过电子邮件。应不惜一切代价避免来自未知发件人的电子邮件,尤其应避免单击任何链接或下载任何文件,除非您确信它们是真实的。

  • 应不惜一切代价避免任何指示您激活宏以阅读其内容的 Microsoft Office 电子邮件附件。除非您确信这是一封来自可靠来源的实际电子邮件,否则请勿激活宏。相反,请立即删除电子邮件。

  • 对抗勒索软件攻击的最有效策略是备份关键数据。通过加密有价值的文件并使它们无法访问,攻击者可以控制他们的受害者。如果受害者有他们文件的备份副本,他们可以在删除病毒后恢复它们。但是,组织应确保备份得到适当的保护或离线存储,以防止入侵者删除它们。

  • 由于许多云服务保留了以前版本的信息,因此如果您使用它们,您可能能够将文件恢复到未加密状态。

以上是 WannaCry 恶意软件如何工作? 的全部内容, 来源链接: utcz.com/z/297473.html

回到顶部