文档章节

重要通知|针对新一轮比特币勒索蠕虫病毒的安全建议。

_夜枫
 _夜枫
发布于 2017/06/28 14:08
字数 1089
阅读 20
收藏 0
点赞 0
评论 0

原文链接

 

6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球。

雷锋网报道,欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

image


阿里云安全团队第一时间拿到病毒样本,并进行了分析:

这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。

目前,该勒索蠕虫通过Windows漏洞进行传播,一台中招可能就会感染局域网内其它电脑。

一、Petya与WannaCry病毒的对比
1、加密目标文件类型

Petya加密的文件类型相比WannaCry少。

Petya加密的文件类型一共65种,WannaCry为178种,不过已经包括了常见文件类型。


2、支付赎金

Petya需要支付300美金,WannaCry需要支付600美金。

二、云用户是否受影响?
截止发稿,云上暂时未发现受影响用户。

6月28日凌晨,阿里云对外发布了公告预警。

image

 

三、勒索病毒传播方式分析
Petya勒索蠕虫通过Windows漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染Petya勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。

阿里云安全专家研究发现,Petya勒索病毒在内网系统中,主要通过Windows的协议进行横向移动。

主要通过Windows管理体系结构(Microsoft Windows Management Instrumentation),和PSEXEC(SMB协议)进行扩散。

截止到当前,黑客的比特币账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 个比特币(1比特币=2459美金),33笔交易,说明已经有用户支付了赎金。

四、技术和加密过程分析
阿里云安全专家对Petya样本进行研究后发现,操作系统被感染后,重新启动时会造成无法进入系统。如下图显示的为病毒伪装的磁盘扫描程序。

image


Petya病毒对勒索对象的加密,分为以下7个步骤:

image


首先,函数sub_10001EEF是加密操作的入口。遍历所有磁盘,对每个固定磁盘创建一个线程执行文件遍历和加密操作,线程参数是一个结构体,包含一个公钥和磁盘根路径。

image


然后,在线程函数(StartAddress)中,先获取密钥容器,

pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"

dwProvType=PROV_RSA_AES Provider为RSA_AES。


image


调用sub_10001B4E,通过CryptGenKey生成AES128密钥,用于后边进行文件加密。
 

image


如果生成密钥成功,接着调用sub_10001973和sub_10001D32,分别是遍历磁盘加密文件和保存密钥的功能。

image


在sub_10001973函数中判断了只对特定文件后缀加密。

image


sub_10001D32函数功能是将密钥加密并写入磁盘根路径的README.TXT文件中,


image


该函数在开始时调用了sub_10001BA0获取一个程序内置的公钥

image


之后,调用sub_10001C7F导出AES密钥,在这个函数中用前边的公钥对它加密。

image


最后,在README.TXT中写了一段提示付款的文字,并且将加密后的密钥写入其中。

因为密钥经过了程序中内置的公钥加密,被勒索对象必须要有黑客的私钥才能解密。这也就造成了勒索加密的不可逆性。

image

 

五、安全建议
目前勒索者使用的邮箱已经被关停,不建议支付赎金。


image

 

所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。

对大型企业或组织机构,面对成百上千台机器,最好还是使用专业客户端进行集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等功能。
可靠的数据备份可以将勒索软件带来的损失最小化。建议启用阿里云快照功能对数据进行备份,并同时做好安全防护,避免被感染和损坏。

 

 

原文链接

 

本文转载自:http://click.aliyun.com/m/24392/

共有 人打赏支持
_夜枫
粉丝 10
博文 506
码字总数 0
作品 0
朝阳
后端工程师
网络黑吃黑大戏开演:罪犯借 Tor 代理转移比特币赎金

随着比特币等虚拟货币价格不断攀升,眼馋的黑客们也制造了一波又一波的骚操作、神走位,通过盗币大发横财。雷锋网(公众号:雷锋网)就曾盘点过8大奇葩挖矿木马的敛财之道以及在代币蛋糕上,黑...

大壮旅
02/01
0
0
比特币“病毒”刚走,新电脑病毒欧洲多国传播

新超强电脑病毒正在包括俄罗斯、英国、乌克兰等在内的欧洲多个国家迅速蔓延。有机场、银行及大型企业被报告感染病毒。这类病毒与之前的比特币病毒相似。 在五月份有一场勒索病毒,这病毒在全...

qq595361f300e9a
06/28
0
0
博览安全圈:朝鲜被指窃取韩国数亿数字货币

  【IT168 资讯】为了响应国家号召,加强全民网络安全意识,我们会经常性的为大家奉上最具代表性的安全事件。   1.韩国声称价值2.38亿美元数字货币被朝鲜黑客盗取   韩国和朝鲜之间的博...

it168网站
02/07
0
0
当我们谈论勒索病毒时,我们谈些什么?

  当整个安全圈还在回味2018年春晚王菲和那英流金20年时,黑客们已悄然进入工作状态,在大年初八就完成了震惊全国安全圈的一件大事,湖南省儿童医院遭受勒索病毒攻击,要求6个小时内支付1...

FreeBuf
02/27
0
0
一分钟了解勒索病毒WannaCry(永恒之蓝)

勒索病毒WannaCry(永恒之蓝) 日前,"永恒之蓝"席卷全球,已经有90个国家遭到*。国内教育网是遭到的重灾区。不过,在安装相对老旧版本Windows的电脑普遍遭到之时,不少安装linux衍生版操作系...

运维小当家
06/29
0
0
【重要预警】“永恒之蓝”漏洞又现新木马 组成僵尸网络挖矿虚拟货币

WannaCry和UIWIX勒索软件在全世界掀起了轩然大波,但是利用“永恒之蓝”漏洞进行攻击的却不止这两个恶意软件。今日,亚信安全中国病毒响应中心发现了利用“永恒之蓝”漏洞传播的新型木马文件...

玄学酱
03/29
0
0
勒索病毒WannaCry(永恒之蓝)

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://solin.blog.51cto.com/11319413/1925890 勒索病毒WannaCry(永恒之蓝) ...

李伟铭k
07/09
0
0
勒索软件暗网经济比去年增长2502% 揭秘勒索软件黑产链和经济体

美国网络安全公司今天发布的一份报告显示, 与前一年相比, 勒索软件 在 暗网 的经济增长了2502%。这份报告的目的是加强大多数网络安全专家去年的预测, 当时他们说勒索软件将在安全性和犯罪经济...

chenhu73
06/28
0
0
关于区块链,你绝不能忽视的4个安全问题和5招应对方法!

内容 | 万涛 IDF极安客实验室联合创始人 整理 | Aholiab 说起区块链,虽然为人大肆谈论,却一直绕不过一个令人尴尬的问题——关于数字资产的丢失、被盗问题屡见不鲜,包括之前币安的安全事件...

雪花又一年
04/18
0
0
博览安全圈:亚特兰大市政府遭勒索软件攻击

  【IT168 资讯】为了响应国家号召,加强全民网络安全意识,我们会经常性的为大家奉上最具代表性的安全事件。   1.亚特兰大市政府遭勒索攻击,每台计算机需支付6800美元   近期,有外媒...

it168网站
03/26
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

数据结构与算法2

一个数组的例子,实现查找,显示和删除的功能。 public class array {public static void main(String[] args){long[] arr;arr = new long[100];int nElems = 0;int j;...

沉迷于编程的小菜菜
13分钟前
0
0
Python3 基于 requests 批量下载图片

Python3 基于 requests 批量下载图片 import requestsheaders = {'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8','Accept-Encod......

leeyi
13分钟前
0
0
Sparkstreaming and Kafka

简介 Kafka 0.10的Spark Streaming集成设计与0.8 Direct Stream方法类似。 它提供了简单的并行性,Kafka分区和Spark分区之间的1:1对应关系,以及对偏移量和元数据的访问。 但是,由于较新的...

刺猬一号
18分钟前
0
0
java获取当前时间所在一周的周一和周日日期

/** * 当前时间所在一周的周一和周日时间 * @param time 当前时间 * @return */ public static Map getWeekDate(String time) { Map map = new HashedMap(); SimpleDateFormat sdf = new Si......

小弱鸡
45分钟前
0
0
Redis数据的导出和导入(dump和load方式)

网上有些文章已经不再适用,本人也是踩了些坑,在此记录下。 迁移redis数据一般有如下3种方式: 第三方工具redis-dump,redis-load aof机制,需要开启aof功能 rdb存储机制 这里介绍第一种方式...

iplusx
50分钟前
1
0
ElasticSearch 高亮显示大文档搜索结果

2016年12月,我们开始研究Ambar——一个文档搜索系统。Ambar使用ElasticSearch作为核心搜索引擎。 在Ambar开发的过程中,我们处理了很多与ES相关的问题,我们想分享我们得到的宝贵经验。让我...

九州暮云
今天
1
0
Python 使用 pywifi 模块 破解wifi密码

git https://github.com/awkman/pywifi 常见常量 from pywifi import const# Define interface status.IFACE_DISCONNECTED = 0IFACE_SCANNING = 1IFACE_INACTIVE = 2IFACE_CONNEC......

阿豪boy
今天
2
0
phpstorm使用Iedis

phpstorm的redis插件Iedis是真好用 看了网上挺多的文章,但是由于我系统还是ubuntu,就有点尴尬了,现在破解之后,留个笔记,即使自己之后有需要也可以很快翻阅 先下载资源 资源下载 zip压缩...

贤郎--均灵
今天
0
0
第三章 spring-bean之FactoryBeanRegistrySupport(4)

前言 从FactoryBeanRegistrySupport类的名字可以看出FactoryBeanRegistrySupport负责FactoryBean的注册与支持。如果想知道FactoryBean相关的资料,请阅读spring-bean中关于FactoryBean的解读...

鸟菜啊
今天
0
0
CentOS “Destination Host Unreachable”问题解决办法

挑战极速安装CentOS时遇到局域网主机不能通信的情况: [root@zjd network-scripts]# ping 8.8.8.8PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.64 bytes from 8.8.8.8: icmp_seq=1 ttl=......

wffger
今天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部