tokenpocket安卓版app官网下载|比特币病毒吧

tokenpocket安卓版app官网下载|比特币病毒吧

作者: tokenpocket安卓版app官网下载
2024-03-10 21:27:20

不可破解的比特币勒索病毒,究竟是怎样的? - 知乎

不可破解的比特币勒索病毒,究竟是怎样的? - 知乎首发于Odaily星球日报-探索真实区块链切换模式写文章登录/注册不可破解的比特币勒索病毒,究竟是怎样的?Odaily星球日报权威区块链媒体,36氪独家战略合作,让一部分人先读懂Web3作者 | 秦晓峰编辑 | 卢晓明出品 | Odaily星球日报(ID:o-daily)(电影《黑客帝国》剧照)2017 年,WannaCry 比特币勒索病毒攻击了包括中国在内的 150 多个国家,造成损失超 80 亿美元。此后各类勒索病毒(NotPetya、Bad Rabbit等)虽层出不穷,但影响范围始终有限。近日出现的一款名为 GandCrab V5.2 加密货币勒索病毒,似乎大有再现 WannaCry “昔日荣光”的迹象,目前已在中国攻击了数千台政府以及企业的电脑。所谓勒索病毒,即设法让你的电脑中毒,锁死内部文件,要求用户通过比特币支付赎金才会解锁。包括慢雾、DVP 在内的众多安全团队都向Odaily星球日报表示,GandCrab V5.2目前不可破解,只能做好防御。GandCrab 团队不仅技术高超,而且“盗亦有道”:既信守承诺给赎金就“解毒”,还曾“人道地”将叙利亚等战乱地区排除在感染地区之外,因而曾被人称为“侠盗”病毒。不过,其却将中国、韩国视为其重要的攻击目标。GandCrab 幕后团队也通过出售病毒获得了 285 万美元收益。近年来针对加密货币的攻击日益增多,区块链安全事件频发。除了勒索病毒,恶意挖矿也一直不甘示弱。如果说,2017年攻击是以“勒索病毒”为主,2018年以“恶意挖矿”为主。现在,勒索病毒会否再次卷土重来?上千台政府、机构电脑感染新型的比特币勒索病毒再次肆虐。根据国家网络与信息安全信息通报中心监测,GandCrab V5.2 自 2019 年 3 月 11 日开始在中国肆虐,攻击了上千台政府、企业以及相关科研机构的电脑。截止发稿前,湖北省宜昌市夷陵区政府、中国科学院金属研究所、云南师范大学以及大连市公安局等政府、企业、高校均在其官网发布了遭受病毒攻击的公告。(夷陵区政府官网截图)根据网络安全分析师 David Montenegro 所言,GandCrab V5.2 勒索病毒目前已经感染了数千台中国电脑,接下来还将通过 RDP 和 VNC 扩展攻击影响中国更多的电脑。手段:垃圾邮件攻击GandCrab V5.2 又是如何让受害者电脑“中毒”的呢?据了解,该勒索病毒目前主要通过邮件形式攻击。攻击者会向受害人邮箱发送一封邮件,主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min,Gap Ryong”,邮件附件名为“03-11-19.rar”。(图片来自腾讯安全)一旦受害者下载并打开该附件,GandCrab V5.2 在运行后将对用户主机硬盘数据全盘加密,并让受害者访问特定网址下载 Tor 浏览器,随后通过 Tor 浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。 DVP区块链安全团队认为,除了垃圾邮件投放攻击, GandCrab V5.2 还有可能采用“网页挂马攻击”。即除了在一些非法网站上投放木马病毒,攻击者还可能攻击一些防护能力比较弱的正规网站,在取得网站控制权后攻击登陆该网站的用户。另外,该病毒也有可能通过漏洞传播,利用CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)以及 weblogic 漏洞进行传播。“攻击者会对受害者电脑里面的文件进行了不可逆加密,要想解开,只能依靠攻击者给你特定的解密密钥。”慢雾安全团队解释说,受害者只有付款才能获得特定密钥。不过,有时候也会发生受害者交了钱但攻击者不给密钥解锁的情况,慢雾安全团队认为攻击者所属团队的声誉高低可以作为一个判断依据。“勒索蠕虫知名度越高,越有可能给你发密钥,GandCrab 在暗网上的知名度还是很高的,口碑也不错。”慢雾安全团队说,“如果不发私钥就会降低声誉,其他被攻击者就不会再打钱了。”“关键是看,攻击者是否给受害者提供了一个联系渠道。” DVP区块链安全团队告诉Odaily星球日报,由于加密货币具有匿名性,攻击者很难判定受害者是否进行了打币操作,如果没有沟通渠道,说明攻击者根本无意解锁受害电脑。不可破解:地表最强的勒索病毒? “目前根本没有办法直接破解,一旦被攻击成功,如果电脑里有重要的资料,只能乖乖交钱领取私钥破解。”包括慢雾、DVP 在内的众多安全团队都向Odaily星球日报表示该病毒不可破解。(贴吧截图)然而,Odaily星球日报发现在一些论坛上,出现了宣称可以破解 GandCrab V5.2 的公司,条件是先付款,再破解。“基本上都是骗子,都是一些皮包公司,根本没有能力。”一家匿名的区块链安全公司表示,“腾讯、360等公司都破解不了,他们能破解?”“一些团队或个人宣称可以破解 GandCrab V5.2 ,其实是‘代理’破解。”慢雾安全团队解释说,“他们收你的钱,帮你向勒索者支付加密货币,从而拿到解密密钥(破解)。”攻击者来势汹涌,一时之间破解不了木马病毒,只能做好防御。宜昌市夷陵区政府也给出了一些应对之策,包括:一是不要打开来历不明的邮件附件;二是及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;三是在Windows中禁用U盘的自动运行功能;四是及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;五是对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。不过,慢雾安全团队指出,非 Windows 操作系统暂时并不会被感染。“GandCrab V5.2蠕虫目前只在Windows上运行,其他系统还不行。” “强悍”的病毒,也让团队在安全圈里“小有名气”。GandCrab 勒索病毒诞生于 2018 年 1 月,并在随后几个月里,成为一颗“新星”。该团队的标签之一是 “技术实力”强。今年2月19日,Bitdefender 安全实验室专家曾根据GandCrab自己给出的密钥(后文会解释原因),研发出 GandCrab V5.1之前所有版本病毒的“解药”。然而,道高一尺,魔高一丈。根据 zdnet 报道,今年2月18日,就在 Bitdefender 发布最新版本破解器的前一天,GrandCrab 发布了正肆虐版本(V5.2),该版本至今无法破解。目前在暗网中,GrandCrab 幕后团队采用“勒索即服务”(“ransomware as-a-service” )的方式向黑客大肆售卖 V5.2 版本病毒。即由 GrandCrab 团队提供病毒,黑客在全球选择目标进行攻击勒索,攻击成功后 GrandCrab 团队再从中抽取 30%-40% 的利润。“垃圾邮件制造者们,你们现在可以与网络专家进行合作,不要错失获取美好生活的门票,我们在等你。”这是GrandCrab团队在暗网中打出的“招商广告”。值得一提的是,GandCrab 是第一个勒索 Dash 币的勒索病毒,后来才加了比特币,要加 499 美元。根据 GandCrab 团队 2018 年 12 月公布的数据,其总计收入比特币以及Dash币合计 285 万美元。(GandCrab 收入截图) “盗亦有道”的侠盗团队?这款病毒的团队,另外标签是“侠盗”。该标签来源于2018年发生的“叙利亚密钥”事件。2018 年 10 月16日,一位名叫 Jameel 的叙利亚父亲在 Twitter上发贴求助。Jameel 称自己的电脑感染了GandCrab V5.0.3并遭到加密,由于无力支付高达 600 美元的“赎金”,他再也无法看到在战争中丧生的小儿子的照片。(Twitter截图)GandCrab 勒索病毒制作者看到后,随即发布了一条道歉声明,称其无意感染叙利亚用户,并放出了部分叙利亚感染者的解密密钥。GandCrab 也随之进行了 V5.0.5 更新,并将叙利亚以及其他战乱地区加进感染区域的“白名单”。此外,如果 GandCrab 监测到电脑系统使用的是俄语系语言,也会停止入侵。安全专家据此猜测病毒作者疑为俄罗斯人。(勒索者道歉图)一时之间,不少人对 GandCrab 生出好感,称呼其为“侠盗”。“ GandCrab 颇有些武侠小说中侠盗的意味,盗亦有道。”一位匿名的安全人员告诉Odaily星球日报,“不过即使这样,也不能说 GandCrab 的行为就是正当的,毕竟它对其他国家的人就没有心慈手软。”根据腾讯安全团队统计,GandCrab 受害者大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家。并且,GrandCrab V 5.2 版本所使用的语言主要是中文、英文以及韩文,说明中国目前已经成为其重要的攻击目标。(GrandCrab V 5.2 版本)“一个黑客如果对一个区域的人没有感情,那么作恶时就不会考虑这个区域的人的感受。”慢雾安全团队解释说,“在黑客看来,中国网络空间积金至斗,所以对中国下手也就不足为奇。”发布于 2019-03-19 20:00比特币 (Bitcoin)勒索病毒​赞同​​1 条评论​分享​喜欢​收藏​申请转载​文章被以下专栏收录Odaily星球日报-探索真实区块链新闻资讯、数据行情、技术解读、独家深度,一网

如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响? - 知乎

如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响? - 知乎首页知乎知学堂发现等你来答​切换模式登录/注册网络安全计算机科学计算机病毒勒索病毒Wana Decrypt0r 2.0(计算机病毒)如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响?近日网络上出现了一种名为“WannaRen”的新型比特币勒索病毒。它与2017年大爆发的“WannaCry”病毒类似,当用户电脑系统被“WannaCr…显示全部 ​关注者950被浏览785,620关注问题​写回答​邀请回答​好问题 187​14 条评论​分享​100 个回答默认排序火绒安全​已认证账号​ 关注4.9日晚更新: 目前,火绒根据WannaRen勒索病毒作者提供的密钥,已经制作出针对该病毒的解密工具(下载地址见稿件)。安装运行后,只需点击“开始扫描”即可对被WannaRen勒索病毒加密的文件进行一键全盘解密,也可以将文件直接拖入工具框进行解密,无需其它操作。如果大家在使用中遇到其它相关问题,可随时联系我们获得帮助。此外,为避免不必要的风险,我们不建议大家使用WannaRen勒索病毒作者公布的密钥自行解密文件。4.9日下午更新:WannaRen勒索病毒作者主动提供解密密钥4月9日,“WannaRen”勒索病毒作者通过多方主动联系到火绒,并提供了相关解密密钥。经火绒工程师分析后,验证密钥有效,稍后我们也会发布针对该病毒的解密工具,欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。此外,我们也将在文末公布该密钥,分享给广大安全同行和专业团队,共同开发解密工具,帮助遭遇该病毒的用户解决问题,挽回损失。(文中“火绒工作室****@huorong.ltd”为用户私人邮箱)9日上午,一名火绒用户以解密为由,通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后,竟主动提供病毒解密钥匙,并要求该火绒用户将密钥转发给火绒团队,制作“相应解密程序”。从上述邮件可以看出,该病毒作者在使用英语进行交流后,又使用了中文进行沟通,再加上火绒此前披露该病毒使用易语言编写的情况来看,极有可能为国人所为。至此,随着事件发酵,各媒体、安全厂商进行了大量的曝光和溯源调查,截止目前,该病毒作者提供的比特币钱包未收到任何赎金,而该作者也已经停止下发、传播“WannaRen”勒索病毒。WannaRen勒索病毒解密密钥-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----4.8日晚更新:通过进一步溯源,我们发现国内西西软件园(西西软件园-西西游戏网-多重安全的软件下载基地)中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之一。分析发现,火绒捕获到的勒索病毒会在本地同时执行下载挖矿病毒和勒索病毒两个命令,还可以通过“永恒之蓝”漏洞进行横向传播,并与大多数勒索病毒一样使用了非对称的加密方式,因此暂时无法对其进行解密。而西西下载站内软件所携带的病毒传播脚本目前虽然只传播挖矿病毒,但不排除未来传播勒索病毒的可能性。令人担忧的是,通过搜索发现,该下载站的开源代码编辑器在同类软件中人气排名第一(如下图),或已致使不少用户受到影响。详细分析报告见:近期,网上出现一款名为“WannaRen”的新型勒索病毒。对于该网传病毒样本,各厂商进行了第一时间的处理。但经火绒分析溯源发现,该样本并非病毒样本,而是该病毒进行勒索后留给用户交赎金用的“解密工具”,经检测其中并没有恶意代码。另外,火绒已经溯源到真实的“WannaRen”勒索病毒并进行分析(详细分析后续发布),火绒用户(企业、个人)升级到最新版即可对该病毒进行拦截查杀。4月6日,有用户在火绒论坛等地反馈,表示中了新型勒索病毒,被加密文件后缀名变为“. WannaRen”,并被索取0.05比特币作为解密赎金。得知情况后,火绒第一时间对用户反馈的可疑样本进行拉黑查杀处理。随后,火绒工程师通过溯源分析发现,真正的勒索病毒已经在感染用户电脑后的第一时间就自我删除。留在用户电脑上的并非该勒索病毒,而是病毒用以获取勒索赎金的解密工具,被感染用户只有通过该工具提交赎金后才能获得密钥。另外分析还发现,该被病毒使用易语言编写,基本排除与“WannaCry”勒索病毒具有同源性。针对该勒索病毒,火绒已经解除了对其解密工具的拉黑行为,并对真实的“WannaRen”勒索病毒进行拦截、查杀。目前,感染该勒索病毒的文件还无法被破解。建议用户不要轻易使用安全软件对该解密工具进行查杀,以免无法赎回被加密的重要资料。最后,火绒也会密切关注该病毒的后续情况,如果您遇到所述问题,可随时联系火绒寻求帮助。附预防勒索病毒的方式:1、 重要资料进行多地备份2、 不点击陌生链接、邮件(附件),不浏览不安全的网站3、 及时修复系统漏洞4、 设置强度高的登录账号、密码5、 安装并开启合格的安全软件,并定期查杀病毒编辑于 2020-04-14 09:48​赞同 1138​​204 条评论​分享​收藏​喜欢收起​yang leonierSiyah çerçeveli gözlük.​ 关注这病毒用来存储本体的肉鸡上面的那几个木马文件都还在,我直接下载回来了。WINWORD.EXE的微软签名是真的。难不成,用上hash碰撞了?但应该不是这样,只是拿合法的EXE去加载非法的DLL。这种玩艺不会用如此高大上的手段。这个UUID,查了一下是Word 2007的。看到这个pdb信息,我怀疑这部分代码真的来自Word 2007了。。文件的版本信息。查了一下12.0.4518.1014,发现有报道以前APT32“海莲花”的钓鱼邮件里面用了这个版本的winword.exe加载恶意wwlib.dll。看来这个winword.exe确实是微软的文件,可能只是WannaRen作者从哪里抄了这种手法,可执行文件都没有换一下。之前版本的回答里对这个exe多写了一点东西,但完全都是无用功。不过Word 2007启动要调用wwlib.dll,看一下我下下来的这个文件吧。有微软签名的这个WINWORD.EXE会骗过某些眼瞎的(没有这个wwlib.dll的特征码)的杀软,再启动这个不属于Word的木马本体wwlib.dll。我日,VMProtect壳。。。不好玩。但反正微软不可能用这个玩艺加壳。这玩艺挺大,估计脱了壳就是病毒本体了。至于you这个文件,一眼看出就是加密了。还有两个文件,一个是驱动,一个是应该属于这个挖门罗币的软件。这个驱动文件和Github下下来的完全一样,它确实是CrystalDiskMark作者的作品。看来这个木马,一边加密勒索比特币,一边还挖门罗币。可谓两不误。我回去再找块硬盘,看能不能把vmp加壳的主程序释放的文件再看一下。。根据360抓到的那段PowerShell脚本,木马会从某个国外网盘上下载两个文本文件,一个用于判断自己是否已经下载运行成功,一个则是判断是否下载运行挖矿程序。好像还有一个office.exe,用来本地局域网攻击的模块,我没成功下下来。更新:我找到了另一个版本的攻击PowerShell脚本,写的东西差不多,下载的东西不一样。nb.exe、office.exe都没了,yuu.exe下回来一看,一个WinRAR的自解压包,中文版WinRAR做的。duser.dll,太像木马了。而且好像还是易语言写的。userapp.exe其实是Win7的rekeywiz.exe,似乎rekeywiz.exe会导致Windows的knownDLLs机制失效,而直接把这个非系统的duser.dll加载了。网上查,似乎rekeywiz.exe被利用的情况有一些,以往有用公式编辑器漏洞攻击的Word文件下下来的东西会用它来加载恶意DLL。 9603ea7c66935f693721d3a09947e9d159b51252e352ba4abff04e1bdedd2f2a | ANY.RUN - Free Malware Sandbox Online谁玩门罗币的可以找f2pool矿池举报一下这个ID。编辑于 2020-04-09 00:12​赞同 468​​36 条评论​分享​收藏​喜欢

报告老板:我们遭遇黑客勒索0.05个比特币_澎湃号·湃客_澎湃新闻-The Paper

:我们遭遇黑客勒索0.05个比特币_澎湃号·湃客_澎湃新闻-The Paper下载客户端登录无障碍+1报告老板:我们遭遇黑客勒索0.05个比特币2022-01-27 14:32来源:澎湃新闻·澎湃号·湃客字号原创 巴九灵 吴晓波频道勒索病毒之所以猖獗,一个重要原因是:制作者常常利用比特币支付的“匿名性”特点,逃脱警方追踪。文 / 巴九灵(微信公众号:吴晓波频道)这件事发生在一个月前。我们公司被黑客攻击了,黑客留下一封“勒索信”,如下:翻 译非常抱歉,由于设备安全问题,你的所有文件都已经被RSA和AES加密。如果你认为你的资料非常重要,唯一的解密方法是购买我的解密工具。你也可以删除加密文件或是重装你的系统。◎ 解密步骤如下:1.如果你没有比特币,你可以在一些网站中在线购买。比如……(两个网址)2.发送0.05个比特币到我的钱包地址……3.发送交付比特币的截图和你的个人账号到我的邮箱……我会把解密工具发给你。◎ 提示:1.不要重命名你的文件。2.你可以尝试用一些软件解密,但最后你会意识到这是徒劳的。3.如果你无法联系到我,你可以尝试把比特币转给我,并在传送信息中粘贴你的邮箱,我会联系你,并把解密工具发送给你。祝你度过愉快的一天。总结来说:我们遭遇了勒索病毒,文件资料被锁了,对方要求支付0.05个比特币,才给解密。事件经过与直接影响2021年12月13日,周一,“网管”老沈,如往常在10点左右到公司上班。上午时间,公司员工较少,老沈的工作压力相对较轻。类似事件是破天荒,头一回!一开始,老沈只是觉得某个程序出错了,看到勒索信时,才知道原来是中了勒索病毒。这时候,距离攻击时间已经超过12个小时。12月11日周六晚上的8点多时间,黑客就开始入侵我方服务器,服务器开始报错,频繁登录,有不明访问……这些都是留有痕迹的。彼时正值周末,且是双12这个购物节日,我方几乎无人值班。时间过去7个小时,12月12日凌晨3点,服务器被攻破了。我们的数据库被加密了。无论是Word还是Txt都被更改了后缀名,打不开。很快,这件事开始直接影响我们的办公效率。10点35分,一位曹姓同事,在公司大群发了一条信息:“OA大概多久能好呀……”我们的报销、打款、审批等事项,就放在OA(办公系统)上进行。这句话虽然没有指名道姓,但大家都知道,这是对行政部的老沈说的。无论是网页卡了,密码忘了,电脑坏了,还是打印机没动静了……都找老沈。老沈常常顾了这,顾不到那,做不到快速反应。但这次反应明显要快许多,不过是坏消息。10分钟后,行政部的一条消息在公司群里炸了锅:今天OA服务器无法正常使用,具体原因老沈还在进行排查,还请大家耐心等候,如有恢复,将在群里及时通知大家。“今天不会恢复了吗?有着急的文件今天要盖章。”一位女同事询问,配了一个流泪的表情包。刹那间,满屏的“恨铁不成钢”。初步应对失败与原因干了16年“网管”的老沈,对此并没有办法。我们的应对策略都遭到了失败。① 断网,但是黑客加密已经完成。② 尽可能备份,但财务等核心资料已经被加密。③ 找网警报案,虽已经立案,可侦破案件时间不确定,实在耗不起。④ 借助已有安全软件工具寻找是否存在公开解密工具,无果。我们也想遂了黑客的心愿。0.05个比特币,按照12月13日比特币5万美元的价格,对此我们需要花2500美元(折合人民币1.5万元左右)。相比于OA系统无法运作可能造成的损失,这笔钱不算多。但老沈觉得对方也可能出尔反尔,甚至在解密邮件上大做文章。最近也有类似的一则新闻:去年12月下旬,温州某超市的储值卡系统瘫痪,数据库信息均被加密。黑客留言,24小时内支付0.042个比特币(当时相当于1789.2美元)才提供解密工具。超市老板照做了,但黑客未履约。在这种情况下,意味着这件事很大可能是无解的。早在2017年,知名的杀毒软件供应商俄罗斯卡巴斯基实验室说,勒索病毒使用的加密算法无解,(中了勒索病毒后)重装系统才能继续使用,但被加密的文件将会丢失。那么如今呢?值得一提的是,在“净网2020”专项行动中,国内首名比特币勒索病毒的制作者巨某(涉案500余万元)落网。引用其中的专案组成员、启东市公安局网安支队民警黄潇艇的话来说:一般来说,没有病毒制作者的解密工具,其他人是无法完成解密的。勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的。据360安全大脑2020年相关报告称:超过3700例确认遭受勒索病毒攻击,最终帮助超过260例完成文件解密工作。即,仅只有7%的成功率。事态进一步严重化,12月13日下午两点50分,行政部进一步发布公告:本周OA服务器无法使用。问题出在哪里?勒索病毒卷土重来!回顾勒索病毒的发展史,2017年,勒索病毒“想哭”席卷了全球150个国家的30万台电脑,一般需要支付价值300—600美金的比特币方能解密。此后勒索病毒持续不断演变成为各个版本与类型。比如:加密文档、锁定屏幕、锁定硬盘、加密数据库,等等。国内企业遭遇的高峰期是在2019年。据亚信安全《2019威胁态势分析》,2019年中国勒索病毒感染量为全球榜首,占比达20%。老沈记得,当时(防护)措施都做完了,所以没中招。但2021年12月,在勒索病毒影响力似乎式微的时候,我们却中招了。据他猜测,这次出现问题的原因可能是安全服务软件到期。12月上旬时,我们的安全服务软件服务到期,本准备1月进行服务器迁移才续费。但这半个月时间,由于防火墙特征库到期,给了黑客可乘之机。这意味什么?打个比方,黑客是小偷,到我们公司偷东西。我们大门的管理以前是谨慎小心的,会经常换锁,小偷来我们公司门口转,寻找机会下手,但锁经常没两天就换了,很难很快匹配到合适钥匙。渐渐地,小偷失去兴趣。但直到锁出现连着十几二十天不换的情况,小偷因此有足够时间配钥匙。那么,勒索病毒是怎么碰巧盯上我们的呢?老沈怀疑是有人使用公司网络挖矿,或者有人无意间把外面的病毒带到公司,抑或是黑客“广撒网”的结果……总之,各种可能性都存在,难以确定。——一般来说,远程桌面、网页挂马、激活/破解、僵尸网络、数据库弱口令、漏洞、钓鱼邮件等都是勒索病毒进攻的常见方式。不得不提的是,多个信号提醒我们勒索病毒颇有卷土重来之势。近一年就发生多起巨头企业与重要国家机构出现勒索病毒事件,很是轰动。比如,2021年5月,美国最大的成品油管道运营商Colonial Pipeline遭遇勒索病毒攻击,其向美国东部沿海主要城市输送油气的管道系统因此下线,此事甚至引发美国总统关注。此外,在2021年,还出现华盛顿特区大都会警察局、石油巨头皇家壳牌、全球IT咨询巨头埃森哲、台湾存储组件制造商ADATA、厄瓜多尔国营电信运营商CNT等遭遇勒索病毒攻击,大量文件泄露和被窃取。据360安全大脑《2021年勒索病毒疫情分析报告》,2021年超4000位用户遭遇勒索病毒的攻击,高于2020年的超3700位,其中10月—12月是高峰期。其中,值得警惕的是,据美国国土安全部长去年5月的演讲提到,勒索病毒攻击的50—70%的对象都是中小企业,2020年总计造3.5亿美元损失。而思科去年10月发布的调查显示,42%的中国区中小企业在过去一年遭遇网络攻击,41%的企业相关损失超50万美元。5万块的教训与经验12月15日,我们被迫找了杭州一家安全服务商,由对方全权解决此事,花费5万块。这5万块,可以支付三次以上勒索病毒攻击的费用,相当于一套安全软件的费用,一个可以用三五年的防火墙特征库也是差不多的价钱。3天后,基本解决了问题。12月20日上午10点,OA恢复使用。具体到这家公司是如何解决问题的,老沈并不知情。“也许交了赎金,也许没有,也许弄清楚了勒索病毒的版本,找到了解密工具。”老沈说道。关键在于未来的防护,除了保障安全服务软件全天候运行,老沈强调还会“加强备份”。比如,财务数据以前是财务部门管理,只做本地备份,现在由老沈自己管,已经做了好几份备份。值得一提,据彭博社报道,上述提到的Colonial Pipeline虽然支付了赎金,但黑客解密过慢,最后还是依靠备份数据恢复系统的。此外,8月份,埃森哲遭遇勒索病毒后,黑客声称“从埃森哲窃取了6TB的数据,并要求支付5000万美元的赎金”,但埃森哲回应:“在事件发生后立即控制并隔离了受影响的服务器,并从备份中完全恢复了受影响的系统。”也就是说,备份数据可以较大程度避免损失。总结来说,勒索病毒之所以猖獗,一个重要原因是:制作者常常利用比特币支付的“匿名性”特点,逃脱警方追踪。但是好的开始是:如今国内存在不少与病毒制造者沆瀣一气的数据解密、恢复公司,它们承担着渠道商的作用,比如替病毒制作者分发病毒,利用国内企业不方便购买比特币代替交易等。参与的人多了,犯错的机会也就多了。在上述“净网2020”专项行动案例中,警方破案的关键在于,借助与病毒制作者有直接合作关系的数据恢复公司这一线索抓住了背后的病毒制作者。在近一个月时间里,比特币出现闪崩,一度跌到3.3万美元,为近半年时间的最低价。这对“勒索病毒产业链”的利益获得者也会是一个打击。最后强调的是,我们不建议支付赎金,如迫不得已,可以尝试“讨价还价”。至少有一个例子可以说明这一可能性:据媒体报道,2017年5月14日,台湾网友陈子聪中了勒索病毒,为此他发邮件向黑客“求情”:“我月收入400美元,要这样对我吗?”结果对方回应:“我们明显高估了你们的收入。所以你不用支付任何费用。待会系统将会帮你的计算机解锁。”作者 | 林波 | 当值编辑 | 李梦清责任编辑 | 何梦飞 | 主编 | 郑媛眉 | 图源 | VCG原标题:《报告老板:我们遭遇黑客勒索0.05个比特币!》阅读原文 特别声明本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。+1收藏我要举报#勒索病毒查看更多查看更多开始答题扫码下载澎湃新闻客户端Android版iPhone版iPad版关于澎湃加入澎湃联系我们广告合作法律声明隐私政策澎湃矩阵澎湃新闻微博澎湃新闻公众号澎湃新闻抖音号IP SHANGHAISIXTH TONE新闻报料报料热线: 021-962866报料邮箱: news@thepaper.cn沪ICP备14003370号沪公网安备31010602000299号互联网新闻信息服务许可证:31120170006增值电信业务经营许可证:沪B2-2017116© 2014-2024 上海东方报业有限公

比特币勒索病毒攻击原理是什么?比特币勒索病毒原理 - 知乎

比特币勒索病毒攻击原理是什么?比特币勒索病毒原理 - 知乎切换模式写文章登录/注册比特币勒索病毒攻击原理是什么?比特币勒索病毒原理OGC网游区块链改变世界的区块链最近几天很多人遭受了名为WannaCry(想哭,又叫Wanna Decryptor)勒索病毒的攻击,一种“蠕虫式”的勒索病毒软件,该病毒会锁定并加密电脑各种文件,用户打开会弹出索要比特币的弹窗,勒索金额300-600美元,部分用户支付赎金后也没有解密,搞得人心惶惶,而且勒索病毒又出现了变种升级版本,那么勒索病毒攻击原理是什么呢?这边小编跟大家介绍比特币病毒原理。一、5.12勒索病毒原理   WannaCry勒索病毒由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播,勒索病毒主要攻击没有更新到最新版本的windows系统设备,比如xp、vista、win7、win8等。  该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。  当用户主机系统被该勒索软件入侵后,弹出勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。  WannaCry主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。(注释:“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称。永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。)  2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。  2017年5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散,研究人员分析此次Wannacrypt勒索软件时,发现它并没有对原文件进行这样的 “深度处理”,而是直接删除。这看来算是一个比较低级的 “失策”,而360此次正是利用了勒索者的 “失策”,实现了部分文件恢复。  2017年5月14日,监测发现,WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。二、勒索病毒攻击类型   常用的Office文件(扩展名为.ppt、.doc、.docx、.xlsx、.sxi)  并不常用,但是某些特定国家使用的office文件格式(.sxw、.odt、.hwp)  压缩文档和媒体文件(.zip、.rar、.tar、.mp4、.mkv)  电子邮件和邮件数据库(.eml、.msg、.ost、.pst、.deb)  数据库文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)  开发者使用的源代码和项目文件(.php、.java、.cpp、.pas、.asm)  密匙和证书(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)  美术设计人员、艺术家和摄影师使用的文件(.vsd、.odg、.raw、.nef、.svg、.psd)  虚拟机文件(.vmx、.vmdk、.vdi)三、勒索病毒应对方法   电脑感染勒索病毒后通过DiskGenius恢复数据的方法  没有及时更新补丁的Windows设备极其容易遭受勒索病毒的攻击,所以为了防止电脑中招,大家务必做好必要的更新和预防工作。OGC 的第一个核心就是打造一个共建共享、高活跃度的去中心化社区。在这样一个社区里,所有的参与者将发挥协同效能,并且所有价值互通。开发商直通玩家,低成本共享资源。打破垄断,重塑开发商之间的竞争平衡。发布于 2018-11-10 16:17勒索病毒比特币 (Bitcoin)原理​赞同 2​​添加评论​分享​喜欢​收藏​申请

如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒? - 知乎

如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒? - 知乎首页知乎知学堂发现等你来答​切换模式登录/注册网络安全黑客 (Hacker)计算机网络计算机病毒Wana Decrypt0r 2.0(计算机病毒)如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒?相关讨论正在进行: 当电脑中了加密勒索软件,电脑里文件被加密一小部分后发现中毒怎么挽救没加密的文件?知乎 - 知乎 如何看待 5 月 12 日中国大量…显示全部 ​关注者16,953被浏览9,780,330关注问题​写回答​邀请回答​好问题 6​119 条评论​分享​928 个回答默认排序蜜柑随意漂浮​ 关注解读WCRY此次侵略各大计算机的Wanna Decryptor是一种基于加密的勒索软件,也被称为WCRY,针对Windows Vista,Windows 7和Windows 8的Windows版本,旨在通过持有数据文件乃至整个计算机来向受害者敲诈金钱(比特币形式)。它使用AES和RSA加密方法,这意味着只能使用相应的唯一密钥来解密系统文件,由于这种勒索软件的加密强度很大,如果采用暴力破解,仍然需要极高的运算量,因此基本不可能成功解密。 该版本的WannaCry通过加密其所有文件来感染电脑,并通过SMB使用远程命令执行漏洞MS17-010,将其分发到同一网络上的其他Windows计算机上。虽然微软在今年三月已经发布了该漏洞的补丁,但是还有一些windows使用者没有及时更新。wannaCry也被称为“永恒之蓝”,与黑客组织Shadowbrokers有关。警惕支付Bitcoins有受害者表示即使支付了比特币也没有恢复资料,而且支付高昂费用也意味着进一步的鼓励这些犯罪分子,所以想要给钱还是再三思一下吧。查看影响波及图似乎是世界范围内的入侵唉,在同一时间像英国、美国、中国、俄罗斯,西班牙等地都有类似的入侵现象,目前已波及150个国家,将近20万台电脑被感染。起初还以为只是攻击了我们学校。https://intel.malwaretech.com/botnet/wcrypthttps://intel.malwaretech.com/WannaCrypt.html整理的一些解决方案。1、关闭135 139 445端口http://t.cn/RAc0GlM 图文教程打开控制面板-网络和共享中心-更改适配器设置-右键点击正在使用的网卡后点击属性-取消勾选Microsoft网络文件和打印机共享-确定-重新启动系统。2、安装微软补丁MS17-010https://technet.microsoft.com/zh-cn/library/security/MS17-0103、NSA武器库免疫工具的下载地址http://dl.360safe.com/nsa/nsatool.exe4、安装正版windows操作系统,Office 软件,并且开启自动更新。Windows 2003、xp和vista已经失去了安全更新支持,建议能尽量更新到windows 10的都尽量更新吧。5、及时备份资料数据,未中毒的将重要资料及时上传网盘或者移动硬盘。6、不下载、不运行未知来源的软件,不点开不明链接,要有网络安全防范意识。*这两天学校的图书馆应该都会闭馆了,因为电子阅览室基本沦陷,连一块通告电子屏幕都没有幸免。:)电子屏幕: 我只是一块显示通知的电子屏幕,我做错了什么TuT知乎首答~点个赞鼓励妹子吧(逃————————【更新】微软已经发布公告,决定对已经停止支持的Windows XP和Windows 2003发布特别补丁http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598另根据最新消息,针对之前注册域名掐断病毒传播的情况,WCRY已经出现了变种,2.0版本不再能通过注册某个域名来关闭WCRY的传播。希望没有打补丁和更新的都尽快补上,以防感染。编辑于 2017-05-16 22:33​赞同 3118​​415 条评论​分享​收藏​喜欢收起​苏莉安​程序员话题下的优秀答主​ 关注Windows自带更新就像国营三甲医院,态度不好,不人性化,说话不通俗,净拽专业名词;老老实实承认自己不是万能的,只是会尽力救治;一旦有漏网的事后会想方设法弥补,哪怕是不结账(盗版)也一样给治;一旦包揽得过了点(强制更新)就被万人唾骂。某些安全厂商和盗版黑产从业者就像莆田医院和养生专家,笑脸相迎,态度极好,各种贴心诱导让你不用细看只需确认即可;明里暗里提醒你只有我这里天下第一,声称包治百病,用不着去正规医院,正规的反倒黑心;时常用一些方式吓唬听他的不然身处危险后果不堪设想;时而卖正规药,时而搭售自己的保健品(假补丁);让人觉得它比正规医院贴心多了,直到出事的那一天。——看到勒索病毒爆发后仍然有人在教程里宣传如何不使用自动更新而继续相信某安全管家有感编辑于 2017-05-14 09:17​赞同 5035​​507 条评论​分享​收藏​喜欢

遭遇CryptoWall 4.0勒索病毒应该如何解决? - 知乎

遭遇CryptoWall 4.0勒索病毒应该如何解决? - 知乎首页知乎知学堂发现等你来答​切换模式登录/注册互联网网络安全计算机网络计算机病毒遭遇CryptoWall 4.0勒索病毒应该如何解决?{}_~_~+ -$.-_+$|~~_|| =|_$.**+-~| $+|=*.-=| !!! IMPORTANT INFORMATION !!!! …显示全部 ​关注者599被浏览208,598关注问题​写回答​邀请回答​好问题​9 条评论​分享​28 个回答默认排序知乎用户你好,作为一个2013年开始追踪勒索病毒的老师傅来讲,你中的病毒我确定是Cryptowall.以下内容,请仔细阅读,对你衡量支付赎金与文件重要性的取舍非常重要。若有不明白,请评论我,我会第一时间答复您。病毒名称:CryptoWall病毒类型:勒索病毒 (黑客勒索的不是法币,而是一种叫bitcoin的匿名货币)作恶手法:AES或 RSA算法批量加密上百种后缀文件,并且留下勒索信息.危险等级:★★★★★ (最高级别)入侵手段:欺骗性邮件,网站劫持,中小型甚至大型软件劫持,Windows漏洞,密码侵入,潜伏木马等.关于crypt变种cryp1后,卡巴斯基的工具失效。目前没办法恢复文件,而且黑客的支付通道买到的解密工具,同样不能解密,不要浪费你的钱。黑客真是日了狗!!!太没职业道德了。他也许要的不是钱,他要的什么?目前不清楚。目前,除了卡巴斯基,还有趋势也在跟进免费解密软件的开发,请大家不要盲目支付赎金,即使你的文件再重要,也许等等就能破解了。请大家不要急!!时间是最好的私钥!!!趋势可以破解cryptxxx 3.0版(crypt后缀),下载地址http://solutionfile.trendmicro.com/SolutionFile/EN-1114221/RansomwareFileDecryptor 1.0.1569 MUI.zip (知乎bug,请把后面zip部分一起复制到游览器才能下载)关于Crypt后缀病毒在国内爆发后的一些说明,这次真不同。今天 2016年5月13日21:03分,我非常高兴的告诉大家!!!卡巴斯基解密工具可以恢复任何一个版本的Crypt病毒了!!请大家不要悲哀,这世界一样充满爱!!下载地址:http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.exe?_ga=1.69588624.1814211149.1453294100运行后点击SCAN,选择你的Crypt文件 。让他运行即可。!!!!!!!!!这也是我追击那么多年病毒,第一次看到黑客被完虐!!!!狠狠的按在地板上!!!这里,很遗憾的是,用Gmail和憋足的英语,卡巴的工程师竟然听懂了我说的。1:本文写的Cryptowall4.0是Crypt后缀病毒的前身(这个作者及其可能是同一个人),国外媒体把这种Crypt后缀的病毒叫做CryptXXX。2:CryptXXX 有2次变种,1.0版本已经被卡巴斯基破解,而2.0却是黑客对卡巴斯基破解软件的反击升级, 所以卡巴的破解软件对Cryptxxx2.0版本是无效的。3:今天晚上研究了大量国外报道和国内中毒者的反馈,中毒的原因及其可能是国内部分网站被黑客劫持,你如果停留在某个网站挂机,中毒的可能性是非常大的。鉴于北京联通的用户涌现大量Crypt中毒者,我也是醉了,为毛是北京联通,我也不晓得。(GOOGLE关键字cryptxxx,可以查询到大量报道)如果有知乎的同学,在开着某个网页挂机过程中毒的,请在下面回复,并且告知你使用的游览器类型。4:非常遗憾的是,截止5月12日没有任何工具可以恢复你的Crypt(2.0)的文件,即时你向黑客支付赎金买了私钥解密器,也会出现不能恢复文件的可能,为什么我知道?因为本人亲历整个日了狗的过程,损失几千大洋(1.2BTC)。5:查杀Crypt病毒,360一直在微博说ta可以查杀,我不确定,因为我没用过360. (注:查杀和恢复文件冒油任何关系)6:如何防范? 网页劫持的防范比较难, 这个工具https://www.malwarebytes.org/business/antiexploit/ 是可以的。可惜不符合中国人的免费午餐习惯。2016年5月13日凌晨更新:马蛋啊,多少网站被黑客劫持?文件变成crypt后缀的原因可能是网页被劫持,你却不小心游览了它。看这篇新闻报道吧,小心小心再小心,Website For French Cinema Chain Gets Hacked, Serves CryptXXX Ransomware2016年5月9日更新:卡巴斯基发布免费解密软件,只对Crypt后缀加密文件有效。 Ransomware Decryptor 下载decryption Cryptxxxx tool. 然后找到自己最大的那个加密文件和对应的未被加密的同一个文件,SCAN即可。(BTW:卡巴这个软件只针对5月7日之前的Crypt文件有效,也就是1.0版本,如果你安照上述方法尝试解密显示加密文件和原文件大小不一致,那么你中毒的就是Cryptxxx2.0)。2016年3月19日更新:解决方法:查杀病毒源----解密数据----删除勒索信息。1查杀病毒源建议使用腾讯 比特币敲诈者2解密数据只能向黑客支付赎金购买解密私钥,我们强烈建议不要向黑客支付赎金,这样会让黑客更大范围的扩散病毒,请大家不要支付赎金,即使你的数据极其重要,那么也不要让更多人受害。3删除勒索信息 批处理删除即可(关于数据被加密后无法打开,我建议大家使用R-Studio软件先进行数据恢复到被加密之前,有一定的成功率,但是你坚持支付赎金,是一千倍的支持黑客让更多人受害,所以我提议,所有被勒索者不要支付赎金,避让让更多人受到伤害,如果每个人都不支付赎金,那么黑客或许会放弃。) 更多勒索病毒解决方案,关注lofter:唐平(附:关于加密算法更多详情请到维基百科AES:https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86RSA:https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95)2016年3月14日更新:(查杀和防御)问:勒索病毒查杀哪家强?查杀后需要重装系统么?病毒还会复发么?预防勒索病毒有什么招?答:腾讯管家率先推出勒索病毒查杀,测试有效查杀病毒源:链接:比特币敲诈者查杀后重装系统变得不是那么必要了。即使重装也不排除二次感染。勒索病毒现在基本无孔不入,非法侵入计算机方法太多了,防不胜防。以后大家必须养成良好的习惯,可以有效预防勒索病毒。1:硬件备份,要及时脱机离线。 (建议备份成RAR,并把后缀为非常规的类型,这样就不在加密范围内)2:推荐dropbox云备份。(dropbox有回档功能,国内的云备份暂时没发现此功能.)3:国内外各大杀软基本都在3月5日后更新了针对勒索病毒库,养成更新病毒库的习惯很重要。4:陌生邮件,陌生网站不要勇敢点击。(特别是可执行的邮件附件和网站插件)5:win10系统自带的windows defender 现在已经完美防御勒索病毒。6:win系统服务器不要在裸奔。案例:杭州某公司服务器中勒索病毒后溯源发现,去年10月份已经被肉鸡,mySQL自建权限来去自如,正好今年3月8日服务器要执行网售活动,7号凌晨沦陷,加密了5T多数据,生成了10.3万个勒索信息,还好8号凌晨之前搞定了。后来一问,找上门的原来是国内某信息安全大咖,小弟实感佩服,裸奔栽了跟头,溯源能做到极致的大神,怎么也惹上这事?大咖说“我这是帮朋友弄,不是我的服务器” ,我相信中大型公司数据安全级别惹上这事的可能性很低。 7:公司共享服务器建议设置高安全策略,强密码访问和读写。8 :个人电脑很多是80后90初感染的,他们是最早一批跟随win系统的人,老司机什么都不怕,但是这次给了很大的打击,都是多年留下的数据,这不要割肉花钱消灾了,我的建议还是我们80后也跟上00后的思路,非OSX不用就是,win系统是出名的漏洞补丁多,有几个人会经常打补丁呢?(以上建议,最主要还是1,2两点,如果你做到了极致的备份,勒索病毒拿你一点办法都没有,查杀出来了病毒源,如果你数据还是重要,还是必须支付赎金购买私钥才能恢复你的被加密文件)9:绿盟科技(上市公司)提出的Locky预防方案,同样对Cryptowall有效:链接:2016年3月24日2016年3月3日更新:(新闻)两位密码专家荣获图灵奖:发明公共密钥密码体系(新浪新闻)密码学科已经第三次斩获计算机科学最高奖项”图灵奖“分别是:2002年 Ronald L. RivestAdi ShamirLeonard M. Adleman 的RSA公钥加密学。2012年 Shafi Goldwasser Silvio Micali 的密码学复杂理论领域。2016年3月3日 Whitfield Diffie Martin Hellman 的现代密码学领域及SHA公钥密码体系,同时他们站在了苹果这边反对政府的做法。2016年2月28日更新:问:如何免费解密一个加密文件?为什么有人解密一个文件还收费?答:黑客很早就提供了这项服务,任何中毒者可以免费解一个低于512KB的任意加密文件。不需要任何费用可以解密1个文件,不要相信任何咨询或者协助类的私人网站,倘若你要解密全部加密文件,你可以选择淘宝担保交易,也可以选择你身边的资深bitcoin老玩家进行此交易。方法:打开黑客提供的网页,找到点击上传,等待几分钟即可。我们试探性的问过黑客免费解一个文件的原因:1)这是为了确认密码服务器可以自动检索到你的私钥。2)确定你的私钥是对应你的全部加密文件的公钥不会出错。3)如果黑客网页被墙了,把一个低于512KB的任意文件发送到追击者邮箱 ransomware@126.com,我们收到后第一时间解密并免费返回给你。2016年2月27日更新:问:如何删除这些残留的勒索信息Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件?答:淘宝店主经过多次测试成功用DOS一次性删除所有以上产生的残留文件。在各个本地盘里面打入bat代码: del /s *recovery*?.txt *recovery*?.html *recovery*? .png /f /s /q /a 2016年2月26日更新:问:勒索病毒的作者是谁?踢开计算机科学,从社会学,经济学,心理学来考量Cryptowall是个什么类型的病毒?答:前方高能,高级猿禁入; 骇客(Cracker)有多可恶? - 唐平的回答 这个答案我写出来后,非常多高级码农私信我想了解更多东西,我觉得码农不用过多参与此话题的讨论,如果你是POLICE,请私信联系我,我有大于50%的把握能找出这个黑客或者某个黑客,但是需要更多计算机技术及警方资源方面的帮助。2016年2月25日:更新,如果有中毒者的文件后缀全部变成了Micro,mp3,或者各种乱码,这些都是cryptowall的特征,cryptowall 具有加密文件随机生成后缀文件名的功能,目前中毒者有不同加密文件后缀有不同的情况,其实都是cryptowall的作为,但是同样不排除黑客模仿cryptowall 作案 进行无良吸金。RSA-4096的中毒者在每个文件夹下面都有三个同样的文件: Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件内容为:NOT YOUR LANGUAGE? USE https://translate.google.comWhat happened to your files ?All of your files were protected by a strong encryption with RSA-4096.More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem).....等等。2016年2月22日:更新 问:为什么自行购买比特币去支付赎金的风险风险大?答: 1:比特币交易是 你用法币(美元或者人民币)去购买比特币 2:然后你再用比特币支付给黑客。 1所产生的风险是:比特币没有法偿性,交易过程的风险不被法律保护,汇率波动大,交易过程被黑的概率是50%。2:即使你支付了比特币给黑客 同样不能得到私钥的概率是50% !所有你自行支付赎金的风险接近风险1和风险2的级数:75%, 属于高风险的行为,倘若你是高风险偏好者,完全可以自己去尝试。 2016年2月21日:更新问:为什么过年那段时间支付赎金后5-10天后才拿到私钥?(本人强烈不建议支付赎金给黑客)由于此黑客胆子太大,把LA的医院给黑了,惹毛了FBI,最近非常多中毒者支付赎金后,仍然会碰鼻,过去黑客能沟通,现在黑客只字不提,最难受就是支付赎金后,不给解密私钥和软件,或者只给软件不给私钥,或者只给私钥不给软件。请大家慎重付款,所以暂时关闭支付教程,避免遭受更多损失。新闻链接:The hospital held hostage by hackers2016年1月22日: 问:网上有私钥下载,我可以使用吗?答:黑客 更新 RSA 4096加密的的方案同样我买入了私钥和软件( 这是我本人测试某个中毒者的一个方案)decryption software : 百度网盘 :http://pan.baidu.com/s/1kTX3zuf私钥:Run decryption software, and enter your personal key: 6CAC0CC4F35B4C6772889D98A891A1192D33412A5ADD6E2EE9DCD2A8206D13EBPress a button!以下来自新浪博客链接: 国内遭遇勒索病毒CryptoWall全过程 转载:。博主明显已经怒了!! 那么多年存的大量.....TB 文件啊。。可惜了。。日了狗了。。这是一个不知羞耻的病毒!为什么这么说?1:cryptowall 是个RSA2048加密的病毒,公钥用于加密你的文件,而私钥被黑客保存在他的秘密服务器。这是个没招的解密方式,除非你拿到私钥。2:这个私钥,黑客要收取500美金的赎金才能给你,如果在规定时间内,你支付不了!! 那么抱歉,赎金翻倍。3:如果你放弃支付赎金,那么你的数据将会被永久性加密。(BTW, 黑客在HELP_YOUR_FILE 中 也提到,不要去尝试其他方式去破解密钥。 最终你会无功于返!)最近出现大量中毒者自己支付赎金被骗,所以隐藏,如果实在是被逼无奈,请私信我。*隐藏支付教程**隐藏支付教程**隐藏支付教程**隐藏支付教程**隐藏支付教程*过了3-5个小时后 , 可以下载解密软件了。!!把decrypt.zip 解压后,得到一个软件。 (软件我就公开给大家算了,不知道你能不能用!)http://pan.baidu.com/s/1c1pmekw 360会报毒,黑客在上面提示也说了会报毒!(目前已经测试针对其他电脑无效)最后打开软件 跑起来了。。。哎!!如果你中毒的是RSA4096的加密,请看2016年1月22日更新。最后一切顺利了,文件解密成功,备份文件到网盘!!妈的!!太坑了!! 几千大洋就这样没了!!请关注勒索病毒追击者:我只能把自己的经历写在最下面,2016年2月25日更新:最新原创,我和勒索病毒3年里不的不说的二三事。编辑于 2016-06-05 14:13​赞同 407​​221 条评论​分享​收藏​喜欢收起​知乎用户​无解,如果现在突然可以破解公钥加密的话,差不多可以宣布世界马上要崩溃了编辑于 2017-05-13 09:08​赞同 5​​1 条评论​分享​收藏​喜欢

国内首个比特币勒索病毒案告破,三年获利500万-虎嗅网

国内首个比特币勒索病毒案告破,三年获利500万-虎嗅网

资讯

24小时

源流

视频

妙投虎嗅智库

投稿

2020-10-14 16:48

国内首个比特币勒索病毒案告破,三年获利500万HyperAI超神经©关注近日,全国首个比特币勒索病毒开发者巨某,被江苏南通警方成功捕获。巨某在三年的时间里,利用网络勒索病毒,已非法获利超 500 万元人民币。本文来自微信公众号:HyperAI超神经(ID:HyperAI),作者:神经小兮,题图来自:视觉中国10 月 8 日,据江苏省南通市当地警方通报,在“净网 2020”行动中,成功侦破了一起特大网络敲诈案件,3 名犯罪嫌疑人巨某、谢某和谭某落网。犯罪嫌疑人巨某,作为多个比特币勒索病毒的制作者,已成功作案百余起,非法获取的比特币折合人民币 500 余万元。病毒勒索:想要数据?比特币来换近年来,网络勒索病毒十分猖獗,防不胜防。全球各地企业、机构、甚至高校都会遭遇勒索病毒攻击。今年 4 月,江苏省南通市启东某大型超市收银系统就遭到了攻击,系统被黑客植入勒索病毒,因此瘫痪,无法正常运转。超市立即进行了报案,南通市公安局与市局网安等部门组成专案组进行侦查。通过数据勘验,专案组找到一份告知如何解密文件的全英文留言,要求受害人必须支付 1 比特币(时价约合人民币 47000 元)作为破解费用。黑客勒索留言:若想恢复文件,就给我钱包里打 1 个比特币此外,网警经对该超市的服务器进行数据勘验,发现黑客锁定的服务器中所有文件均被加密,文件的后缀名都变成了“lucky”,文件和程序均无法正常运行。而在 C 盘根目录下有个自动生成的文本文档,留有黑客的比特币收款地址和邮箱联系方式。超市服务器数据文件后缀都变成了“lucky”随后,尽管专案组做了大量工作,却始终没有进展。线索无处可寻,侦查陷入僵局。根据南通市公安局网安支队三大队副大队长许平楠介绍,“由于比特币均通过境外网站交易,追查难度较大,发起攻击的始作俑者身份往往成谜。”随着价格的不断上涨以及其本身的匿名性,比特币深受众多不法分子的青睐超市求助数据恢复公司,竟成破案线索就在警方无处下手的时候,案情出现了一丝转机。由于超市被锁服务器中有重要工作数据,如果格式化则损失巨大。因此,超市工作人员联系了一家数据恢复公司,以低于被勒索(1 个比特币)的价格,委托其解锁加密文件。后来这家数据恢复公司,竟然神奇地对服务器数据进行了成功解密。警方获悉这一情况后,认为其中可能另有隐情。因为,一般来说,勒索病毒入侵电脑,对文件或系统进行加密,每一个解密器都是根据加密电脑的特征新生成的,没有病毒制作者的秘钥,几乎不可能完成解密。专案组成员、启东市公安局网安支队民警黄潇艇分析称,一般只有向勒索者支付比特币才能解密但经过进一步侦查之后,排除了数据恢复公司的嫌疑。原来该数据恢复公司之所以能够恢复数据,是因为他们通过邮箱与黑客取得联系,并支付 0.5 比特币获取了解锁工具,从而完成任务,赚取差价。专案组通过数据恢复公司而获取的新线索,以及深度研判分析,成功锁定犯罪嫌疑人的真实身份为巨某,至此案件侦破工作终于取得重大进展。5 月 7 日,专案组在山东威海将巨某抓获归案,并在其居住地查获作案用的电脑。在巨某的电脑中,民警找到了相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。证据面前,巨某(右二)对自己的罪行供认不讳巨某交代称,他开发了一款网站漏洞扫描软件,在获得相关控制权限后,就针对性植入勒索病毒。为避免破解和逃避公安机关的追查,巨某相继开发升级了 4 种勒索病毒,索要难以追查的比特币作为赎金,使用的都是境外网盘和邮箱。在江苏警方抓获犯罪嫌疑人前,巨某已经向 400 多家网站和计算机系统植入敲诈勒索病毒,受害单位覆盖 20 多个省份,涉及企业、医疗、金融等多个行业。其中,苏州的一家上市公司,因为勒索病毒破坏了其相关工作使用的数据库文件,导致整个生产系统无法正常运行,直接停工三天,造成了巨大的经济损失。自学达人,却走上犯罪道路这位巨某,可以说是被敲诈勒索“事业”耽误了的自学达人。据了解,巨某生于内蒙古赤峰,今年 36 岁。他自幼就喜好并自学计算机知识,精通编程、网站攻防等技术。之后,他成立了工作室,利用自己开发的软件炒股。起初还赚了不少,可最后以亏损 300 多万元而告终。债台高筑的巨某,偶然的一次机会得知了用勒索病毒敲诈的发财门路,于是走上了开发病毒程序之路。从 2017 年下半年开始,巨某一直都在研究“撒旦”等勒索病毒,以及漏洞利用程序“永恒之蓝”,并编写了“satan_pro”病毒程序用于作案。2018 年就曾有中了该病毒的客户请求数据解密公司解密,其勒索留言如下:据巨某交代,为避免破解和逃避公安机关的追查,他在“satan_pro”之后,又陆续升级开发了“nmare”、“evopro”、“svmst”和“5ss5c”4 款勒索病毒,江苏南通受攻击的超市收银系统,就是被植入了“nmare”病毒。除了索要难以追查的比特币作为赎金,巨某还通过境外的网盘和邮箱将解密软件发送给受害人,并经常更换,到手的比特币也都是通过境外网站交易。对于巨某来说,自己天衣无缝的计划堪称“完美犯罪”,但终究没能逃过警方的侦查。在作案期间,与他合作的一家数据恢复公司经营者谢某、谭某,也均因涉嫌敲诈勒索罪被逮捕。不知道这位巨某如今身陷囹圄,会作何感想。如果他利用所学知识,做一名网络安全工程师,人生历程就完全不同了。或许在未来的某一天里,铁窗里的他还会想起很多年前,敲下第一行代码时振奋、纯粹的自己。新闻来源:新浪财经:《全国首个比特币勒索病毒制作者落网:曾迫使一上市公司停工3天》南通公安微信公众号:《全国首个比特币勒索病毒制作者落网!南通破获特大制作使用病毒实施敲诈勒索案》本文来自微信公众号:HyperAI超神经(ID:HyperAI),作者:神经小兮本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com如对本稿件有异议或投诉,请联系tougao@huxiu.com正在改变与想要改变世界的人,都在 虎嗅APP

Copyright © 

虎嗅网 京ICP备12013432号-1      

京公网安备 11010502037938号

比特币病毒简史-虎嗅网

比特币病毒简史-虎嗅网

资讯

24小时

源流

视频

妙投虎嗅智库

投稿

2017-05-28 13:26

比特币病毒简史看懂经济关注文/ beyond-ma 虎嗅注:本文首发于微信公众号央行观察,虎嗅经授权转载。在正式发表本文之前笔者看了一下比特币的行情,根据火币网最新报价,比特币价格即将突破1.8万RMB,并快速朝着2万RMB的价格进发。笔者在之前撰文《360全解比特币》以及《短评比特币市场的巨幅振荡》时就写明短期比特币依旧看涨。但是这波wncry病毒直接将比特币走势带到天上,也真是令我始料未及。虽然本篇文章也是早已经写好了,但是为了避免蹭热度的嫌疑,在整个事件冷却之后为大家梳理一下比特币勒索病毒事件的内在逻辑与发展历史。勒索病毒的前世今生其实最近的wncry病毒已经不是勒索软件第一次发威了。前不久,安卓系统也出现了一款勒索软件,将手机加密后索要赎金。而这款软件被查杀后,很快又带着升级版卷土重来——这波新版的勒索软件是用随机密钥感染文件的,连攻击者都不知道如何解锁,用户即使交付赎金也是徒劳。我们看到随着IT技术的不断发展,IT从业人员虽多,但是主要的就业人员基本都集中在移动平台、云端以及人工智能等领域,最流行的编程语言也由面向底层操作的C和C++逐渐演变到托管型的JAVA甚至是面向建模的GO语言。而信息安全领域是个直接面向底层的技术,从事底层编程的人员越来越少,也就代表着信息安全的从业者基数是越来越小,这个现象的直接后果就是,网络世界出现了落后的技术可以攻击先进技术的情况,这点与人类社会中落后蛮族对高级文明的侵略非常相像。最近爆出wncry病毒很可能源自朝鲜,这也从侧面印证了这种趋势,某些组织甚至是国家是没条件搞高端技术的,但是他们写的病毒却能横行全世界。勒索软件的黑手进一步扩展了可攻击的范围,如网游、智能汽车和可穿戴设备纷纷大量爆出漏洞。回顾此类软件的历史大致分为以下几个阶段。1.原始阶段:最早的勒索软件出现于1989年,名为“艾滋病信息木马”。该木马通过替换系统文件,在开机时计数,一旦系统启动达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密,从而导致系统无法启动。此时,屏幕显示信息声称用户的软件许可已过期,要求邮寄189美元以解锁系统。2006年出现的Redplus勒索木马是国内首款勒索软件。该木马会隐藏用户文档,然后弹出窗口勒索赎金,金额从70元至200元不等。据我国计算机病毒应急处理中心统计,全国各地的该病毒及其变种的感染报告有580多例。而实际上用户的文件并未丢失,只是被移动到一个具有隐藏属性的文件夹中。2.新发展期,比特币赎金阶段:从2013年的CryptoLocker开始,勒索软件进入了新的发展期,比特币进入了黑客的视野。CryptoLocker可以感染大部分Windows操作系统,通常通过邮件附件传播,附件执行后会对特定类型的文件进行加密,之后弹出付款窗口,也就是从这款软件开始,黑客开始要求机构使用比特币的支付赎金,而就是这款软件为黑客组织带来了近41000枚比特币的收入,按照比特币最新的市价这些比特币的价值有近10亿美元之巨。3.勒索软件平台化及开源化趋势:同为2015年一款名为Tox的勒索软件开发包在年中发布,通过注册服务,任何人都可创建勒索软件,管理面板会显示感染数量、支付赎金人数以及总体收益,Tox的创始人收取赎金的20%。2015年下半年,土耳其安全专家发布了一款名为Hidden Tear的开源勒索软件。它仅有12KB,虽然体量较小,但是麻雀虽小五脏俱全,这款软件在传播模块,破坏模块等方面的设计都非常出色。尽管来自土耳其的黑客一再强调此软件是为了让人们更多地了解勒索软件的工作原理,可它作为勒索软件的开源化,还是引发了诸多争议,在阅读了这款勒索软件的源代码后,笔者也是突然醒悟原来编程的思路与方法真的是别有洞天,破坏性思维和建设性思维的确是完全不同的风格。4.与窃取大众隐私信息结合的趋势近年来,针对某些快捷酒店住宿系统及私营医院HIS系统的入侵、脱库(脱库指黑客入侵到系统后进行信息窃取行为)事件频发,而16年之前黑客一般只会将信息悄然盗出后在黑市上待价而沽,但目前黑客更是要在出售掉隐私信息之前还要对医院及酒店进行勒索。去年底美国好莱坞某医疗中心就被黑客攻陷,并勒索340万美元的赎金,虽然经过一番讨价还价医院最终支付了1.7万美元后运营恢复,但是该院的就诊记录不久就出现在了的数据黑市上。而且最近的勒索病毒明显加强了“用户体验”的建设,会给用户很强的心理暗示,比如某些最新的勒索软件将UI设计成无法退出的界面,而且赎金随时间涨价,还会以倒计时强化紧迫感。为什么会是比特币看到网上大量的文章都在说这次创造wncry病毒的黑客之所以选择比特币是因为比特币的交易无法追踪,其实这个说法是不严谨的,比特币本质是分布式帐本,每笔交易均需要向整个区块链网络广播,否则就不是合法交易,总结其流通的特点是匿名开户,交易透明。反观现金交易则是实名开户,但是客户取出现金后的用途就不再透明了。比特币的出现也为监管提出了新的课题,针对现有货币的监管方式肯定不适用于比特币。而监管手段的缺失也是造成黑客目前首选比特币作为赎金的最主要原因之一。这里再次简短回顾一下比特币的分叉之争,我们知道比特币的交易都要向整个区块链网络进行一次广播,可以想象一下如果大家一块拿个喇叭狂喊那系统一定是要崩溃了,所比特币的创始人中本聪在建立比特币之初就限制了比特币网络每秒钟处理7笔交易,如果按照这个交易速度来处理去年支付宝双11那一天的交易量(大约10.5亿笔),大概要近5年的时间才能全部完成。 目前比特币的玩家大概分为两派,一派认为比特币7笔/秒的交易速度已经成为比特币的核心特性之一,不应该升级。另一派认为比特币网络的处理速度太慢已经严重影响了比特币的推广,应该当升级。那么如果一派强行升级,而另一派不跟进的话,那么比特币就极有可能分裂成两个分支,这也是年初比特币价格大幅回调的最重要原因。从目前的情况看比特币的分叉之争并没有缓和的迹象,但是比特币ETF以及wncry病毒的出现迅速将比特币的价格不断推出新高。个人觉得比特币短期大概率要突破2万RMB,但是考虑目前莱特币等变种没有所有分叉之争,所以从投资的角度来说呢,如果比特币再次受分叉之争而下跌,那么这其实是对莱特币的利好,所以如果有读者大量持有比特币又不想卖出的话,可以考虑做多莱特币来进行对冲。如果从信息安全角度来说,分叉问题很可能会影响比特币继续做为勒索病毒赎金的地位。笔者认为接受莱特币、以太币为赎金的病毒即将诞生。但是区块链货币都或多或少会有处理速度的困扰而且加密算法升级不容易,长期来看风险比较高,短期价格被操纵的迹象也比较明显。心理承受能力不强的话,静看他们的运行轨迹就好了。 看懂经济这里本来有条个人简介认证作者已在虎嗅发表 27 篇文章本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com如对本稿件有异议或投诉,请联系tougao@huxiu.com正在改变与想要改变世界的人,都在 虎嗅APP

赞赏

关闭赞赏

开启赞赏

支持一下

  修改

确定

Copyright © 

虎嗅网 京ICP备12013432号-1      

京公网安备 11010502037938号

深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?-虎嗅网

深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?-虎嗅网

资讯

24小时

源流

视频

妙投虎嗅智库

投稿

2017-05-14 14:33

深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?Xtecher关注题图来自美剧《Mr. Robot》。5月12号,WanaCrypt0r2.0勒索软件攻击全球Windows漏洞 ,截止目前,已有七十多个国家的政府、高校、医院等机构被攻陷。此事仍在进一步发酵,而目前对于被感染的系统、文件似乎没有任何破解的方法,全球数十亿用户安全,竟被一位躲在暗处的人玩弄于鼓掌之中。为此,Xtecher第一时间采访了华为高级安全专家娄伟峰、威客安全CEO陈新龙、360安全首席工程师郑文彬、青莲云CEO董方、长亭科技CEO陈宇森、杰思安全CEO刘春华、阿里云技术专家、网络安全专家刘博士、招股科技CTO程超等众多国内一线安全领域专家,以理清此事来龙去脉。采访|小生生、dude、Cedain作者|小生生、dude、又田编辑|甲小姐网址|www.xtecher.com微信公众号ID|Xtecher大恐慌!5月12日,一个黑客坐在电脑前,轻轻按下了Enter键。这个看似无足轻重的动作,掀起了全球七十多个国家、数十亿用户对网络安全的恐慌。当晚,WanaCrypt0r2.0(以下简称Wcry2.0)勒索软件在全球爆发。在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。目前,该勒索病毒的攻击已经扩散到全球74个国家,包括美国、英国、中国、西班牙、俄罗斯等。此次被攻击的对象包括政府、医院、公安局以及各大高校等机构和个人。黑客要求每个被攻击者支付赎金后方能解密恢复文件,而此次的赎金方式使用了当下最为火热的产品比特币,勒索金额最高达5个比特币,价值人民币5万多元。国内最早的防病毒厂商kill公司技术总监、江民公司原技术总监、现华为高级安全专家娄伟峰告诉Xtecher:“从技术上讲,这不算是一次黑客攻击,而是一次大面积的以经济为目的勒索软件传播事件。此次大规模传播的Onion、WNCRY勒索软件是‘永恒之蓝’勒索软件的病毒变种,但恰这类并非新技术的病毒,反而能肆虐蔓延、短短时间内侵袭各大机构,经济损失截至目前已达数十亿。”网络安全专家刘博士告诉Xtecher:“本质上病毒要想获得访问权限、突破访问控制,操作系统会通过防火墙等做访问限制,但如果系统有安全漏洞可以被利用,就有可能突破。Windows被感染的几个版本恰好有漏洞可被利用。”360安全首席工程师郑文彬告诉Xtecher:“中国此次遭受攻击的主要是教育网用户。上个月360针对该端口漏洞发出预警,并推出了免疫工具,微软此前也已发布相关漏洞补丁。但许多教育网并未对此漏洞做出修复,以至于沦为重灾区。”为何教育网、公安局、医院等机构沦为重灾区?郑文彬认为,这类机构多使用内网、较少与外界接触,以至于在防范意识上存在疏漏。而另一方面,这些机构并不能保证完全隔绝互联网,一旦被病毒扫描,则同样会中毒——而只需一台电脑被扫描,便会像人类感染病毒一般传染到其它电脑。青莲云CEO董方告诉Xtecher:“学校使用教育网,教育网是专网,其特点为,学校的某一个网站被攻击以后,会在专网中迅速传播,且教育网防护的等级不是很高,导致学校成为重灾区。”此外,本次被病毒感染的多是Windows系统,而苹果、安卓侥幸免于灾难。长亭科技CEO陈宇森告诉Xtecher:“这与系统优劣并无关系。此次攻击是利用Windows漏洞进行,对其主机/服务器运行在 445 端口的 SMB 服务进行攻击,所以中招的都是Windows系统。微软官方3月份陆续发布不同版本的系统补丁,就在13号下午,还专门针对XP和2003系统发布了特别补丁。”不过华为云安全负责人娄伟峰认为,从经济利益的角度看,微软的用户远大于苹果的用户,因此成了被攻击的原因之一。“这是微软十年来出现的较为重大的事件,4月15号微软已发出预警,但可能预警发方式太偏技术,以至大家没看懂被攻击的后果是什么。” 青莲云CEO董方告诉Xtecher。那么,这样一次攻击范围波及全球,涉及金融、医疗、铁路、能源、教育系统等终端的病毒,究竟从何而来? 病毒从何而来?此次“永恒之蓝” 变异的勒索蠕虫,是NSA网络军火民用化的全球第一例。早在4月14日,自称“影子经纪人”(Shadow Brokers)的黑客团体泄露出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,可以覆盖全球70% 的Windows 服务器,影响程度极其巨大,但国内诸多政府、高校等机构并没有引起足够的重视。华为高级安全专家娄伟峰告诉Xtecher:“影子经纪人” (Shadow Brokers)攻破了NSA(美国国家安全局)网络,拿到其中一个叫“方程式”的黑客组织的大量军用级别黑客工具,ShadowBrokers将其中一个黑客工具做成“永恒之蓝”,而这次的勒索软件正是“永恒之蓝”的变种。而据360安全首席工程师郑文彬猜测,之前美国军方使用黑客技术攻击中东银行,而此前美国政府对叙利亚进行轰炸,导致了黑客的不满,继而盗出此技术,以示威胁。黑客使用勒索软件由来已久,但大多数病毒软件勒索的赎金都是法币、电子汇款、预付卡等手段收取。但这次病毒勒索事件,黑客似乎蹭了比特币热点。为何使用比特币作为赎金?深圳招股科技联合创始人程超告诉Xtecher:比特币作为一种匿名转账的数字资产,其匿名特性成为黑客首要看重的特性。比特币地址是一串英文字符乱码,不绑定任何用户信息,所以单纯从比特币地址无法追踪到用户信息,这让黑客可以更简单地规避追捕和监管。而网上不少观点认为后续黑客有可能放弃大额勒索,因为一旦大量比特币流入该黑客账户,有可能导致其行为轨迹被追踪。然而,360安全首席工程师郑文彬表示,基于比特币的勒索,很难查找踪迹,要想抓到黑客几乎不可能。事件发生后,网络热议,认为比特币不可追踪性、隐蔽性,给了黑客团伙提供了一个便捷作案工具。这件事是否要怪比特币?程超认为,本次勒索事件,比特币背了一个黑锅——即便没有比特币,黑客也会使用其它币种。当然,比特币也确实存在缺乏监管的问题,如果比特币交易所加强身份信息审核,将会增加黑客变现难度。当然,一旦比特币使用实名制,黑客也会寻找其他虚拟货币作为赎金。威客安全CEO陈新龙告诉Xtecher:虽然可以查到比特币流通的钱包信息,但是钱包信息是匿名的,因此无法追踪这个钱包属于谁。理论上来讲,可以通过技术手段找到钱包背后的人,但极为困难,目前仅是理论阶段。当然,比特币,作为一个新事物,不应该游离于法外之地,应辅以适当监管,保证行业稳定有序发展。2017年6月,中国将会出台比特币监管相关法律,或将在一定程度上让比特币免背黑锅。无论将来比特币如何接受监管,就目前而言,眼下人们似乎更为关心自己被病毒加密的文件该如何处理。亡羊补牢:预防为主NSA作为美国政府机构中最大的情报部门,在美国大片中,该部门似乎无所不能,但目前似乎尚未拿出对策,更遑论我等普通大众。网络安全专家刘博士告诉Xtecher:普通小白用户除了按照推荐设置开启系统防火墙、打开系统更新、安装杀毒软件、不访问可疑网络内容、小心使用可插拔存储之外,似乎没什么可做的。威客安全CEO陈新龙认为,高手在民间,不会只能束手就擒,大众要做的是保护好自己的个人财产安全,资金分类,分形态存放。那么,对于被勒索软件加密的文件该如何处理?杰思安全创始人刘春华表示,一旦文档被加密,如果黑客不提供解密的密码,则无法解密文档。所以,那些高校在写论文的孩子们,请老老实实重新写一遍!当然也可选择给对方发去赎金,不过黑客很有可能会撕票。当然,一个重要的破解信息或许已经出现。目前,网络上爆出已有专家查找出一个异常域名,网络安全专家注册该域名后,如果病毒能成功访问这个域名,就会停止攻击。这个异常域名是:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 对此,娄伟峰表示:由于不知道消息出处,消息并不靠谱,具体以病毒产商样本分析为主。威客CEO陈新龙表示,域名确实是一个重要的破解信息,如果无法与域名通讯,还是会被感染。且后续病毒可能有新的变种,攻击甚至更猛烈,只是互联网上的传播被遏制,如果域名被劫持,还会继续破坏。360安全首席工程师郑文彬表示,这件事情,敲响了大众“做好备份”的警钟。不过,即便有备份,也不一定百分百安全,尤其是对高校、政府等机构。陈新龙告诉Xtecher:对于此次攻击,即便政府有备份,但多数是离线备份,实时的业务数据一旦故障就无法更新,公共信息的服务基本都是动态的,所以大家误以为不能使用。此外,触发备份任务时,会涉及网络链接,许多备份策略基于445端口,因此源文件及备份文件会一并感染。当然,如果早期就打好补丁,做好预防,这次就可以幸免于难。互联网安全攻防,就像人类对于病菌的攻防,华为高级安全专家娄伟峰给出了一些建议:对于Onion、WNCRY这类混合型病毒的威胁,可通过访问控制手段,如防火墙,限制135、445等高位端口对内访问。通过邮件安全网管、WEB防火墙,严格过滤从互联网到内网的一切传播手段和邮件附件,彻底切断传播途径;通过沙箱工具进行启发式深度检测,比如使用华为的Firehunter来对未知威胁乃至APT进行深度检测,监控传染源,及时切断病毒传播,再在核心交换,接入交换机上屏蔽掉一切高危端口;最后,要有统一的终端安全工具,在终端上再次屏蔽高危的端口访问,并通过统一的补丁管理,及时打上最新的针对于MS17-010的补丁,通过纵深防御、层级联动的方式实现企业级安全的立体防护。静观其变1983年,凯文米特尼克因被发现使用一台大学内部电脑,擅自进入Internet的前身ARPA网,并通过该网入侵美国五角大楼电脑,而被判管教6个月。这一事件成为黑客攻击的开山之作。更可怕的是,黑客攻击手段曾出不穷:80年代的主流攻击方式是密码猜测、破解等;90年代是会话劫持、后门入侵等;2010年左右主要是远程控制、DDoS攻击、SQL注入等;2010年后主要是APT攻击、移动终端、云攻击等。杰思安全创始人刘春华表示:全世界黑客这两年的收益,是过去的5到10倍。黑客行为的逐利性带来黑产的异常活跃,各种黑客势力分工明确,形成完整合作链条,攻击目标和手段更加精准。在这种表面上的平静之中,以窃密、预制为目的的APT攻击,则由于其是高度隐秘的、难以为IT管理者感知到的攻击,始终未能得到足够的重视。没有引起足够的重视,或许也是导致本次全球大范围网络遭受攻击的原因。而对于此事后续发展状态如何,360安全首席工程师郑文彬认为“还很难预测”,只能等待黑客的下一步动作。互联网正从PC时代走向移动时代,手机也将同样面临巨大的安全考验。刘春华表示,未来移动智能终端安全将涉及各个方面,安全问题遵循“木桶效应”,解决一部分问题,不代表移动终端安全问题就得到了解决。移动安全是一个生态圈,需大家共同努力,只有企业、应用市场、终端厂商、个人用户各方一起携手提高安全意识,才能最终建立并不断优化移动智能终端的安全生态链。此外,业务应用云端化,带来了新一轮生产效率的提高,云的出现,是一次IT业务模式的重大变革,也让为其提供支撑保障的安全体系,面临着新的挑战。除了云服务商提供一定的安全保障外,使用云端的客户更要有防范意识,而非将安全交于他人之手。道高一尺魔高一丈,网络没有绝对安全。威客安全CEO陈新龙认为,日后通过加密进行勒索的方式会层出不穷,取消隐蔽支付与变现,是遏制这类事件发生的关键,安全防御能力的自动化防御将是趋势。人工反应速度无法赶上机器传播速度,这次事件各个国家将高度重视,带来的世界级的影响也将给各类人群敲响警钟,网络安全战略将走向一个新高度。尾注:本文特别感谢所有嘉宾在周末夜晚第一时间响应了Xtecher的访问!本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com如对本稿件有异议或投诉,请联系tougao@huxiu.com正在改变与想要改变世界的人,都在 虎嗅APP

赞赏

关闭赞赏

开启赞赏

支持一下

  修改

确定

Copyright © 

虎嗅网 京ICP备12013432号-1      

京公网安备 11010502037938号

WannaCry - 维基百科,自由的百科全书

WannaCry - 维基百科,自由的百科全书

跳转到内容

主菜单

主菜单

移至侧栏

隐藏

导航

首页分类索引特色内容新闻动态最近更改随机条目资助维基百科

帮助

帮助维基社群方针与指引互助客栈知识问答字词转换IRC即时聊天联络我们关于维基百科

搜索

搜索

创建账号

登录

个人工具

创建账号 登录

未登录编辑者的页面 了解详情

贡献讨论

目录

移至侧栏

隐藏

序言

1背景

2影响

开关影响子章节

2.1中国大陆

2.2香港

2.3台湾

2.4英国

2.5日本

2.6其他

3病毒功能

4应对措施

开关应对措施子章节

4.1防御

4.2复原数据

5评论

6调查

7軼事

8参见

9参考资料

10外部链接

开关目录

WannaCry

52种语言

AfrikaansالعربيةAzərbaycancaБългарскиभोजपुरीBosanskiCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiEuskaraفارسیSuomiFrançaisעבריתहिन्दीMagyarՀայերենBahasa IndonesiaItaliano日本語한국어LombardLietuviųമലയാളംBahasa Melayuမြန်မာဘာသာNederlandsਪੰਜਾਬੀPolskiPortuguêsRomânăРусскийSrpskohrvatski / српскохрватскиSimple EnglishSlovenčinaSlovenščinaСрпски / srpskiSvenskaதமிழ்ТоҷикӣไทยTürkçeУкраїнськаاردوTiếng Việt文言粵語

编辑链接

条目讨论

不转换

不转换简体繁體大陆简体香港繁體澳門繁體大马简体新加坡简体臺灣正體

阅读编辑查看历史

工具

工具

移至侧栏

隐藏

操作

阅读编辑查看历史

常规

链入页面相关更改上传文件特殊页面固定链接页面信息引用本页获取短URL下载二维码维基数据项目

打印/导出

下载为PDF打印页面

在其他项目中

维基共享资源

维基百科,自由的百科全书

  此條目介紹的是2017年5月12日开始流行的电脑軟體。关于有勒索行为的軟體,请见「勒索軟體」。

WannaCry解密程序截图,Wanna Decrypt0r 2.0。日期2017年5月12日 (2017-05-12)-2017年5月15日 (2017-05-15)地点全球类型加密性勒索软件、電腦蠕蟲主题网络攻击、漏洞利用参与者The Shadow Brokers结果超过230,000台计算机受到影响[1],但目前受控

WannaCry(直译“想哭”[2][3]、“想解密”[4],俗名“魔窟”[5][6],或称WannaCrypt[7]、WanaCrypt0r 2.0[8][9]、Wanna Decryptor[10])是一种利用NSA的“永恒之蓝”(EternalBlue)漏洞利用程序透過互联网对全球运行Microsoft Windows操作系统的计算机进行攻击的加密型勒索軟體兼蠕虫病毒(Encrypting Ransomware Worm)。该病毒利用AES-128和RSA算法恶意加密用户文件以勒索比特币,使用Tor进行通讯[11],为WanaCrypt0r 1.0的变种[12]。

2017年5月,此程式大规模感染包括西班牙電信在内的许多西班牙公司、英国國民保健署[13]、聯邦快遞和德国铁路股份公司。据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击(截至2018年,已有大约150个国家遭到攻击)。[14][15][16][17]俄罗斯联邦内务部、俄羅斯聯邦緊急情況部和俄罗斯电信公司MegaFon(英语:MegaFon)共有超过1000台计算机受到感染。[18]於中国大陆的感染甚至波及到公安机关使用的内网[19],国家互联网应急中心亦发布通报[20][21]。

WannaCry被认为利用了美国国家安全局的“永恒之蓝”(EternalBlue)工具以攻击运行Microsoft Windows操作系统的计算机。[17][9]“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主[22][需要較佳来源]。“永恒之蓝”利用了某些版本的微软伺服器訊息區塊(SMB)协议中的數個漏洞,而當中最嚴重的漏洞是允許遠端電腦執行程式碼。修复该漏洞的安全补丁已經于此前的2017年3月14日发布[23],但并非所有计算机都进行了安装[24]。

背景[编辑]

此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”(EternalBlue)工具。黑客组织“影子掮客”(The Shadow Brokers)在2017年4月14日发布了一批从方程式组织(Equation Group)泄露的工具,其中便包括“永恒之蓝”[25][26][27];而方程式集团据信是属于美国国家安全局[28][29]。

永恒之蓝利用了Windows服务器消息块1.0(SMBv1)的數個漏洞,這些漏洞在通用漏洞披露(CVE)網站中分別被列為CVE-2017-0143至CVE-2017-0148。而就这些漏洞,微软公司已于2017年3月14日在TechNet發佈“MS17-010”的資訊安全公告,並向用户推送了Windows系统修复补丁“KB4013389”封堵此漏洞。[23]但因该補丁只適用於仍提供服务支持的Windows Vista或更新的作業系統(注:此补丁不支持Windows 8),較舊的Windows XP等作業系統並不适用。[23]不少用户也因各种原因而未开启或完成系统补丁的自动安装。

2017年4月21日起,安全研究者检测到数以万计被安装DoublePulsar(英语:DoublePulsar)后门的计算机[30],该后门是另一款从NSA外泄的黑客工具[31]。截至4月25日,感染该后门的计算机估计有几十万台,数字每天还在呈指数增长[32][33]。除EternalBlue外,WannaCry的本轮攻击也利用了这一名为DoublePulsar的后门[34][35]。

2017年5月12日[36],WannaCry在国际互联网开始广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机硬盘和存储装置中许多格式的文件进行加密[37][38],然后再利用网络文件共享系统的漏洞,传播到任意的其他联网的主机[39],而处于同一局域网的相邻主机也会被感染。[40]这个漏洞不是零日攻击的漏洞(还没有补丁的安全漏洞),而微软早在2017年3月14日就推送了更新,封堵了这个漏洞。[23]与此同时,微软也通告用户,不要再使用老旧的第一代服务器消息块,应该以最新的第三代服务器消息块取而代之。[41]

没有及时下载这个补丁的Windows主机很可能被感染,而到目前为止,没有证据显示攻击者是有目标的进行攻击。还在运行已被微软淘汰的Windows XP的主机则非常危险,因为微软早已不对Windows XP提供安全更新与支持。[42]但由于此次事件的严重性,微软后已为部分已经淘汰的系统发布了漏洞修复补丁,Windows XP、Windows Server 2003和Windows 8用户都可从微软网站下载修复补丁[43]。但部分腾讯电脑管家用户因补丁遭到屏蔽而未能接受到安全更新,事后据官方回应,部分第三方修改系统安装补丁后可能致使蓝屏、系统异常,因此有部分用户补丁被屏蔽[44][45]。

影响[编辑]

首轮受到攻擊的國家及地區

中国大陆[编辑]

2017年5月12日晚,中国大陆內地部分高校学生反映电脑被病毒攻击,檔案被加密。病毒疑似透過教育网传播[46]。随后,山东大学、南昌大学、广西师范大学、桂林電子科技大學、大连海事大学、东北财经大学等十几家高校发布通知,提醒师生上网时注意防范[47][48]。除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等警方内部网和政企专网也遭遇了病毒袭击,许多警方部门和政府部门由於勒索软件的影响被迫停止工作[49][50][51][52]。中国国家互联网应急中心发布关于防范WannaCry的情况通报,称全球约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址数量9300余个[53]。由于中国大陆个人网络用户的445网络端口大多已被网络运营商屏蔽,故该病毒对一般家庭用户影响不大[54]。而且病毒首轮传播时,中国大陆正值週五夜晚,事发后许多安全软件已立即呼吁用户完成更新以抵抗病毒。

香港[编辑]

截至香港時間2017年5月16日為止,香港電腦保安事故協調中心收到受加密勒索軟件「WannaCry」攻擊的報告,增至31宗,比15日多14宗。新增個案一宗來自商業機構,其餘是家庭用戶,大部分都是使用微軟Windows軟件或伺服器。其中家庭用戶多使用Windows 7;商業用戶涉及Windows 7及Windows Server 2008系統[55]。香港警方亦接獲3宗有關報案。[56][57]

台湾[编辑]

此病毒也重創臺灣,爆發初期,受到感染的電腦使用者於PTT、Dcard等社群發文,而後臺灣媒體在2017年5月13日對此新聞作出大篇幅報導。

2018年8月3日台積電發生成立以來重大資安事件,造成竹科、中科與南科廠區停工,此次事件肇因為新機台在安裝軟體的過程中發生操作失誤。3日安裝新機台時並未將此機台於連結網路前先隔離確保無病毒,造成「WannaCry」變種病毒進入公司網路,令機台當機或是重複開機。此次受到感染的機台與自動搬運系統,以及相關的電腦系統,主要是使用Windows 7卻未安裝修正軟體於機台自動化介面,以致受影響的機台無法運作以及部分自動搬運系統無法正常運作。[58]

英国[编辑]

勒索软件影响了英国医疗系统的运作。[59]由於勒索软件导致的系统瘫痪,部分常规手术被临时取消,救护车也被迫分流到其他未受到影响的医院。[16][60]英国国民保健署在2016年仍然有上千台电脑在使用Windows XP,[61]而Windows XP直到本次感染爆发之前并没有任何修复服务器消息块漏洞的补丁,这成为英国医疗系统受到攻击的原因之一。

日本[编辑]

据日本警察厅声称,截至5月18日,在日本境内被确认的受害事件共21件。具体为东京、大阪等地共4个企业、神奈川县内的行政机关、茨城县的一家医院等。[62]当地时间15日,日本政府于首相官邸危机管理中心设置“情报联络室”。[63]6月19日,本田在狭山市的汽车工厂受WannaCry影响停工一天。[64]

其他[编辑]

此外,巴西圣保罗法院[65]、加拿大公共卫生服务机构湖嶺醫療網絡(英语:Lakeridge Health)[66]、哥伦比亚国立卫生研究院[67]、法国雷诺[68]、德国铁路系统[69]、印度安得拉邦警察局[70]、印度尼西亚的多家医院[71]、意大利米兰比科卡大学[72]、罗马尼亚外交部[73][74]、俄罗斯通讯运营商MegaFon(英语:MegaFon)[75]、俄罗斯联邦内务部[76]、俄罗斯铁路[77]以及西班牙[78]、瑞典[71]、匈牙利[79]、泰国[80]、荷兰[81]、葡萄牙[82]等将近一百个国家的机构院所也受到波及。

病毒功能[编辑]

以下以2017年5月第一次大规模传播的病毒版本为主;该病毒早前的一个版本曾于4月透過电子邮件和有害Dropbox链接传播,但没有利用Windows漏洞进行主动传播的能力[83]。

通过利用漏洞,病毒不需要打搅用户,可以静默获得操作系统的特权,然后得以在本地网络中传染。[84]

简而言之,程序在加载完成后会调用Windows的CryptoAPI,新生成一对2048位的RSA密钥。密钥对包括私钥和公钥,它们会被存储至被感染计算机;但解密时需要的私钥在存储前会使用程序自带的另一RSA公钥加密,该公钥对应的私钥由攻击者持有。[85]

随后程序会遍历存储设备(部分系统文件夹等除外[12]),加密特定扩展名的文件;程序在加密文件时使用AES算法,会为每一个文件随机生成一个128位AES密钥,密钥随后会被程序加载完后生成的RSA公钥加密,并在当前文件加密完后存储在该文件的头部[11]。程序还会调用命令提示符删除设备上的卷影副本(Shadow copy)备份[86]。早先有报道认为这一操作可能会引起UAC弹框而被用户注意到[87],但后续分析指出,病毒是通过内核漏洞注入系统进程来执行的,传染过程中并不会有UAC弹窗出现[88]。

加密过程结束后,病毒会把系统壁纸替换成英语告示[87],并显示一封提供28种语言版本的勒索信[60],其中部分可能使用了机器翻译[89][90]。程序要求用户支付与300至600美元等值的比特币[87][91],并在勒索信中給予被感染者3天期限,如若超過贖金會翻倍,超过一周仍未付款則會“撕票”[92]。在勒索信中,病毒还声称今后可能举行免费恢复活动,对象是运气好且“半年以上没钱付款的穷人”[93]。

程序透過Tor匿名网络与攻击者的服务器连接[87]。此外,程序还会在计算机所属局域网内,隨機连接其他電腦SMB使用的TCP/UDP 445與139等埠以自我传播[40],并尝试用同樣方式随机感染互联网上的其他计算机[39]。

据思科分析,病毒在感染其他计算机时会尝试透過DoublePulsar(英语:DoublePulsar)后门安装[94]。而根据《连线》的报道,此病毒也会同时在计算机上安装该后门[17],现已有脚本可检测并移除[39]。

攻击者在程序中硬编码了至少3个比特币地址(或称“钱包”),以接收受害者的赎金[95],这些钱包的真实拥有者身份不明,但交易情况和余额是公开的。有人在Twitter上设置了一个机器人(英语:Twitterbot),以实时追踪这三个钱包收到的转账。[96]截至2017年5月14日 (2017-05-14)[update],攻击者已获得约合3.2万美元的比特币[97]。

应对措施[编辑]

防御[编辑]

若想有效防御此蠕虫的攻击,首先应立即部署Microsoft安全公告MS17-010中所涉及的所有安全更新。Windows XP、Windows Server 2003以及Windows 8应根据微软的用户指导安装更新。

当不具备条件安装安全更新,且没有与Windows XP (同期或更早期Windows)主机共享的需求时,应当根据Microsoft安全公告MS17-010[98]中的变通办法[99],禁用SMBv1协议,以免遭受攻击。虽然利用Windows防火墙阻止TCP 445端口也具备一定程度的防护效果,但这会导致Windows共享完全停止工作,并且可能会影响其它应用程序的运行,故应当按照微软公司提供的变通办法[99]来应对威胁。

2017年5月第一次大规模传播时,署名为MalwareTech的英国安全研究员在当时的病毒中发现了一个未注册的域名,主因是病毒內建有傳播開關(Kill Switch),會向該域名發出DNS請求,用於測試病毒是否處於防毒軟件的虛擬運作環境中,由於該域名並沒有設置DNS,所以正常情況是不會有回應,若有回應就說明處於虛擬環境下,病毒會停止傳播以防被防毒軟件清除[100][101][102]。这名安全研究员花费8.29英镑注册域名后发现每秒收到上千次请求。在该域名被注册后,部分计算机可能仍会被感染,但“WannaCry的这一版本不会继续传播了”[103]。

然而需要注意的是,在部分网络环境下,例如一些局域网、内部网,或是需要透過代理服务器才能访问互联网的网络,此域名仍可能无法正常连接[104][39]。另外,有报道称该病毒出现了新的变种,一些变种在加密与勒索时并不检查这一域名[105][106][107]。

复原数据[编辑]

該病毒會「读取源文件并生成加密文件,直接把源文件作删除操作」[108]。2017年5月19日,安全研究人员Adrien Guinet发现病毒用来加密的Windows API存在的缺陷,在Windows10以下版本的操作系统中,所用私钥会暂时留在内存中而不会被立即清除。他开发并开源了一个名为wannakey的工具,并称这适用于为感染该病毒且运行Windows XP的计算机找回文件,前提是该计算机在感染病毒后并未重启,且私钥所在内存还未被覆盖(这需要运气)[109]。后有开发者基于此原理开发了名为「wanakiwi」的软件,使恢复过程更加自动化,并确认该方法适用于运行Windows XP至Windows 7时期间的多款Windows操作系统[110]。一些安全厂商也基于此原理或软件开发并提供了图形化工具以帮助用户恢复文件[111][112]。

评论[编辑]

一些人士批评与此事件有关联的美国国家安全局(NSA)。棱镜计划告密人爱德华·斯诺登称,如果NSA“在发现用于此次对医院进行攻击的缺陷时就进行私下披露(英语:Responsible disclosure),而不是等到丢失时才说,(此次攻击)就可能不会发生”[60]。微软总裁布拉德·史密斯则表示:“政府手中的漏洞利用程序一次又一次地泄露到公共领域,造成广泛破坏。如果用常规武器来说,这种情况等同于美军的战斧导弹发生失窃。”[113][114]

也有人士聚焦于网络安全意识方面。德国联邦信息安全办公室主任Arne Schönbohm声明道:“现在发生的攻击突显出我们的信息社会是多么脆弱。这对公司是一次警醒,是时候认真考虑IT安全了。”[115][116]美国外交关系协会数字和网络政策项目负责人亚当·谢加尔(英语:Adam Segal)认为政府和私营部门的补丁和更新系统运转不正常,不是所有人都会在第一时间为系统漏洞打上补丁[117];半岛电视台在文章中引述观点称,许多企业的员工缺乏网络安全方面的训练[116]。《福布斯》网站上的一篇专栏文章则认为,该攻击生动地证明了安全(英语:Storage security)备份和良好安全习惯的重要性,包括及时安装最新的安全更新[118]。英国首相特雷莎·梅也就此次攻击发表讲话,称英国国家网络安全中心正在与所有受攻击的机构合作调查[119]。特雷莎·梅还表示:“这不是针对国民保健署的攻击,这是国际性的攻击,全世界数以千计的国家和组织都受到了影响[120]。”

调查[编辑]

2017年5月29日,据CNET引述美国安全公司闪点(Flashpoint)发布的报告称,根据对病毒附带的28种语言撰写的勒索信的文法分析研究,病毒制造者有可能是一名中文母语者[121],其中文版勒索信文法道地,而英文版有一些语法错误,其他语言版本则更像是借助Google翻译以机器翻译而得[122]。在早前的5月16日,Google、卡巴斯基、闪点等多家安全公司的安全研究员曾发文认为,病毒的幕后黑手可能是源自朝鲜的“拉撒路组”(Lazarus Group)黑客组织[123],而据传该组织成员居于中国[121]。但奇虎360和安天的安全工程师认为闪点网络情报公司仅以语言判断是十分不专业的臆测行为,質疑其只是為了吸引目光焦點[124]。

2017年6月17日,据《华盛顿邮报》报道,NSA的内部报告认为此恶意软件来自朝鲜情报机关赞助的黑客团体,并对这份报告有“中等信心(moderate confidence)”。[125]英国国家网络安全中心(英语:National Cyber Security Centre (United Kingdom))(NCSC)也发布报告将此事件源头指向北韓的黑客团队[126][127]。

2017年10月,微软总裁布莱德·史密斯(Brad Smith)接受ITV采访称,他非常相信北韓是影响全球150个国家摧毁20万台电脑的幕后黑手[128]。

軼事[编辑]

2017年5月15日,臺灣一名Windows XP使用者遭受WannaCry的攻擊後,因電腦配備老舊,導致WannaCry程式運作到一半,突然「停止回應」而無法運作。[129][130]

参见[编辑]

知名病毒及蠕蟲的歷史年表

Petya

WannaRen

参考资料[编辑]

^ Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. [2017-05-13]. (原始内容存档于2019-04-09). 

^ 不哭! 有办法对付“想哭”电脑勒索病毒了!. BBC中文网. 2017-05-13 [2017-05-14]. (原始内容存档于2021-08-19). 

^ 勒索软件威胁远未消失15日开机面临考验. 人民网. 新华社. 2017-05-15 [2017-05-15]. (原始内容存档于2017-08-05). 

^ https://www.sohu.com/a/140738808_728627. 搜狐. [2017-05-24]. (原始内容存档于2019-06-28).  外部链接存在于|title= (帮助)

^ 病毒来袭!交通行业网安专家权威答疑支招. 中国交通新闻网. 2017-05-15 [2017-05-20]. (原始内容存档于2021-06-21). 

^ 勒索蠕虫“魔窟(WannaCry)”FAQ之三. 安天实验室. [2017-05-20]. (原始内容存档于2019-06-19). 

^ MSRC Team. Customer Guidance for WannaCrypt attacks. Microsoft. [2017-05-13]. (原始内容存档于2017-05-21). 

^ Jakub Kroustek. Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.. Avast Security News. Avast Software, Inc. 2017-05-12 [2017-05-14]. (原始内容存档于2019-05-05). 

^ 9.0 9.1 Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. [2017-05-12]. (原始内容存档于2018-06-28). 

^ Woollaston, Victoria. Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?. WIRED UK. [2017-05-13]. (原始内容存档于2017-05-13) (英国英语). 

^ 11.0 11.1 Global WannaCry ransomware outbreak uses known NSA exploits. [2017-05-14]. (原始内容存档于2021-02-11). 

^ 12.0 12.1 RANSOM_WCRY.C - Threat Encyclopedia - Trend Micro USA. www.trendmicro.com. [2017-05-14]. (原始内容存档于2021-06-18) (英语). 

^ Marsh, Sarah. The NHS trusts hit by malware – full list. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始内容存档于2017-05-15) (英国英语). 

^ Statement on reported NHS cyber attack. digital.nhs.uk. [2017-05-13]. (原始内容存档于2017-05-19) (英国英语). 

^ Hern, Alex; Gibbs, Samuel. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始内容存档于2017-05-12) (英国英语). 

^ 16.0 16.1 NHS cyber-attack: GPs and hospitals hit by ransomware. BBC News. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-12) (英国英语). 

^ 17.0 17.1 17.2 Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-21). 

^ Ransomware virus plagues 75k computers across 99 countries. RT International. [2017-05-13]. (原始内容存档于2017-05-12) (美国英语). 

^ cnBeta. 勒索病毒国内蔓延 多地出入境系统受影响瘫痪_警告!_cnBeta.COM. cnbeta. [2017-05-13]. (原始内容存档于2021-08-01) (中文(中国大陆)). 

^ 国家互联网应急中心关于防范Windows操作系统勒索软件Wannacry的情况通报. 国家互联网应急中心. 2017-05-13 [2017-05-13]. (原始内容存档于2022-04-19). 

^ 国家互联网应急中心发布勒索软件情况通报. 新浪科技. 2017-05-13 [2017-05-13]. (原始内容存档于2021-08-01). 

^ 花子健. 这次全球规模的网络病毒攻击 每天动动手指就能解决. 凤凰网. 2017-05-13 [2017-05-13]. (原始内容存档于2021-06-23) (中文). 

^ 23.0 23.1 23.2 23.3 Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com. 微软. 2017-03-14 [2017-05-13]. (原始内容存档于2017-05-21) (英语). 

^ 15:58, 12 May 2017 at. WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain. [2017-05-13]. (原始内容存档于2017-05-19). 

^ Menn, Joseph. Russian researchers expose breakthrough U.S. spying program. Reuters. 2015-02-17 [2015-11-24]. (原始内容存档于2015-09-24). 

^ NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica. [2017-04-15]. (原始内容存档于2017-05-13) (美国英语). 

^ misterch0c. GitHub. [2017-04-15]. (原始内容存档于2022-04-09) (英语). 

^ Fox-Brewster, Thomas. Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'. Forbes. 2015-02-16 [2015-11-24]. (原始内容存档于2015-11-19). 

^ Latest Shadow Brokers dump—owning SWIFT Alliance Access, Cisco and Windows. Medium. 2017-04-14 [2017-04-15]. (原始内容存档于2017-05-18). 

^ Goodin, Dan. >10,000 Windows computers may be infected by advanced NSA backdoor. ARS Technica. [2017-05-14]. (原始内容存档于2017-07-18) (英语). 

^ Over 36,000 Computers Infected with NSA's DoublePulsar Malware. BleepingComputer. [2017-05-14]. (原始内容存档于2021-09-26) (英语). 

^ Goodin, Dan. NSA backdoor detected on >55,000 Windows boxes can now be remotely removed. ARS Technica. [2017-05-14]. (原始内容存档于2017-07-10) (英语). 

^ Broersma, Matthew. NSA Malware 'Infects Nearly 200,000 Systems'. Silicon. [2017-05-14]. (原始内容存档于2017-05-06) (英语). 

^ Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. Gizmodo. 2017-05-13 [2017-05-15]. (原始内容存档于2019-04-09) (英语). 

^ How One Simple Trick Just Put Out That Huge Ransomware Fire. Forbes. 2017-05-13 [2017-05-15]. (原始内容存档于2021-06-04) (英语). 

^ Newman, Lily Hay. The Ransomware Meltdown Experts Warned About Is Here. Wired.com. [2017-05-13]. (原始内容存档于2017-05-19). 

^ Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency. The Telegraph. [2017-05-12]. (原始内容存档于2017-05-12) (英国英语). 

^ Bilefsky, Dan; Perlroth, Nicole. Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool. The New York Times. 2017-05-12 [2017-05-12]. ISSN 0362-4331. (原始内容存档于2017-05-12). 

^ 39.0 39.1 39.2 39.3 Clark, Zammis. The worm that spreads WanaCrypt0r. Malwarebytes Labs. malwarebytes.com. [2017-05-13]. (原始内容存档于2017-05-17). 

^ 40.0 40.1 Samani, Raj. An Analysis of the WANNACRY Ransomware outbreak. McAfee. [2017-05-13]. (原始内容存档于2017-05-13). 

^ JoseBarreto. The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect. 微软. 2015-04-21 [2017-05-13]. (原始内容存档于2017-05-21). 

^ Windows XP End of Support. www.microsoft.com. [2017-05-13]. (原始内容存档于2016-11-08). 

^ The Microsoft Security Response Center (MSRC). Customer Guidance for WannaCrypt attacks. blogs.technet.microsoft.com/msrc. 微软. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-21). 

^ Team, Discuz! Team and Comsenz UI. 腾讯电脑管家论坛. bbs.guanjia.qq.com. [2017-05-15]. (原始内容存档于2017-08-05). 

^ 勒索病毒肆虐背后:互联网“变得更安全了”只是一种错觉|  PingWest品玩. www.pingwest.com. [2017-05-16]. (原始内容存档于2018-06-16). 在腾讯电脑管家论坛关于此次WannaCry的官方知识贴中,主动解释了“为何微软3月发布的补丁会被屏蔽” 

^ 马卡. 全国部分高校校园网受大规模病毒攻击:传播迅猛、勒索比特币. IT之家. 2017-05-12 [2017-05-13]. (原始内容存档于2021-06-03). 

^ 仲平. 中国多所校园网发紧急通知:提醒防范勒索软件攻击. IT之家. 2017-05-13 [2017-05-13]. (原始内容存档于2017-07-24). 

^ 何利权. “勒索软件病毒”肆虐中国多所高校:一旦中招便无法“挽救”. 澎湃新闻. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-17). 

^ 远洋. 勒索软件蔓延,国内多地出入境系统疑受影响瘫痪. IT之家. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-16). 

^ Bank of China ATMs Go Dark As Ransomware Attack Cripples China | Zero Hedge. www.zerohedge.com. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-16) (英语). 

^ 中西部交管部门受勒索病毒影响山西部分交管业务暂停. 腾讯科技. 澎湃新闻. 2017-05-15 [2017-05-15]. (原始内容存档于2021-06-16). 

^ 为应对勒索病毒!珠海紧急停办公积金业务加固升级内外网络. 新浪网. [2017-05-15]. (原始内容存档于2017-08-05). 

^ 关于防范Windows操作系统勒索软件Wannacry的情况通报. CNCERT. 2017-05-13 [2017-05-13]. (原始内容存档于2021-06-20). 

^ 勒索病毒肆掠全球100国,中国高校大量沦陷. 网易. 钛媒体. 2017-05-13 [2017-05-16]. (原始内容存档于2017-08-05). 

^ 港增14宗WannaCry攻擊. 明報. 2017-05-17 [2017-05-17]. (原始内容存档于2017-08-05). 

^ 本港遭WannaCry攻擊增至31宗警接3宗報案. 電視廣播有限公司. 2017-05-16 [2017-05-16]. (原始内容存档于2021-06-15). 

^ 【WannaCry殺到】電腦保安事故協調中心:今日新增14攻擊個案. 明報. 2017-05-16 [2017-05-16]. (原始内容存档于2017-08-05). 

^ 王宏仁. 【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(下). iThome. 2018-08-10 [2019-06-04]. (原始内容存档于2021-06-15) (中文(臺灣)). 

^ Global cyberattack strikes dozens of countries, cripples U.K. hospitals. cbsnews.com. [2017-05-13]. (原始内容存档于2017-05-17) (英语). 

^ 60.0 60.1 60.2 Wong, Julia Carrie; Solon, Olivia. Massive ransomware cyber-attack hits 74 countries around the world. The Guardian. London. 2017-05-12 [2017-05-12]. (原始内容存档于2017-05-21) (英语). 

^ NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP. Motherboard. [2017-05-13]. (原始内容存档于2017-05-18) (英语). 

^ サイバー攻撃 日本での被害 21件確認. 2017-05-18. [永久失效連結]

^ 政府サイバー攻撃対策の「情報連絡室」を設置. 2017-05-15. [永久失效連結]

^ WannaCry勒索病毒阴魂不散:本田汽车工厂遭殃了. 快科技. 2017-06-22 [2017-06-25]. (原始内容存档于2019-06-10) (中文). 

^ WannaCry no Brasil e no mundo. O Povo. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-21) (葡萄牙语). 

^ Ontario health ministry on high alert amid global cyberattack. Thestar.com. 2017-05-13 [2017-05-22]. (原始内容存档于2021-06-04).  已忽略文本“Toronto Star” (帮助)

^ Instituto Nacional de Salud, entre víctimas de ciberataque mundial. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-16). 

^ France’s Renault hit in worldwide ‘ransomware’ cyber attack. france24.com. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-21) (西班牙语). 

^ Weltweite Cyberattacke trifft Computer der Deutschen Bahn. faz.net. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-16) (德语). 

^ Andhra police computers hit by cyberattack. Times of India. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-14) (英语). 

^ 71.0 71.1 Global cyber attack: A look at some prominent victims. elperiodico.com. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-20) (西班牙语). 

^ Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca. repubblica.it. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-17) (意大利语). 

^ (罗马尼亚文) UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO. Libertatea. 2017-05-12 [2017-05-14]. (原始内容存档于2017-05-17). 

^ (罗马尼亚文) Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța. Pro TV. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-16). 

^ Massive cyber attack creates chaos around the world. news.com.au. [2017-05-13]. (原始内容存档于2017-05-19). 

^ Researcher 'accidentally' stops spread of unprecedented global cyberattack. ABC News. [2017-05-13]. (原始内容存档于2017-05-20). 

^ Компьютеры РЖД подверглись хакерской атаке и заражены вирусом. Radio Liberty. [2017-05-13]. (原始内容存档于2017-05-16). 

^ Un ataque informático masivo con 'ransomware' afecta a medio mundo. elperiodico.com. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-12) (西班牙语). 

^ Balogh, Csaba. Ideért a baj: Magyarországra is elért az óriási kibertámadás. HVG. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-13) (匈牙利语). 

^ เซิร์ฟเวอร์เกม Blade & Soul ของ Garena ประเทศไทยถูก WannaCrypt โจมตี. blognone.com. 2017-05-13 [2017-05-14]. (原始内容存档于2021-06-04) (泰语). 

^ Parkeerbedrijf Q-Park getroffen door ransomware-aanval. 

^ PT Portugal alvo de ataque informático internacional. Observador. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-12) (葡萄牙语). 

^ Massive WannaCry/Wcry Ransomware Attack Hits Various Countries - TrendLabs Security Intelligence Blog. TrendLabs Security Intelligence Blog. 2017-05-12 [2017-05-15]. (原始内容存档于2020-08-09) (英语). 

^ 存档副本. [2017-05-13]. (原始内容存档于2017-05-13). 

^ Trustlook. WannaCry Ransomware Scanner and Vaccine Toolkit. Trustlook. 2017-05-14 [2017-05-14]. (原始内容存档于2017-05-17) (英语). 

^ WannaCrypt ransomware worm targets out-of-date systems. Windows Security. [2017-05-15]. (原始内容存档于2021-02-11) (英语). 

^ 87.0 87.1 87.2 87.3 WannaCry ransomware used in widespread attacks all over the world - Securelist. securelist.com. [2017-05-14]. (原始内容存档于2017-06-03) (英语). 

^ 存档副本. [2017-10-20]. (原始内容存档于2022-04-07). 

^ WanaCrypt0rランサムウェア身代金ウイルス.wncry拡張子ファイル変更 - 無題な濃いログ. 無題な濃いログ. [2017-05-14]. (原始内容存档于2018-10-15) (日语). 

^ Lee, Dave. 勒索软件WannaCry网络攻击:“或与朝鲜有关”?. BBC中文网. 2017-05-16 [2017-05-16]. (原始内容存档于2021-05-21) (中文(简体)). 而要求赎金的文本使用了机器翻译的英文 

^ An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. [2017-05-14]. (原始内容存档于2017-05-12) (英语). 

^ What you need to know about the WannaCry Ransomware. Symantec Security Response. [2017-05-14]. (原始内容存档于2021-06-04) (英语). 

^ What You Need to Know About WannaCry Now – Safe and Savvy Blog by F-Secure. [2017-05-14]. (原始内容存档于2017-10-20) (英语). 

^ Player 3 Has Entered the Game: Say Hello to 'WannaCry'. blog.talosintelligence.com. [2017-05-15]. (原始内容存档于2021-06-04) (英语). 

^ 安天对勒索者蠕虫“魔窟”WannaCry支付解密流程分析 (PDF). [2017-05-23]. (原始内容 (PDF)存档于2017-05-21). 

^ Collins, Keith. Watch as these bitcoin wallets receive ransomware payments from the global cyberattack. Quartz. [2017-05-14]. (原始内容存档于2021-06-04) (英语). 

^ 勒索病毒黑客获利达3.2万美元预计周一将大幅增加. 新浪科技. 2017-05-14 [2017-05-15]. (原始内容存档于2019-06-11). 

^ Microsoft安全公告MS17-010. 

^ 99.0 99.1 如何在Windows和Windows Server中启用和禁用SMBv1、SMBv2和SMBv3. [2017-06-07]. (原始内容存档于2017-06-27). 

^ 原來WannaCry 2.0是失敗試作品 ! 真3.0變種版本已開始感染. Unwire.hk. 2017-05-15 [2017-05-15]. (原始内容存档于2017-05-15) (中文). 

^ Francisco, Nadia Khomami Olivia Solon in San. 'Accidental hero' halts ransomware attack and warns: this is not over. The Guardian. 2017-05-13 [2017-05-15]. ISSN 0261-3077. (原始内容存档于2019-05-23) (英语). 

^ 英国小哥意外拯救世界8.29英镑阻止网络病毒蔓延. [2017-05-14]. (原始内容存档于2021-06-15). 

^ 勒索病毒全球蔓延 他利用几美元成功阻止灾难. [2017-05-14]. (原始内容存档于2017-05-13). 

^ McCausland, Phil; Petulla, Sam. After Huge Global Cyberattack, Countries Scramble to Halt Spread of Ransomware. NBC News. [2017-05-14]. (原始内容存档于2021-06-20) (英语). 

^ Khandelwal, Swati. It’s Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'. The Hacker News. [2017-05-14]. (原始内容存档于2021-06-04) (英语). 

^ Erpressungssoftware: Experten fürchten neue "WannaCry"-Attacken – SPIEGEL ONLINE – Netzwelt. SPIEGEL ONLINE. [2017-05-14]. (原始内容存档于2021-06-18) (英语). 

^ Shieber, Jonathan. Companies, governments brace for a second round of cyberattacks in WannaCry’s wake. TechCrunch. [2017-05-14]. (原始内容存档于2021-06-04) (英语). 

^ 【美亚柏科】针对"WannaCry"勒索病毒推出数据恢复方案. 搜狐. 2017-05-15 [2017-05-18]. (原始内容存档于2017-08-05). 

^ Researcher Open Sources WannaKey Tool That Cracks WannaCry Ransomware Encryption. 2017-05-19 [2017-05-21]. (原始内容存档于2021-06-20). 

^ Wanakiwi是WannaCry勒索病毒的快速解法(只要你还没重启...). engadget. 2017-05-19 [2017-05-20]. (原始内容存档于2019-06-12). 

^ 安天发布魔窟WannaCry蠕虫解密工具,微信公众号文章的存档

^ 阿里云安全团队发布WannaCry“一键解密和修复”工具. 阿里云. [2017-05-21]. (原始内容存档于2019-06-10). 

^ Ransomware attack 'like having a Tomahawk missile stolen', says Microsoft boss. The Guardian. 2017-05-14 [2017-05-15]. (原始内容存档于2022-04-07) (英语). 

^ Smith, Brad. The need for urgent collective action to keep people safe online. microsoft.com. Microsoft. [2017-05-14]. (原始内容存档于2017-05-16) (英语). 

^ WannaCry: BSI ruft Betroffene auf, Infektionen zu melden. heise online. [2017-05-14]. (原始内容存档于2022-04-08) (德语). 

^ 116.0 116.1 WannaCry: What is ransomware and how to avoid it. Al Jazeera. [2017-05-14]. (原始内容存档于2018-10-17) (英语). 

^ Helmore, Edward. Ransomware attack reveals breakdown in US intelligence protocols, expert says. The Guardian. 2017-05-13 [2017-05-14]. (原始内容存档于2021-06-04) (英语). 

^ Coughlin, Tom. WannaCry Ransomware Demonstrations The Value Of Better Security and Backups. Forbes. [2017-05-14]. (原始内容存档于2022-04-07) (英语). 

^ 专家揭勒索病毒:1台电脑染毒将攻击网内其他电脑. 央视网. [2017-05-15]. (原始内容存档于2019-06-10) (中文(中国大陆)). 

^ Smith-Spark, Laura; Veselinovic, Milena; McGann, Hilary. UK prime minister: Ransomware attack is global. CNN. [2017-05-13]. (原始内容存档于2021-09-01). 

^ 121.0 121.1 WannaCry勒索病毒再研究:攻击者的母语或是中文. 网易科技. [2017-05-29]. (原始内容存档于2017-08-05). 

^ 美專家分析WannaCry 幕後黑手通曉中文. 东网. 东方报业. [2017-05-30]. (原始内容存档于2021-06-19). 

^ 威锋网. 谷歌卡巴斯基等发现:勒索病毒幕后黑手或来自朝鲜. 搜狐. 2017-05-16 [2017-05-29]. (原始内容存档于2019-06-02). 

^ 美网络情报公司臆测勒索软件与中国有关专家:分析极不专业且不靠谱. 中国日报网. 2017-06-10 [2017-06-17]. (原始内容存档于2021-06-22). 

^ The NSA has linked the WannaCry computer worm to North Korea. 华盛顿邮报. 2017-06-14 [2017-06-17]. (原始内容存档于2021-06-04). 

^ WannaCry ransomware attack 'linked to North Korea'. [2017-06-17]. (原始内容存档于2022-05-04). 

^ IT之家. 英美安全机构同发报告:朝鲜黑客应对勒索病毒事件负责. 搜狐. [2017-06-17]. [永久失效連結]

^ N. Korea stole cyber tools from NSA, carried out WannaCry ransomware attack – Microsoft chief. [2017-10-15]. (原始内容存档于2022-03-05). 

^ 入侵「骨董電腦」踢鐵板 WannaCry遭XP「強制中止」只能Cry. 東森新聞. 2017-05-16 [2017-12-12]. (原始内容存档于2017-12-13). 

^ Windows XP computers were mostly immune to WannaCry. [2020-07-17]. (原始内容存档于2021-02-11). 

外部链接[编辑]

维基共享资源上的相关多媒体资源:WannaCry

Microsoft安全公告MS17-010 (页面存档备份,存于互联网档案馆)

用户指导(页面存档备份,存于互联网档案馆)(微软中国翻译 (页面存档备份,存于互联网档案馆))

微软恶意软件防护中心上Ransom:Win32/WannaCrypt相关资料 (页面存档备份,存于互联网档案馆)(英文)

勒索软件席卷全球国内多种网络系统中招 - 新浪网专题 (页面存档备份,存于互联网档案馆)(简体中文)

MalwareTech网站发布的WannaCry世界各地感染实况(英文)

香港電腦保安事故協調中心WannaCry (WannaCrypt)加密勒索軟件加密受害者數據 (页面存档备份,存于互联网档案馆)

法律主题資訊科技主题微軟主题互联网主题

查论编电脑入侵事件

2003年骤雨计划

2009年极光行动

2010年澳大利亚网络攻击(英语:February 2010 Australian cyberattacks)

2010年偿还行动(英语:Operation Payback)

2011年DigiNotar黑客入侵事件

2011年突尼斯行动(英语:Operation Tunisia)

2011年PSN个人信息泄露事件

2011年反安全行动(英语:Operation AntiSec)

2012–2013年斯特拉特福公司电邮泄露事件

2012年领英黑客入侵事件(英语:2012 LinkedIn hack)

2013年南韩网络攻击(英语:2013 South Korea cyberattack)

2013年Snapchat黑客入侵事件

2014年Tovar行动(英语:Operation Tovar)

2014年日本文殊核电站电脑病毒事件

2014年名人照片泄露事件

2014年心脏出血漏洞

2014年破壳漏洞

2014年贵宾犬漏洞

2014年索尼影业黑客入侵事件

2015年FREAK漏洞

2015年美国联邦人事管理局资料外泄案

伟易达集团

孟加拉银行遭黑客入侵事件

Dyn网络攻击

俄羅斯干預美國總統選舉

WannaCry勒索病毒

2017年威斯敏斯特网络攻击(英语:2017 Westminster cyberattack)

Petya勒索病毒

2017年乌克兰受网络攻击事件(英语:2017 cyberattacks on Ukraine)

Equifax数据泄露

德勤

熔毀/幽灵漏洞

美国中央情报局被指对中国大陆网络渗透攻击

Zoom轟炸

Twitter比特币骗局

2020年美国联邦政府数据泄露事件

殖民管道網絡攻擊

Log4j2漏洞事件

2022年俄罗斯对乌克兰的网络攻击

上海公安數據庫泄露事件

2022年西北工业大学遭网络攻击事件

2023年美国五角大楼文件泄露事件

政府机构

美国网络司令部

特定入侵行动办公室

中国人民解放军战略支援部队网络系统部

朝鲜网络部队(日语:北朝鮮サイバー軍)(朝鮮人民軍第121局)

叙利亚电子军(英语:Syrian Electronic Army)

日本网络防卫队(日语:自衛隊サイバー防衛隊)

国际打击网络威胁多边伙伴(英语:International Multilateral Partnership Against Cyber Threats)

美国互联网犯罪投诉中心(英语:Internet Crime Complaint Center)

欧洲网络犯罪中心(英语:European Cybercrime Centre)

中華民國數位發展部

中華民國國防部資通電軍指揮部

烏克蘭資訊科技軍

新加坡共和國數碼部隊

黑客组织

匿名者

乌克兰战争期间的行动(英语:Anonymous and the 2022 Russian invasion of Ukraine)

网络金雕(英语:CyberBerkut)

Derp(英语:Derp (hacker group))

Goatse安全(英语:Goatse Security)

Hacking Team

蜥蜴小队(英语:Lizard Squad)

LulzRaft(英语:LulzRaft)

LulzSec

NullCrew(英语:NullCrew)

RedHack(英语:RedHack)

TeaMp0isoN(英语:TeaMp0isoN)

地下纳粹(英语:UGNazi)

混沌计算机俱乐部

死牛崇拜

红客

韩国网络外交使节团

L0pht重工

方程式

隱形人安全集團

DarkSide

APT 27

网络游击队

个人

陳盈豪

约翰·德雷珀(英语:John Draper)

凯文·米特尼克

下村努

罗伯特·泰潘·莫里斯

凱文·波尔森

阿德里安·拉莫

Donncha O'Cearbhaill(英语:Donncha O'Cearbhaill)

杰里米·哈蒙德(英语:Jeremy Hammond)

乔治·霍兹

古驰法(英语:Guccifer)

阿尔伯特·冈萨雷斯(英语:Albert Gonzalez)

赫克特·蒙赛格 (萨布)(英语:Hector Monsegur)

杰克·戴维斯 (绿色雕塑)(英语:Topiary (hacktivist))

小丑 (The Jester)(英语:The Jester)

weev(英语:weev)

加里·麦金农(英语:Gary McKinnon)

恶意软件

Careto (面具)(英语:Careto (malware))

CryptoLocker

Dexter(英语:Dexter (malware))

毒区(英语:Duqu)

FinFisher(英语:FinFisher)

火焰

Gameover ZeuS(英语:Gameover ZeuS)

Mahdi(英语:Mahdi (malware))

Metulji僵尸网络(英语:Metulji botnet)

NSA ANT产品目录(英语:NSA ANT catalog)

R2D2(英语:R2D2 (trojan))

Shamoon(英语:Shamoon)

Stars(英语:Stars virus)

震网

黑暗幽灵 (DCM)

震荡波蠕虫

手机恶意软件(英语:Mobile malware)

TeslaCrypt

VPNFilter

WannaCry

Petya

瑞晶

peacenotwar(英语:peacenotwar)

概念·思想

《黑客宣言》

网络战

網路恐怖主義

黑客行动主义(英语:Hacktivism)

駭客

电脑犯罪

软件破解(逆向工程)

手段·技术

安全漏洞

漏洞利用

高级长期威胁(APT)

零日攻击

DNS污染

缓冲区溢出

堆风水(英语:Heap feng shui)

堆噴射(英语:Heap spraying)

穷举攻击/蛮力攻击

跨站脚本攻击(XSS)

水坑攻击

偷渡式下载

SQL注入

中间人攻击

中途相遇攻擊

谷歌駭侵法

取自“https://zh.wikipedia.org/w/index.php?title=WannaCry&oldid=79371062”

分类:​2017年罪案2017年5月网络攻击蠕虫病毒勒索軟體2017年计算机科学网络犯罪隐藏分类:​引文格式1错误:外部链接CS1英国英语来源 (en-gb)CS1英语来源 (en)CS1美国英语来源 (en-us)自2017年11月带有失效链接的条目条目有永久失效的外部链接CS1葡萄牙语来源 (pt)含有未命名参数的引用的页面CS1西班牙语来源 (es)CS1德语来源 (de)CS1意大利语来源 (it)CS1匈牙利语来源 (hu)CS1泰语来源 (th)含有日語的條目CS1含有日语文本 (ja)CS1日语来源 (ja)自2018年5月带有失效链接的条目使用过时图像语法的页面需要查證來源的維基百科條目自2017年5月需要查證來源的維基百科條目含有英語的條目维基共享资源分类链接由维基数据提供

本页面最后修订于2023年10月15日 (星期日) 06:07。

本站的全部文字在知识共享 署名-相同方式共享 4.0协议之条款下提供,附加条款亦可能应用。(请参阅使用条款)

Wikipedia®和维基百科标志是维基媒体基金会的注册商标;维基™是维基媒体基金会的商标。

维基媒体基金会是按美国国內稅收法501(c)(3)登记的非营利慈善机构。

隐私政策

关于维基百科

免责声明

行为准则

开发者

统计

Cookie声明

手机版视图

开关有限宽度模式