欢迎来到天天文库
浏览记录
ID:44687075
大小:29.40 KB
页数:4页
时间:2019-10-24
《陕西省宝鸡中学高中信息技术勒索病毒介绍教学素材》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、勒索病毒介绍 勒索病毒,是一种新型电脑病毒,主要以邮件,程序木马,网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 传播途径: 勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修
2、改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。 攻击对象: 勒索病毒一般会攻击任何人,但一部分针对企业用户(如xtbl,wallet),一部分针对所有用户。2017年5月12日,英国国家医疗服务体系下属的一些医院电脑遭恶意软件“勒索病毒”攻击。西班牙电信在内的几家公司也遭到“勒索病毒”的袭击。2017年5月14日,欧盟警署负责人罗布·韦恩怀特宣称,“WannaCry”勒索病
3、毒已攻击了至少150个国家的20多万受害者。2017年5月15日,中西部多个省份的交管部门都受到病毒影响,部分业务暂停办理。包括成都在内,四川多地交管、户籍等民生服务系统受到病毒影响,正在紧急维护或处置。相关部门都发布了有关勒索病毒影响的公告。2017年5月15日,受勒索病毒感染计算机系统的影响,宁夏银川市车管所除了驾驶证科目一考试,以及一部分上周排期的科目三道路考试外,其他包括车辆注册登记,驾驶员考试以及驾驶证年审等所有车辆管理和驾驶人管理的业务均已暂停。银川市紧急对全市交警系统进行了紧急排查。病毒规律:该类型病毒的目标性强,主要以邮
4、件为传播方式。勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥和私钥。然后,将加密公钥私钥写入到注册表中,遍历本地所有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。 病毒分析:一般勒索病毒,运行流程复杂,且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为:1、调用加密算法库;2、
5、通过脚本文件进行Http请求;3、通过脚本文件下载文件;4、读取远程服务器文件;5、通过wscript执行文件;6、收集计算机信息;7、历文件。2017年5月14日,国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry勒索病毒出现了变种:WannaCry2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。[6]2017年5月17日18时,国家计算机病毒应急处理中心与亚信科技(中国)有限公司联合监测发现一种名为“UIWIX”的勒索病毒新变种在国外出现,
6、提醒国内用户提高警惕,小心谨防。 运行流程: 该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTPGET请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL(即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成秘钥,进而实现对指定类型的文件进行加密,即无需联网下载秘钥即可实现对文件加密。同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。 获得赎金: 2017年5月,勒索病毒网络
7、攻击实施者已收到4.2万余美元赎金,但这些汇款仍在银行账户未被取走。 应对方案: 根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:1、通过脚本文件进行Http请求;2、通过脚本文件下载文件;3、读取远程服务器文件;4、收集计算机信息;5、遍历文件;6、调用加密算法库。量防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;2、尽量不要点击office宏运行提示,避免来自offic
8、e组件的病毒感染;3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;4、升级深信服NGAF到最新的防病毒等安全特征库;5、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻
此文档下载收益归作者所有