安全業界暫未能有效破除該勒索軟體的惡意加密行為。網路安全專家建議,用戶要斷網開機,即先拔掉網線再開機,這樣基本可以避免被勒索軟體感染。開機後應盡快想辦法打上安全補丁,或安裝各家網路安全公司針對此事推出的防禦工具,才可以聯網。建議盡快備份電腦中的重要文件資料到移動硬碟、U 盤,備份完後離線保存該磁碟,同時對於不明鏈接、文件和郵件要提高警惕,加強防範。
臨時解決方案:
開啟系統防火牆;
利用系統防火牆高級設置阻止向445埠進行連接(該操作會影響使用445埠的服務);
打開系統自動更新,並檢測更新進行安裝。
Ⅱ 五月份的那一個全球的比特幣勒索軟體現在怎麼樣了
5月12日開始,比特幣勒索計算機病毒在全球爆發。目前,全英國上下16家遭到大范圍攻擊,中國眾多高校也紛紛中招。黑客則通過鎖定電腦文件來勒索用戶交贖金,而且只收比特幣。
而在這次爆發的全球性電腦病毒事件中,手機中國也收到了一封勒索郵件,幸好收到郵件的這個機器是一台測試機,沒對我們造成什麼影響。不過,對於畢業季的高校生就不一樣了,論文被鎖那可是關乎到畢業的。那麼面對這次爆發的勒索病毒,大家該怎麼樣應對,做哪些防護措施呢?
首先來了解一下這次的病毒特性
黑客發起的這個電腦病毒會將系統上的大量文件加密成為.onion為後綴的文件,中毒後被要求支付比特幣贖金才能解密恢復文件,對個人資料造成嚴重損失,而殺毒軟體並不能解密這些加密後的文件。但大家也千萬不要聽信黑客所謂的「給錢就解密」的說法,因為黑客不一定會嚴守信用,另外比特幣價格不菲,對普通用戶來說也是一筆不小的數目。
其次需要注意病毒爆發的背景
國內的專業人士表示,根據網路安全機構通報,這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。「永恆之藍」會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。
由於以前國內多次爆發利用445埠傳播的蠕蟲,運營商對個人用戶已封掉445埠,但是教育網並沒有此限制,仍然存在大量暴露445埠的機器。據有關機構統計,目前國內平均每天有5000多台機器遭到NSA「永恆之藍」黑客武器的遠程攻擊,教育網是受攻擊的重災區。
應對方法有哪些?
1.關閉445埠,具體操作方法大家可以自行搜索查詢。
2.目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞,可盡快為電腦安裝此補丁。
至於XP、2003等微軟已不再提供安全更新的機器,微博的專業人士推薦使用「NSA武器庫免疫工具」檢測系統是否存在漏洞,並關閉受到漏洞影響的埠,可以避免遭到勒索軟體等病毒的
Ⅲ 企業如何防範勒索軟體呢
在文檔勒索事件中,一般的中小型企業是主要的受害群體,對於數據安全和文檔防勒索問題都是比較困擾企業的,它對文件的破壞會給企業帶來嚴重的經濟損失,那企業該如何防範文檔被勒索呢?
面對文檔勒索的問題,企業需要嚴肅對待這些問題,比如說對電腦的文件進行安全保護,可以通過文檔防勒索工具進行文件保護,可以用域之盾來進行該操作,可以對電腦中的各類文檔類型進行加密,也可以對圖紙設計類工具進行加密,經過加密之後的文件在區域網內是比較安全的。
它通過採用文檔底層防火牆對所有應用程序的訪問進行訪問許可權設置,經過檢測之後才能對電腦中的文件進行訪問,對於檢測未通過的程序進行詳細的統計並生成防勒索日誌,這樣管理者在處理防勒索問題上就會減少很多工作,能夠更好保證數據的安全性。
Ⅳ 勒索軟體入侵什麼系統
自2005年以來,勒索軟體已經成為最普遍的網路威脅。根據資料顯示,在過去11年間,勒索軟體感染已經涉及超過7694到6013起數據泄露事故。 多年來,主要有兩種勒索軟體:基於加密和基於locker的勒索軟體。加密勒索軟體通常會加密文件和文件夾、硬碟驅動器等。而Locker勒索軟體則會鎖定用戶設備,通常是基於Android的勒索軟體。 新時代勒索軟體結合了高級分發技術(例如預先建立基礎設施用於快速廣泛地分發勒索軟體)以及高級開發技術(例如使用crypter以確保逆向工程極其困難)。此外,離線加密方法正越來越流行,其中勒索軟體利用合法系統功能(例如微軟的CryptoAPI)以消除命令控制通信的需要。 Solutionary公司安全工程及研究小組(SERT)的Terrance DeJesus探討了這些年以來勒索軟體的發展史以及亮點。 AIDS Trojan 第一個勒索軟體病毒AIDS Trojan由哈佛大學畢業的Joseph L.Popp在1989年創建。2萬張受感染的軟盤被分發給國際衛生組織國際艾滋病大會的與會者。該木馬的主要武器是對稱加密,解密工具很快可恢復文件名稱,但這開啟了近30年的勒索軟體攻擊。 Archievus 在第一款勒索惡意軟體出現的近二十年(17年)後,另一種勒索軟體出現。不同的是,這個勒索軟體更加難以移除,並在勒索軟體歷史上首次使用RSA加密。這個Archiveus Trojan會對系統中「我的文檔」目錄中所有內容進行加密,並要求用戶從特定網站來購買以獲取密碼解密文件。Archiveus也是第一個使用非對稱加密的勒索軟體辯題。 2011年無名木馬 在五年後,主流匿名支付服務讓攻擊者更容易使用勒索軟體來從受害者收錢,而不會暴露自己身份。在同一年,與勒索軟體木馬有關的產品開始流行。一款木馬勒索軟體模擬用戶的Windows產品激活通知,告知用戶其系統的安裝因為欺詐需要重新激活,並定向用戶到假的在線激活選項,要求用戶撥打國際長途。該惡意軟體聲稱這個呼叫為免費,但實際呼叫被路由到假冒的接線員,並被擱置通話,導致用戶需要承擔高額國際長途電話費。 Reveton 名為Reveton的主要勒索木馬軟體開始在整個歐洲蔓延。這個軟體是基於Citadel Trojan,該勒索軟體會聲稱計算機受到攻擊,並被用於非法活動,用戶需要使用預付現金支付服務來支付罰款以解鎖系統。在某些情況下,計算機屏幕會顯示計算機攝像頭記錄的畫面,讓用戶感覺非法行為已被記錄。此事件發生後不久,涌現很多基於警察的勒索軟體,例如Urausy和Tohfy。 研究人員在美國發現Reveton的新變種,聲稱需要使用MoneyPak卡向FBI支付200元罰款。 Cryptolocker 2013年9月是勒索軟體歷史的關鍵時刻,因為CryptoLocker誕生了。CryptoLocker是第一款通過受感染網站下載或者發送給商務人士的電子郵件附件形式的加密惡意軟體。CryptoLocker感染快速蔓延,因為威脅著利用了現有的GameOver Zeus僵屍網路基礎設施。在2014年的Operation Tovar終止了GameOver Zeus Trojan和CryptoLocker活動。 CryptoLocker利用AES-256lai加密特定擴展名的文件,然後使用命令控制伺服器生成的2048位RSA密鑰來加密AES-256位密鑰。C2伺服器位於Tor網路,這讓解密很困難,因為攻擊者將RSA公鑰放在其C2伺服器。攻擊者威脅稱如果在三天內沒有收到錢他們將刪除私鑰。 Cryptodefense 在2014年,CryptoDefense開始出現,這個勒索軟體利用Tor和Bitcoin來保持匿名,並使用2048位RSA加密。CryptoDefense使用Windows內置加密CryptoAPI,私鑰以純文本格式保存在受感染計算機—這個漏洞當時沒有立即發現。 CryptoDefense的創造者很快推出改名版CrytoWall。與CryptoDefense不同,CryptoWall不會存儲加密密鑰在用戶可獲取的地方。CryptoWall很快廣泛傳播,因為它利用了Cutwail電子郵件活動,該活動主要針對美國地區。CryptoWall也通過漏洞利用工具包來傳播,並被發現是Upatre活動中下載的最後有效載荷。 CryptoWall有過多次有效的活動,都是由相同的攻擊者執行。CryptoWall展現出惡意軟體開發的進步,它可通過添加額外的注冊表項以及復制自身到啟動文件夾來保持持續能力。在2015年,網路威脅聯盟公布覆蓋全球的CryptoWall活動,金額達到3.25億美元。 Sypeng和Koler Sypeng可被認為是第一款鎖定用戶屏幕並顯示FBI處罰警告消息的基於Android的勒索軟體。Sypeng通過短消息中假的Adobe Flash更新來傳播,需要支付MonkeyPak 200美元。 Koler勒索軟體與Sypeng非常類似,它也是用假冒警察處罰,並要求MoneyPak支付贖金。Koler被認為是第一個Lockerworm,因為它包含自我繁殖技術,它可發送自定義消息到每個人的聯系人列表,指引他們到特定網址再次下載勒索軟體,然後鎖定其系統。 CTB-Locker和SimplLocker 與過去其他變體不同,CTB-Locker直接與Tor中C2伺服器通信,而不是具有多層基礎設施。它也是第一個開始刪除windows中Shadow Volume副本的勒索軟體變體。在2016年,CTB-Locker更新為針對目標網站。 SimplLocker也在2014年被發現,它被認為是第一款針對Android移動設備的基於Crypto的勒索軟體,它會簡單地加密文件和文件夾,而不是鎖定用戶手機。 LockerPin 在去年9月,一款侵略性Android勒索軟體開始在美國各地蔓延。ESET安全研究人員發現第一個可重置手機PIN以永久鎖定設備的真實惡意軟體,被稱為LockerPin,該惡意軟體會修改受感染設備的鎖屏Pin碼,讓受害者無法進入屏幕。LockerPin隨後需要500美元來解鎖設備。 勒索軟體即服務(RaaS)在2015年開始出現,這些服務通常包含用戶友好型勒索軟體工具包,這可在黑市購買,售價通常為1000到3000美元,購買者還需要與賣方分享10%到20%的利潤。Tox通常被認為是第一款以及最廣泛分布的RaaS工具包/勒索軟體。 TeslaCrypt TeslaCrypt也出現在2015年,這可能將是持續威脅,因為開發人員製作出四個版本。它首先通過Angler漏洞利用工具包來分發,隨後通過其他來分發。TeslaCrypt利用AES-256來加密文件,然後使用RSA-4096來加密AES私鑰。Tor內的C2域被用於支付和分發。在其基礎設施內包含多層,包括代理伺服器。TeslaCrypt本身非常先進,其包含的功能可允許在受害者機器保持靈活性和持久性。在2016年,TeslaCrypt編寫者將其主解密沒有交給ESET。 LowLevel04和Chimera LowLevel04勒索軟體在2015年被發現,主要瞄準遠程桌面和終端服務。與其他勒索軟體活動不同,攻擊者通過遠程手動進行,他們遠程進入伺服器、繪制內部系統。在這種情況下,攻擊者被發現會刪除應用、安全和系統日誌。 Chimera勒索軟體在2015年年底被發現,它被認為是第一款doxing勒索軟體,它會威脅稱在網上公開發布敏感或私人文件。Chimera使用BitMessage的P2P協議用於進行C2通信,這些C2隻是Bitmessage節點。 Ransom32和7ev3n Ransom32被認為是第一個使用JavaScript編寫的勒索軟體。該惡意軟體本身比其他軟體要大,達到22MB,它使用NW.js,這允許它處理和執行與其他C++或Delphi編寫的勒索軟體相類似的操作。Ransom32被認為具有革命性,因為它理論上可在多個平台運行,例如Linux、Mac OSX以及windows。 7ev3n勒索軟體在過去幾個月中開始引起大家關注。在13 bitcoin,它可能是索要贖金最高的勒索軟體。7ev3n勒索軟體不僅執行典型的加密再勒索,它還會破壞windows系統。該惡意軟體開發人員似乎很大程度側重於確保7ev3n可破壞任何恢復加密文件的方法。7ev3n-HONE$T隨後被發布,降低了贖金要求並增加了一些有效的功能。 Locky 在2016年,EDA2和Hidden Tear的惡意軟體編寫者在GitHub公開發布了源代碼,並聲稱這樣做是出於研究目的,而那些很快復制改代碼並做出自定義更改的攻擊者導致大量隨機變體出現。 臭名昭著的Locky勒索軟體也在2016年被發現,Locky快速通過網路釣魚活動以及利用Dridex基礎設施傳播。Locky也因為感染美國多個地區的醫院而登上新聞頭條。攻擊者很快發現受感染醫療機構快速支付贖金,從而導致包含勒索軟體下載的網路釣魚電子郵件在醫療行業廣泛傳播。 SamSam SamSam或者SAMAS勒索軟體被發現專門分發給易受攻擊的JBoss伺服器。起初,攻擊者會通過JexBoss工具對JBoss伺服器執行偵查,隨後利用漏洞並安裝SamSam。與其他勒索軟體不同,SamSam包含一個通道,讓攻擊者可實時通過.onion網站與受害者通信。 KeRanger 第一個正式基於Mac OSX的勒索軟體KeRanger在2016年被發現,它通過針對OSX的Transmission BitTorrent客戶端來交付。該勒索軟體使用MAC開發證書簽名,讓其可繞過蘋果公司的GateKeeper安全軟體。 Petya Petya在2016年開始流行,它通過Drop-Box來交付,並改寫受感染機器的主啟動記錄(MBR),然後加密物理驅動器本身。它在加密驅動器時還是用假冒的CHKDISK提示。如果在7天內沒有支付431美元贖金,支付費用將會翻一倍。Petya更新包含第二個有效載荷,這是Mischa勒索軟體變體,而它沒有加密硬碟驅動器。 Maktub Maktub也是在2016年被發現,它表明勒索軟體開發人員在試圖創建非常先進的變體。Maktub是第一個使用Crypter的勒索軟體,這是用來隱藏或加密惡意軟體源代碼的軟體。Maktub利用windows CryptoAPI執行離線加密,而不是使用C2來檢索和存儲加密密鑰。 Jigsaw Jigsaw勒索軟體在勒索信息中包含SAW電影系列中流行的Jigsaw人物,它還威脅稱如果沒有支付150美元的贖金將會每隔60分鍾刪除一個文件。此外,如果受害者試圖阻止進程或重啟電腦,將刪除1000個文件。 CryptXXX 在2016年5月底,CryptXXX是被廣泛分發的最新勒索軟體辯題。研究人員認為它與Reveton勒索軟體變體有關,因為在感染階段有著類似的足跡。CryptXXX通過多種漏洞利用工具包傳播,主要是Angler,並通常在bedep感染後被觀察到。它的功能包含但不限於:反沙箱檢測、滑鼠活動監控能力、定製C2通信協議以及通過TOR付款。 ZCryptor 微軟發表文章詳細介紹了一種新型勒索軟體變體ZCryptoer。除了調整的功能(例如加密文件、添加註冊表項等),Zcryptoer還被認為是第一個Crypto蠕蟲病毒。它通過垃圾郵件分發,它有自我繁殖技術來感染外部設備以及其他系統,同時加密每台機器和共享驅動器。 勒索軟體的未來? 專家預測我們在2016年還將繼續觀測到多個新變種,在這些變種中,可能只有少數會帶來很大影響—這取決於惡意軟體編寫者以及涉及的網路團伙。現在勒索軟體編寫者還在繼續其開發工作,更新預先存在的勒索軟體或者製造新的勒索軟體,我們預測,增強靈活性和持久性將會成為勒索軟體標准。 如果勒索軟體具有這種能力,這將會是全球性的噩夢。根據最近使用crypter的勒索軟體表明,勒索軟體編寫者知道很多研究人員試圖逆向工程其軟體,這種逆向工程和分析可能導致勒索軟體開發人員改進其勒索軟體變體。
Ⅳ 哪個文檔防勒索軟體好用
隨著互聯網行業中企業的不斷發展,數據安全問題越來越受重視了。企業對於數據安全的需求變得也是越來越大,面對近期出現的文檔被勒索大事件,企業就更應該對文檔進行安全保護了,那麼文檔防勒索軟體有哪些是比較好用的呢?
企業在選擇文檔防勒索的時候,要注意其安全性,因為我們要做的就是數據安全,不能因為做數據安全而導致數據泄露,還有一點就是要穩定,如果不穩定的話,一個點疏忽可能就會導致數據泄露的發生,保護文檔安全可以用域之盾來進行文件防勒索,它通過採用系統底層文檔防火牆的方式來阻斷所有程序對保存文檔的訪問行為,然後通過識別技術對安全的軟體放行,放行之後就能訪問文件數據了。
還會提供防勒索日誌,能夠詳細記錄所有程序對文檔的勒索行為,網路管理者能夠及時發現並處理其遺留的問題。這樣就能夠解決企業文檔安全問題了。
Ⅵ 勒索軟體襲擊多國計算機是怎麼回事
5月14日報道外媒稱,總部位於俄羅斯的網路安全公司卡巴斯基實驗室12日說,多達74個國家日前受到一款勒索軟體的大規模快速攻擊,這款軟體會鎖住計算機並勒索相當於300美元的數字贖金。
竊取間諜「工具」
私人安全公司確認這種勒索軟體是WannaCry病毒的新變體,它可以利用微軟「視窗」操作系統中一個已知病毒,自動在大型網路中進行傳播。
網路安全公司「眾擊」網路安全服務公司的研究人員亞當·邁耶斯說:「一旦進入,它就開始在系統中移動且無法阻止。」
若干私人網路安全公司的研究人員說,尚未宣稱此事為其所干或是已被確認身份的黑客,很可能利用了美國國家安全局一種叫做「永恆之藍」的密碼,把它變成一種「蠕蟲」病毒,或是自行傳播的惡意軟體。上月,「影子經紀人」組織公布了「永恆之藍」密碼。
Splunk公司威脅研究處主任里奇·巴傑說:「這是網路界遇到的一次最大規模的全球勒索軟體襲擊。」
「影子經紀人」組織公布「永恆之藍」屬於黑客工具寶庫,他們說這是美國國家安全局開發的。
微軟公司今天說,它即將推出「視窗」操作系統自動更新,防止用戶受到病毒的侵害。微軟公司3月14日曾發行了系統補丁,防止操作系統受到「永恆之藍」的入侵。
俄羅斯又「躺槍」
據美國《紐約時報》網站5月13日報道,計算機安全專家正努力遏制波及全球的新一輪網路攻擊的影響。網路病毒這次要求用戶支付贖金,否則消除計算機里的數據。
俄羅斯、中國、印度等發展中國家遭受了嚴重打擊,突出反映了非法軟體的問題。因為盜版軟體往往更容易淪為惡意軟體的侵害對象。不過,這次就連正版軟體的用戶都未能倖免。如果沒有安裝近日發布的一個安全更新,正版用戶同樣容易遭到攻擊。這說明全球網路太容易受到黑客與投機分子的影響。
另據英國《每日電訊報》網站5月12日報道,一個可能與俄羅斯有關的網路團伙被指與全世界范圍內的電腦安全漏洞有關,他們或許是為了報復美國在敘利亞的空襲行動。
這個被稱為「影子經紀人」的神秘組織4月曾聲稱,它從美國一個間諜機構竊取了一種「網路武器」,利用這一武器可以前所未有地進入使用微軟「視窗」系統的所有電腦。
就在特朗普總統下令轟炸敘利亞一周後,這個組織於4月14日在一個不知名的網站上「丟棄了」這個電腦病毒。
一些專家認為,這個時機非常重要,並暗示「影子經紀人」與俄羅斯政府有瓜葛。
Ⅶ 國家網信辦是如何回應勒索軟體在國內大肆傳播的
根據報道,5月15日,中央網信辦網路安全協調局負責人就「蠕蟲」式勒索軟體攻擊事件回應稱,該勒索軟體還在傳播,但傳播速度已經明顯放緩。
該負責人還建議,各方面都要高度重視網路安全問題,及時安裝安全防護軟體,及時升級操作系統和各種應用的安全補丁,設置高安全強度口令並定期更換,不要下載安裝來路不明的應用軟體,對特別重要的數據採取備份措施等。
Ⅷ 什麼殺毒軟體可以檢測攔截新型PC勒索病毒WannaRen
對於新型PC勒索病毒WannaRen,大部分殺毒軟體無法攔截,只有諾頓能夠攔截(非廣)但網路要求較高。
奇安信病毒響應中心第一時間注意到了此次事件,並對勒索病毒樣本展開了分析。考慮到該病毒暫時無法解密,奇安信病毒響應中心給出六大建議:
1、及時修復系統漏洞,做好日常安全運維。
2、採用高強度密碼,杜絕弱口令,增加勒索病毒入侵難度。
3、定期備份重要資料,建議使用單獨的文件伺服器對備份文件進行隔離存儲。
4、加強安全配置提高安全基線,例如關閉不必要的文件共享,關閉3389、445、139、135等不用的高危埠等。
5、提高員工安全意識,不要點擊來源不明的郵件,不要從不明網站下載軟體。
6、選擇技術能力強的殺毒軟體,以便在勒索病毒攻擊愈演愈烈的情況下免受傷害。
(8)查封網路勒索軟體擴展閱讀
新型PC勒索病毒WannaRen目前的情況
據網上公開資料顯示,該勒索病毒極有可能藉助QQ群、論壇、下載站、外掛、KMS激活工具等進行傳播,大部分感染者為個人用戶。截至目前,暫未發現有受害者支付贖金。
考慮到攻擊者隨後升級攻擊手法的可能性,奇安信威脅情報中心第一時間生成了該勒索病毒家族對應的威脅情報並下發到各檢測設備。
目前基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平台(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對該家族的精確檢測。
Ⅸ 掃碼支付勒索病毒有沒有什麼軟體可以防範
掃碼支付勒索病毒可以安裝騰訊的電腦管家進行防範。騰訊電腦管家團隊表示,從多個用戶機器提取和後台數據追溯看,該病毒的傳播源是一款叫「賬號操作V3.1的易語言軟體,可以直接登錄多個QQ賬號實現切換管理。
騰訊電腦管家團隊表示,經過緊急處置,第一時間對該病毒進行破解,並連夜研發解密工具,首創無密鑰解密工具,即便用戶重裝系統或者其他原因丟失密鑰也能完美恢復被加密的文件。
(9)查封網路勒索軟體擴展閱讀:
勒索病毒應急處置措施
建議廣大用戶及時更新Windows已發布的安全補丁更新,同時在網路邊界、內部網路區域、主機資產、數據備份方面做好如下工作:
(一)關閉445等埠(其他關聯埠如: 135、137、139)的外部網路訪問許可權,在伺服器上關閉不必要的上述服務埠(具體操作請見參考鏈接)。
(二)加強對445等埠(其他關聯埠如: 135、137、139)的內部網路區域訪問審計,及時發現非授權行為或潛在的攻擊行為。
(三)及時更新操作系統補丁。
(四)安裝並及時更新殺毒軟體。
(五)不要輕易打開來源不明的電子郵件。
(六)定期在不同的存儲介質上備份信息系統業務和個人數據。
CNCERT後續將密切監測和關注該勒索軟體的攻擊情況,同時聯合安全業界對有可能出現的新的攻擊傳播手段、惡意樣本進行跟蹤防範。