WannaCry 勒索蠕虫可能是朝鲜干的?_沐鸣2,沐鸣2登

已有人阅读此文 - -
,5月16日早上,腾讯玄武实验室负责人TK(在黑客圈有“TK教主”、“妇科圣手”的雅号)在朋友圈转发securelist的报道:“基于软件同源性分析等技术,多个研究人员得出了同一个结论:WannaCry 勒索蠕虫可能是朝鲜干的。”,据悉,这篇报道指出,赛门铁克、卡巴斯基和安全专家Matt Suiche均认为有证据显示,遍及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”。,,卡巴斯基研究室安全人员表示,该研究室在研究了早期蠕虫病毒版本与2015年2月的病毒样本发现,其中部分相似的代码来自于卡巴斯基之前关注的朝鲜黑客团队“拉撒路组”,代码的相似度远超正常程度。卡巴斯基认为本次流行的WannaCry勒索病毒与之前的冲击波病毒出自同一黑客团队。,赛门铁克也发现了同样的证据。,至于这个结论的可能性有多大,TK在接受虎嗅采访时表示:“你问了一个要用一篇论文来回答的问题”。,TK告诉虎嗅:“这个类似监控摄像拍下昨天闯入陕西饭店抢走四大罐油泼辣子的蒙面劫匪左臂有个皮皮虾纹身,现在有人注意到去年在家乐福偷卫生巾的贼也有这个纹身。只能说有线索能把这两件事联系起来了,还说明不了什么问题。另外,网络攻击的溯源分析本身也是大学问,涉及很多技术。”,关于WannaCry勒索病毒的真凶到底是谁目前还处于猜测阶段,也没有任何一个黑客组织宣布对这一件事件负责。,日前,腾讯安全反病毒实验室表示,此次勒索事件传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,因此也有的报道称此次攻击为“永恒之蓝”。,MS17-010漏洞指的是,攻击者利用该漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。,至于中国高校成为重灾区的原因,腾讯安全反病毒实验室负责人马劲松分析认为:“由各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。此外,如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但中国高校内,一些同学为了打局域网游戏,有时需要关闭防火墙,也是此次事件在中国高校内大肆传播的另一原因。”,马劲松还表示:“敲诈者木马本身没什么不一样,但是Wana系列敲诈者木马的传播渠道是利用了445端口传播扩散的SMB漏洞MS17-101,微软在17年3月发布了该漏洞的补丁。2017年4月,黑客组织Shadow Brokers公布的Equation Group(方程式组织)使用的“网络军火库”中包含了该漏洞的利用程序,而该勒索软件的攻击者或者攻击组织就是在借鉴了“网络军火库”后进行了这次全球大规模的攻击,主要影响校园网,医院、事业单位等内网用户。”,他认为这场黑客攻击中,出了病毒作者,没有赢家,“实际上这场席卷全球的勒索病毒风波是一次网络灾难,对所有人都是一次巨大的打击。”,腾讯安全反病毒实验室还演示了整个的攻击流程,简要如下:,,勒索病毒被漏洞进程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过
密码:WNcry@2ol7 解密并释放文件。这些文件包含了后续弹出勒索框的 exe,桌面背景
图片的 bmp,包含各国语言的勒索字体,还有辅助攻击的两个 exe 文件。这些文件会释放
到了本地目录,并设置为隐藏。,,其中 u.wnry*就是后续弹出的勒索窗口。,,窗口右上角的语言选择框,可以针对丌同国家的用户迚行定制的展示。这些字体的信息也存
在不之前资源文件释放的压缩包中。,,通过分析病毒,可以看到,以下后缀名的文件会被加密:,docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.p
ptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.12
3.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.ae
s.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw
.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.
mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip
.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.db
f.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.o
dp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.
pfx.der。,,以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过 Windows Crypto API迚行 AES RSA 的组合加密。并且后缀名改为了*.WNCRY,,此时如果点击勒索界面的 decrypt,会弹出解密的框。,,但必须付钱后,才可以解密,,115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn,12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw,13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94,黑客目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。,这场始于英国,随后波及到全球上百个国家的黑客攻击让人人心惶惶,从5月12日晚上开始,中国的校园网、机场、银行、加油站、医院、警察、出入境等事业单位开始大规模爆发,众多学生、机构电脑被感染。尽管被感染的电脑只占一小部分,但网络安全无小事,注意和防范是必然的。,关于如何防范,出了微软紧急发布了补丁外,开启防火墙是简单直接的方法,步骤如下:,1. 打开控制面板点击防火墙,2. 点击“高级设置”,3. 先点击“入站规则”,再点击“新建规则”,4. 勾中“端口”,点击“协议不端口”,5. 勾选“特定本地端口”,填写 445,点击下一步,6. 点击“阻止链接”,一直下一步,并给规则命名,
相关文章!
  • grgtr WannaCry 勒索蠕虫可能是朝鲜干的?_沐鸣2,沐鸣2登
    - 阅144

    ,5月16日早上,腾讯玄武实验室负责人TK(在黑客圈有“TK教主”、“妇科圣手”的雅号)在朋友圈转发securelist的报道:“基于软件同源性分析等技术,多个研究人员得出了同一个结论:...

  • grgtr 爆炸门阴影正淡去?一个月内三星卖了500万部G
    - 阅175

    ,日前,三星电子宣布,自上月21日在全球发售以来,25天内新旗舰Galaxy S8和S8 Plus销量已经突破500万台。,这两款机型第一批发售的市场为韩国、美国和加拿大,一周后欧洲的英法德意四国...

  • grgtr 微博越来越像YouTube?_沐鸣2怎么样?,沐鸣2信誉
    - 阅139

    ,5月16日晚间,微博在开盘前发布了第一季度财报,这是微博第一次将财报放到了开盘前发布,有人说是因为有晚起习惯的微博CEO王高飞害怕分析师参加财报电话会迟到才作出此举。,财...

  • grgtr 谷歌2017年度大会,AI成主角_沐鸣2信誉,沐鸣2注册
    - 阅184

    今天凌晨1点,谷歌一年一度的开发者大会Google I/O在美国举行。大会开场的主题演讲自然是重中之重,由谷歌CEO桑达尔·皮查伊(Sundar Pichai)以及各个主要业务线负责人陆续上台介绍新产...