汽車職教網

 找回密碼
 立即注冊

QQ登錄

只需一步,快速開始

掃一掃,訪問微社區

搜索
熱搜: 汽車
查看: 275|回復: 0
打印 上一主題 下一主題

老舊勒索病毒,配上美國政府核彈級網絡武器...然而,一個英國小哥卻意外拯救了世界..

[復制鏈接]
跳轉到指定樓層
樓主
發表于 2017-5-14 06:34:11 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
                                                                                                        
(這原本應該是一篇技術性很強的文章...  事兒君已經盡所能,把這解釋的盡可能的通俗和不那么“技術”...  希望大家能夠看懂,明白這其中是怎么回事)


昨天,
一場網絡風暴席卷全球....

“你的電腦已經被鎖,文件已經全部被加密,除非你支付等額價值300美元的比特幣,否則你的文件將會被永久刪除"

而輿論上大規模的爆發,發生在國內時間昨天晚上10點半,英國時間下午3點半....

英國全國上下的16家醫院首先報道同時遭到網絡攻擊....


這些醫院的網絡被攻陷,電腦被鎖定..... 黑客要求每臺電腦支付等額價值300美元的比特幣,否則將刪除電腦所有資料... (事情剛發生時英國上下一片慌亂,媒體曾誤傳要300比特幣)

一瞬之間,醫院里的電腦一臺接一臺的被感染... 醫院的IT部門也馬上響應,要求關停所有沒被感染的電腦...

攻擊爆發之后,醫院內部的醫療系統幾乎停止運轉....

沒有了系統記錄,醫生不知道他即將要處置的病人有何種病史是和過敏史...

沒有了電腦的內部病例溝通系統,醫生不能給病人做X光,CT,核磁共振檢查...   因為這些系統已經全部數碼化,本應直接在電腦上把圖像傳給醫生...

一個病人,在NHS醫院排了10個月的隊等待做一臺心臟手術,卻在手術即將開始的最后關頭遇上網絡攻擊,手術被緊急取消.....

約克郡的一名藥劑師表示.... 沒有了電子處方,他只能重新開始使用紙筆... 找不到病人的歷史記錄, 感覺回到了石器時代.....

很快,更多的醫院被攻擊....
16家,18家,20家......
全英國上下越來越多的醫院匯報自己的電腦收到攻擊....

而所有被攻擊的電腦,
顯示的都是這么一個電腦被鎖定的紅框.....

正當所有人都覺得這是一場針對英國醫院的網絡襲擊的時候....

更多消息傳來.....

不只是英國,這一場網絡攻擊,幾乎席卷全球!!

中國: 校園網受災嚴重...
此時正值畢業季,不少同學的畢業設計,中招嚴重...
Daniielx:表示已經中招,所有文件全部破損,作業,畫的圖,一張一張收集了2年的素材資料,全沒了        

阿普噗噗噗:就這么說吧,現在畢業季,我隔壁寢室就有妹子中招了,我們是動畫專業,如果我們專業沒提前備份的話,她的所有圖片,視頻都打不開了,那我們的畢設基本就廢了,因為AE之類的工程文件是認導入的路徑的,一旦源文件打不開,畢設基本上就算沒了(PS:我們畢設給的時間是一年。如果沒了那就是一年白畫了)   

不少學校發出提醒...      

西班牙: 電信公司Telefonica電腦系統被攻擊....

意大利:大學機房中招....

德國: 火車車站系統中招...

俄羅斯: 政府內政部超過1000臺電腦收到攻擊癱瘓.....

昨天一晚至今,安全專家統計....

整個攻擊遍布全世界超過99個國家....
那些幸免的國家里,要么幾乎沒有電腦,要么幾乎沒有網絡...


這次為什么會發展成這樣?

總的來說....
一個本已被玩濫的攻擊手法,被人整合上了一個美國國家安全局的核彈級的網絡攻擊工具!

而這一切,讓事兒君慢慢說起......


勒索病毒,這,其實已經是一個很多年以前的東西了.....

總的來說,這就是一個病毒程序,只要你不小心運行了這個病毒之后,它就會鎖定你的各種重要文件... 只有交贖金才能幫你解密....
而贖金,通常都是以比特幣的形式支付....

比特幣我們很多人都已經知道了,是一種網絡虛擬貨幣... 然而他最大的特點,就是分散在整個網絡上,完全匿名,完全不受各種金融限制.... 幾乎很難從一個比特幣賬戶追查到個人.....
于是,這成了黑客索要贖金的最佳支付手段...


在過去的幾年里,這樣的勒索病毒出現過很多...
有類似這樣的....


又或者是這樣的.....

用勒索病毒針對各種個人,公司和機構的公司其實每年都有不少...
但是大多數都是一些零星事件,很少有像這次一樣的大規模爆發....

為什么之前很難大規模爆發?

因為要中這樣的勒索病毒,大多有一個前提條件...
你必須先得運行這個病毒程序,病毒程序才能把你的電腦鎖了....


怎么才能讓運行呢?
之前,他們很多都是采用釣魚郵件的方式...
比如 ”HI, 附件是我的照片,你要不要打開看看呀~~~”
打開,你就中招了.....

也有的通過U盤的形式....
插入U盤,自動運行,然后中招....

要么通過網頁騙你...
比如“下載我們的播放器,就可以看羞羞的小電影哦”
又或者是瀏覽網頁的時候跳出這么一個頁面
“你的電腦已經被感染惡意軟件,趕緊下載我們的查毒軟件查殺!”
如果你不懂真的下載運行了,你就真的中招了....


總之一個字,大多數靠騙.....
“相信我,我不是病毒....  我只是一只海豚....”
(你,敢點么?)



正因為之前都是要靠騙,所以想要大規模的爆發,不容易....
因為這年頭被病毒嚇怕了,我們很多人都已經有了相當的安全意識...

郵件里的莫名奇妙附件不會去打開..

網頁上的連接不會去亂點....

一些大的郵件提供商也在幫忙過濾這些含有病毒的郵件....


所以很多年來,中招的大多都是一些不太懂電腦,或者安全意識不太強的人......


然而這一次,
這種傳統的勒索病毒,被人綁上了一顆核彈....
這顆核彈的名字....   
永恒之藍
Eternalblue

而永恒之藍的來源,跟一個美國政府機構有關,NSA, 美國國家安全局.....

美國國家安全局NSA是美國政府機構中最大的情報部門,專門負責收集和分析外國及本國通訊資料,屬于美國國防部...  
而NSA就有跟各種黑客組織合作,專門研究入侵各類電腦網絡系統....

還記得各種美劇和電影里,那些政府的神人級電腦高手,想要入侵啥就入侵啥么? 這一切,雖然沒有電影里那么快那么深, 然而跟NSA合作的這些黑客組織,還真的有這個入侵各種電腦的能力....

最近,一個幫美國國家安全局開發網絡武器的黑客部門,被另一個黑客組織,入侵和曝光了.....



這就要說說上個月,網絡安全界爆發一件大事.....
一個叫影子經紀的黑客組織,聲稱攻破了為NSA開發網絡武器的美國黑客團隊“方程式組織”的計算機系統,并下載了他們開發大量的攻擊工具。

這些工具里包含了大量各種入侵工具和惡意軟件....
這其中,就包括了可以遠程攻破全球約70%Windows機器的漏洞利用工具,永恒之藍。

也就是說,美國政府國家級別的網絡入侵武器,被另一伙黑客,偷到了!

被偷到也就算了,
更關鍵的是,
他們還把這其中各種工具,傳到了網上,提供給全世界網友和黑客同行下載.....
這些公布的工具里,幾乎可以攻擊全球 70% 的 Windows 服務器....

一夜之間,各種沒有打補丁的windows電腦幾乎全線暴露在危險之中,任何網友都可以直接下載并遠程攻擊利用....

當時甚至有業內人士表示,這些工具剛開始幾乎“指哪打哪”....

這些工具,原本都是為美國國家安全局開發,專門給NSA入侵目標電腦,進行情報搜集使用....

然而,這些堪稱網絡大殺器的攻擊工具,就這樣在上個月,被人公之于眾.....



那么,永恒之藍究竟能干什么?
總的來說,它可以不經過你的同意,遠程入侵,讓你執行任何程序.....


那勒索病毒 加上 永恒之藍呢?
這也就成了,可以不經過你同意,直接讓你執行勒索病毒,鎖定你的電腦,并開始連串攻擊跟你同一個聯網里的任何其他電腦....


這下,意識到把這樣的勒索病毒 配上 這樣的NSA大殺器之后的可怕之處了么?

一個學校,一個公司,網絡里成百上千的電腦....

可能99%的人都不會去點擊陌生的郵件附件,

又或者99%的惡意網頁,惡意郵件,都會被系統過濾......

然而,

在這一個學校或者一個公司成百上千人里,

只要有一個人,

一個人....

無論是因為那個人不小心發傻,或是真的不懂,點擊了含有這樣勒索病毒的郵件或者網絡.....

那么他的電腦就會被勒索病毒感染,勒索病毒就會啟動NSA大殺器永恒之藍,入侵跟他聯網的所有電腦,并給網絡里入侵成功的所有的電腦啟動勒索病毒....

你就算自己再小心也沒用,只要你隔壁聯網的有一個不小心的哥們,如果你的系統沒有打上最新的補丁,那你也跟著完蛋......

而一整個公司或者學校里,出現這么一個不小心的幾率,相當大.......

又因為美國安全局的這個永恒之藍的漏洞足夠牛... 從windows xp 到2003,到windows vista, 7, 8......  除了windows10之外的其他系統幾乎無一幸免....


然而,
在施虐一波后,
英國事件昨天半夜,國內時間今天一大早....
這波攻擊,突然減弱消退了!

這,就不能不說一個人....


當這次攻擊大規模爆發后....  
世界各國的安全人員,立馬開始了對病毒樣本的分析....

這其中,就有一個英國安全人員,他分析了病毒的代碼,發現在代碼的一開始,有一個特殊的域名地址.....

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

對,就這么一個看似手滾鍵盤打出來的,死長死長的域名地址....

同時,地球另一端思科的網絡安全人員也發現了這個域名

通過分析,他們發現,在昨天之前,網絡上完全沒有針對這個域名的訪問。
而昨天開始,這個域名的訪問量激增...
峰值達到了每小時1400多次...

發現這個域名之后,
那個英國網絡安全小哥照例搜索了一下,
發現那個域名地址并沒有被注冊...

出于職業習慣,他花了幾十塊錢,干脆順手把那個域名注冊了一下....
注冊成功后,
一瞬之間,他發現....
這個域名接到了幾乎全世界各個國家的電腦的連接.....

當時,
他自己不知道發生了什么,只知道,這個域名,不簡單....

事后才發現,他當時這隨手的一注冊,簡直立了大功!!!


因為后來,隨著對病毒代碼的進一步分析,
安全人員發現,這個域名,看起來像是病毒作者給自己留的一個緊急停止開關.... 防止事情失去他自己的控制...

在代碼里,安全人員找到了這樣的語句..
這個代碼的邏輯是這么寫的

訪問這個域名
如果  這個域名存在
      那么  退出一切
反之如果這個域名不存在
      那么  開始繼續攻擊...

也就是說,每一個感染了病毒的機器,在發作之前都會事先訪問一下這個域名,如果這個域名依舊不存在,那就繼續傳播..  如果已經被人注冊了,無論是被病毒作者本身還是被其他人,那就停止傳播....


就這么一個簡單的域名,
那個網絡安全小哥無意間的一注冊,
萬萬沒想到 ,
觸發了病毒作者留給自己的緊急停止的開關.....


事后,小哥自己在twitter上自嘲道...
“我坦白,在我注冊這個域名之前,完全不知道他能停止這次病毒的傳播...  這發現完全意外...”

“所以以后我簡歷上大概可以加一句 ‘ 一不小心阻止了一場全球性的網絡攻擊...' "

后來,小哥根據此開發出了這么一個攻擊地圖....
現在我們知道,地圖上的每一個藍點,不止代表著一臺被感染了病毒的機器.....
還代表著,
這是一臺訪問了小哥設立的這個域名,決定停止繼續攻擊的其他電腦的機器....


如果不是安全人員發現了這么一個緊急停止的開關...
這其中的每一個藍點,都有可能繼續攻擊同一個網絡里的其他電腦,
每一個藍點,都有可能成為更多機器被入侵的來源....   
后果不堪設想....


雖然已經被感染的機器無能為力...
但是發現這么一個緊急停止開關,已經阻止了進一步大范圍爆發的可能...

雖然可能很快這個病毒就會推出變種,繞過這么一個域名,或者采用別的域名... 這個緊急停止開關可能會失效..
但是那會大家安全意識都已經普遍提高,打上補丁, 造成的影響,不會有這次更強烈了....


就這樣,一個古老的勒索病毒 配上了一個NSA的傳播入侵大殺器永恒之藍...
造成了這次席卷全球的網絡風暴....
然而,這么大的一場風暴,又被無數幕后緊急響應的安全小哥們撲滅.....
感謝他們,
如果不是他們連夜通宵奮戰,
今天一天下來,這世界可能會更慘.......


最后的最后,一些補充后記....

為什么這次英國醫院受災嚴重?
因為英國醫院的IT系統老舊落后,一直沒有及時更新系統...
早在去年12月就有新聞曝光,英國醫院IT系統及其危險,依舊在使用Windows XP系統....
而windows xp系統早在2014年4月就已經被微軟停止支持...  不會發布更新的安全補丁....  也就會暴露在一切2014年之后的系統漏洞之下...
然而時至今日,英國醫院依舊沒有升級系統....  

所以,這是一次不只針對英國醫院的無差別攻擊,只不過英國醫院的系統升級做的最差,所以受災最嚴重...

怎么解決?
這里我就不詳說了,大家可以看其他相關安全相關人士的建議...
總之有幾點原則
1 勤備份.. 而且備份盤不要一直插在電腦上...
2 莫名郵件附件不要點,莫名網頁不要點...
3 隨時保持系統安全更新.. (這次漏洞的布丁其實微軟在3月份就已經緊急發布,如果當時更新及時的話,就算4月大殺器被公布,也依舊不會受到影響)

-------------------

_子非yu__:請大家該打的補丁還是要打,因為這個病毒源代碼肯定被分享了,那么也就代表著只要把這個判斷條件換一換,或者干脆就不要判斷條件,就是無條件攻擊的話,那么悲劇還會發生。所以大家補丁還是要打的。

@yclss_m:我們學校在一個月前就封了端口……就是因為那些攻擊程序被公布……今天同學們翻出來當時沒人注意到的通知覺得學校真是未雨綢繆……

抱著你好嗎:攻擊醫院和學校這一點真的不可原諒

一片雪寶的葉子:昨晚看到新聞嚇一跳,突然清醒準備備份東西,翻了一會電腦才發覺我沒啥值得備份的

在下吳彥祖有何貴干:心疼畢業論文沒寫完就被攻擊的小伙伴

我魚魚堅強:美國國家安全局是一個源頭啊、這表示美國確實在竊取全球各個國家的數據隱私啊

hitlergao:一直覺得win10不好用,沒想到一夜之間成為最大贏家?第一次想抱緊win10

他們都叫我帥比我好累:我記得上次這樣的病毒叫什么熊貓燒香,還是一個中專畢業的武漢小伙子弄的 ,后來進去了 就沒什么消息了。那時候玩卡丁車,電腦上出現一個熊貓,我tm以為官方送了我一個熊貓寶寶

ECO中文網:有評論認為,此次事件也再次暴露了比特幣這類以反監管為目的開發的網絡電子貨幣的負面作用。有人說工具是中性的,但一個一開始就為了潛在犯罪便利開發的工具就不一定了。比特幣組織的反監管和無政府主義傾向工具化,一定程度上激發了黑客的犯罪熱情

野貓和樹:會不會是微軟想要全世界的人都升級到win 10所以這么干?[并不簡單]

藍藍徐的大殼:怪不得評論里都說win10很穩 哈哈哈哈 但我還是斷網把端口都給關了才敢聯網, 畢業期間 受不了一點風險 不然我寧愿一周不開電腦
               
                    
回復

使用道具 舉報

沙發
 樓主| 發表于 2017-5-14 07:06:17 | 只看該作者

警惕!多所高校學生電腦中病毒遭勒索!

                                                                                                        
近日,國內多所高校發布關于連接校園網的電腦大面積中“勒索”病毒的消息,這種病毒被稱為 “Eternal Blue”,致使許多高校畢業生的畢業論文(設計)被鎖,支付贖金后才能解密。全球許多國家的醫院及科研機構等也都遭受了攻擊。



國內高校是這次攻擊的重災區

目前,很多大學的官方微博、微信已發出了預警信息,說這段時間國內很多大學的校園網和同學的電腦都中病毒了。不少同學的畢業論文、畢業設計等重要資料已經宣告“淪陷”。部分高校已發布預警信息,提醒大家不要點開來路不明的鏈接,裝上殺毒軟件



據悉,病毒是全國性的,疑似通過校園網傳播,十分迅速。目前賀州學院、桂林電子科技大學、桂林航天工業學院、寧波大學,浙江中醫藥大學、浙江工商大學、浙江理工大學、大連海事大學、山東大學等眾多高校都受到了病毒攻擊。




在這里提醒各同學們,請盡快備份重要文件以免遭到勒索,特別是應屆畢業生,論文一定要備份好!



如何開展攻擊?

專家認為,這種攻擊應該是利用了微軟系統的一個漏洞。微軟昨日表示,其工程師已經增加了針對該病毒的檢測和保護。微軟還說,該公司正在為客戶提供幫助。


怎樣免遭勒索病毒之害?

1
備份自己的文件

最理想的存儲地方是外接移動硬盤


2
對電子郵件、網站和應用保持警惕

在打開不知名的電子郵件或瀏覽不熟悉的網站時,應保持警惕,千萬不要下載未經官方商店認證的應用


3
使用防病毒程序,不斷更新軟件補丁

4
永不支付贖金

向黑客支付贖金,會助長黑客囂張氣焰,而且即便支付了贖金,受感染的文件也不一定能夠恢復正常。

5
具體防范方法

安裝安全補丁

微軟已經發布相關的補丁 MS17-010 用以修復被 “Eternal Blue”攻擊的系統漏洞,請盡快安裝此安全補丁,網址為
https://technet.microsoft.com/zh-cn/library/security/MS17-010。

對于 windows XP、Windows 2003 等更加久遠的系統,微軟則不再提供安全補丁。如果有使用老系統并中招的用戶可嘗試使用 360 “NSA武器庫免疫工具”檢測系統是否存在漏洞,并關閉受到漏洞影響的端口,可以避免遭到勒索軟件等病毒的侵害。

在 Windows 電腦上運行系統自帶的免費殺毒軟件并啟用 Windows Updates 的用戶可以免受這次病毒的攻擊。Windows10 的用戶可以通過設置-Windows 更新啟用 Windows Updates 安裝最新的更新,同時可以通過設置-Windows Defender,打開安全中心。


關閉 445、135、137、138、139 端口

關閉 445、135、137、138、139 端口,關閉網絡共享,也可以避免中招。

方法:
1. 運行 輸入“dcomcnfg”。
2. 在“計算機”選項右邊,右鍵單擊“我的電腦”,選擇“屬性”。
3. 在出現的“我的電腦屬性”對話框“默認屬性”選項卡中,去掉“在此計算機上啟用分布式 COM”前的勾。
4. 選擇“默認協議”選項卡,選中“面向連接的TCP/IP”,單擊“刪除”按鈕。

關閉 445 端口:
1. 開始-運行輸入 “regedit” 。
2. 確定后定位到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi cesNetBTParameters
3. 新建名為“SMBDeviceEnabled”的DWORD值,并將其設置為 0,則可關閉 445 端口。

關閉 135、137、138 端口:
在網絡鄰居上點右鍵選屬性,在新建好的連接上點右鍵選屬性,再選擇網絡選項卡,去掉 Microsoft 網絡的文件和打印機共享,以及 Microsoft 網絡客戶端的復選框。這樣就關閉了共享端 135 、137、138端口。

關閉 139 端口:
139 端口是 NetBIOS Session 端口,用來文件和打印共享。關閉 139 的方法是:在“網絡和撥號連接”中的“本地連接”中,選取“Internet協議 (TCP/IP)”屬性,進入“高級 TCP/IP 設置”“WINS設置”里面有一項“禁用 TCP/IP的 NETBIOS ”,打勾就可關閉 139 端口。


來源:央視新聞、中國青年報等


               
                    
回復 支持 反對

使用道具 舉報

*滑动验证:
您需要登錄后才可以回帖 登錄 | 立即注冊

本版積分規則

關閉

站長推薦上一條 /3 下一條

QQ|Archiver|手機版|小黑屋|揚州溫馨網絡科技有限公司版權所有 ( 蘇ICP備18048326號-1 )

GMT+8, 2019-12-6 18:39 , Processed in 0.296872 second(s), 22 queries .

Powered by Discuz! X3.4© 2001-2013 Comsenz Inc.

快速回復 返回頂部 返回列表
天津十一选五计划软件