資料結構
網路
關係資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
時尚研究
法律研究WannaCry 惡意軟體的工作原理是什麼?
勒索軟體已成為對企業最嚴重的網路威脅之一,因為它可能導致經濟損失、企業不穩定和聲譽受損。這種惡意軟體使用複雜的加密演算法來加密計算機上的所有檔案,並在提供解密金鑰之前阻止訪問這些檔案。裝置螢幕上會顯示一條勒索資訊,要求受害者支付特定金額的錢(通常以比特幣加密貨幣支付)以換取金鑰(惡意駭客是否會信守承諾沒有保證)。WannaCry 勒索軟體是 2017 年發生的最災難性的網路攻擊之一。
它僅用一天時間就席捲全球,關閉了全球的關鍵系統,並感染了 150 多個國家的 230,000 多臺機器。我們將在下面討論這次攻擊及其工作原理。
什麼是 WannaCry?
WannaCry 是一種勒索軟體攻擊,首次出現在 2017 年春季,並將勒索軟體的概念推向了公眾視野。由於全球性攻擊,許多系統被停用,包括支援醫院和執法機構的公共服務網路。專家將 WannaCry 識別為一種加密蠕蟲。安全界做出了回應,提供了一個“終止開關”和修復程式,有效地阻止了 WannaCry 感染機器。
駭客在 WannaCry 攻擊中使用了美國國家安全域性之前使用的 EternalBlue。EternalBlue 透過利用微軟伺服器訊息塊協議中的漏洞導致 WannaCry 傳播。
儘管提供了軟體修復程式,但未安裝該修復程式的計算機仍然容易受到 WannaCry 勒索軟體攻擊。在 WannaCry 攻擊有效結束幾個月後,美國和英國等國家表示,朝鮮資助了 WannaCry 駭客。
WannaCry 迅速成為勒索軟體攻擊的典型案例,它會加密檔案資料並要求以比特幣或無法追蹤的貨幣支付贖金。WannaCry 快速而廣泛的傳播表明勒索軟體的危險性,這次攻擊影響了全球超過 200,000 臺機器,並造成數十億美元的損失。
WannaCry 的工作原理
WannaCry 利用微軟 SMBv1 網路資源共享協議中的漏洞來傳播其惡意軟體。攻擊者可以使用此漏洞將特製的包傳輸到任何在埠 445(保留用於 SMB)上接受來自公共網際網路資料的系統。SMBv1 是一種已被淘汰的網路協議。
WannaCry 透過利用 EternalBlue 漏洞進行傳播。攻擊者首先掃描目標網路,查詢在 TCP 埠 445 上接受流量的裝置,這表明該系統已設定為執行 SMB。通常使用埠掃描來實現此目的。下一步是使用 SMBv1 連線到該裝置。
當建立連線時,會使用緩衝區溢位獲取對目標系統的控制權並安裝攻擊的勒索軟體元件。一旦機器被感染,WannaCry 蠕蟲就會傳播到其他未修補的裝置,而無需人工干預。據安全分析師稱,即使受害者支付了贖金,勒索軟體也不會立即解鎖他們的計算機或解密其內容。相反,受害者必須寄希望於 WannaCry 的製造者透過網際網路傳送人質 PC 的解密金鑰,這是一個完全手動且存在重大缺陷的過程:駭客無法知道誰支付了贖金。據安全專家稱,因為受害者檔案被解密的可能性很小,所以節省資金並重建受損系統是更明智的選擇。
它是如何傳播的?
WannaCry 的傳播得益於 Windows 中的一個名為 MS17-010 的漏洞,駭客利用 EternalBlue 攻擊利用了該漏洞。NSA 發現了此軟體漏洞並建立了利用該漏洞的程式,而不是通知微軟。然後,一個名為“影子經紀人”的神秘駭客組織入侵了此程式碼並將其公開。微軟瞭解了 EternalBlue 併發布了補丁(修復漏洞的軟體更新)。那些沒有應用補丁的人(包括大多數人)仍然容易受到 EternalBlue 的攻擊。
WannaCry 透過 SMBv1 攻擊網路,SMBv1 是一種檔案共享協議,允許 PC 與印表機和其他網路裝置通訊。WannaCry 是一種類似蠕蟲的計算機病毒,可以在網路中傳播。WannaCry 安裝在一臺機器上後,可以掃描網路以查詢更多易受攻擊的裝置。它透過 EternalBlue 攻擊滲透,然後使用 DoublePulsar 後門程式安裝和執行。因此,它可以在不需要人工干預或主機檔案或程式的情況下自行復制,這使其成為蠕蟲而不是病毒。
WannaCry 是如何被阻止的?
據網路安全研究員 Marcus Hutchins 稱,WannaCry 會在登陸機器後嘗試訪問特定 URL。如果找不到該 URL,勒索軟體就會感染計算機並加密其內容。Hutchins 註冊了一個域名,並使用它構建了一個 DNS 陷井,有效地終止了 WannaCry。當駭客利用 Mirai botnet 變體來攻擊他的 URL(試圖進行 DDoS 攻擊以使 URL 癱瘓並關閉開關)時,他經歷了幾天焦慮的時光。
Hutchins 透過使用快取版本的站點(可以承受更高的流量水平)來保護該域名,並且終止開關仍然有效。目前尚不清楚終止開關是偶然包含在 WannaCry 程式碼中還是駭客有意停止攻擊。我應該支付贖金還是嘗試恢復加密檔案?
目前,無法解密加密檔案,儘管 Symantec 研究人員正在研究此問題。有關更多資訊,請參閱本文。如果您有備份副本,則可能能夠恢復受影響的檔案。Symantec 建議不要支付贖金。
如果沒有備份,有時可以檢索檔案。儲存在桌面、我的文件或行動式驅動器上的檔案的原始副本將被刪除並加密,無法恢復。計算機硬碟驅動器上的檔案被加密,其原始版本被擦除。這意味著可以使用撤消刪除工具來恢復它們。
支付贖金的流程是什麼?
WannaCry 的製造者希望贖金以比特幣支付。WannacCy 為每臺受感染的計算機生成一個唯一的比特幣錢包地址,但由於競爭條件問題,此程式碼無法成功執行。然後,WannaCry 使用三個硬編碼的比特幣地址作為其預設付款方式。由於攻擊者無法確定哪些受害者使用硬編碼地址付款,因此受害者的檔案不太可能被加密。
WannaCry 的攻擊者透過釋出解決該缺陷的程式的新版本做出了回應,但它不如原始版本成功。
後來,受感染的 PC 上出現了一條新訊息,警告受害者如果支付贖金,他們的檔案將被解密。
WannaCry 勒索軟體仍然是一種威脅嗎?
儘管微軟在 2017 年 3 月 14 日(即發現 WannaCry 之前兩個月)修補了 SMBv1 漏洞,但允許勒索軟體快速傳播的漏洞仍然對未修補和未受保護的計算機構成威脅。
惡意軟體編寫者在利用微軟的 SMB 協議方面取得了很大成功,EternalBlue 是 2017 年 6 月破壞性 NotPetya 勒索軟體爆發的重要組成部分。2017 年,與俄羅斯有關的 Fancy Bear 網路間諜組織(也稱為 Sednit、APT28 或 Sofacy)利用該漏洞攻擊了歐洲酒店的 Wi-Fi 網路。該攻擊也被確定為惡意加密貨幣礦工用來傳播其程式碼的方法之一。由於攻擊途徑的根本轉變和不斷擴大的攻擊面,WannaCry 仍然是一種威脅。它也是一種危險,因為許多企業沒有修復其系統。在 2021 年第一季度,Check Point Research 記錄了遭受 WannaCry 攻擊的組織數量增加了 53%,而 2020 年第四季度和 2021 年第一季度勒索軟體攻擊數量增加了 57%。WannaCry 引入了勒索軟體和加密蠕蟲的概念,它們是透過遠端辦公服務、雲網絡和網路端點傳播的程式碼片段。要感染整個網路,勒索軟體只需要一個接入點。然後,它透過自我複製傳播到其他裝置和系統。自最初的 WannaCry 攻擊以來,已經出現了更復雜的勒索軟體變體。在這些新變體中,需要定期與其控制器連線的傳統勒索軟體攻擊正被自動化、自學習策略所取代。
WannaCry 和其他勒索軟體:如何保護自己?
確保您的軟體是最新的:儘管微軟釋出了 EternalBlue 漏洞的補丁,但數百萬人未能安裝它。如果他們進行了升級,WannaCry 可能無法感染他們。因此,務必使所有軟體保持最新狀態。保持安全軟體更新也很重要。
謹慎開啟來自未知發件人的電子郵件:有很多詐騙行為,網路犯罪分子最常用的分發方式是透過電子郵件。應避免開啟來自未知發件人的電子郵件,尤其應避免點選任何連結或下載任何檔案,除非您確信它們是真實的。
任何指示您啟用宏以讀取其內容的 Microsoft Office 電子郵件附件都應避免。除非您確信這是來自信譽良好的來源的真實電子郵件,否則請勿啟用宏。相反,請立即刪除該電子郵件。
對抗勒索軟體攻擊最有效的策略是備份關鍵資料。攻擊者透過加密有價值的檔案並使其無法訪問來控制受害者。如果受害者擁有其檔案的備份副本,則可以在刪除病毒後恢復它們。但是,組織應確保備份得到適當保護或離線儲存,以防止入侵者刪除它們。
由於許多雲服務會保留資訊的先前版本,因此如果您使用它們,則可能能夠將檔案恢復到未加密狀態。
427 次檢視
