比特幣病毒勒索攻擊對象
⑴ 比特幣病毒目前攻擊了多少個國家
多個國家遭受網路攻擊
5月12日,全球范圍多個國家遭到大規模網路攻擊,被攻擊者的電腦遭鎖定後被要求支付比特幣解鎖。惡意軟體的傳播最早是從英國開始的。目前,尚未有黑客組織認領這次襲擊。
俄羅斯網路安全企業卡巴斯基實驗室12日發布一份報告說,當時已發現全球74個國家和地區遭受了此次攻擊,實際范圍可能更廣。該機構說,在受攻擊最多的20個國家和地區中,俄羅斯所受攻擊遠遠超過其他受害者,中國大陸排在第五。
⑵ 比特幣敲詐者的危害是什麼
「比特幣敲詐者」病毒再次變種 可盜取個人隱私
今年一月份首次現身中國的「比特幣敲詐者」病毒如今呈指數級爆發,騰訊反病毒實驗室日前發現,該病毒瘋狂變種,僅5月7日當天新變種數就已達13萬,不僅敲詐勒索用戶,甚至還能盜取個人隱私。騰訊反病毒實驗室分析,從攻擊源來看,這是由黑客控制的僵屍網路以網路郵件為傳播載體發起的一場風暴。
「比特幣敲詐者」 呈指數級爆發
比特幣是一種新興的網路虛擬貨幣,因可兌換成大多數國家的貨幣而在全世界廣受追捧。與此同時,一種名為「CTB-Locker」的「比特幣敲詐者」病毒也肆虐全球,其通過遠程加密用戶電腦內的文檔、圖片等文件,向用戶勒索贖金,否則這些加密的文檔將在指定時間永久銷毀。
僵屍網路助「比特幣敲詐者」愈發猖狂
根據騰訊反病毒實驗室監測,「比特幣敲詐者」的攻擊源大部分來自美國,其次是法國、土耳其等。從IP來看,這些攻擊源來自一個黑客控制的僵屍網路,黑客利用這個僵屍網路發起郵件風暴。郵件內容大多是接收發票之類,誘導用戶去點擊下載附件。
「比特幣敲詐者」攻擊源分布
所謂僵屍網路 (Botnet) 是指採用一種或多種傳播手段,將大量主機感染bot程序(僵屍程序)病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。攻擊者通過各種途徑傳播僵屍程序感染互聯網上的大量主機,而被感染的主機將通過一個控制信道接收攻擊者的指令,組成一個僵屍網路。
據了解,之所以用僵屍網路這個名字,是為了更形象地讓人們認識到這類危害的特點:眾多的計算機在不知不覺中如同中國古老傳說中的僵屍群一樣被人驅趕和指揮著,成為被人利用的一種工具。
僵屍網路助「比特幣敲詐者」愈發猖狂
國家互聯網應急中心監測的最新數據顯示,僅2014年上半年,中國境內就有625萬余台主機被黑客用作木馬或僵屍網路受控端,1.5萬個網站鏈接被用於傳播惡意代碼,2.5萬余個網站被植入後門程序,捕獲移動互聯網惡意程序3.6萬余個,新出現信息系統高危漏洞1243個。
騰訊反病毒實驗室安全專家表示,僵屍網路構成了一個攻擊平台,利用這個平台可以有效地發起各種各樣的攻擊行為,可以導致整個基礎信息網路或者重要應用系統癱瘓,也可以導致大量機密或個人隱私泄漏,還可以用來從事網路欺詐等其他違法犯罪活動。無論是對整個網路還是對用戶自身,都造成了比較嚴重的危害。「比特幣敲詐者」便是利用僵屍網路發起郵件風暴,進行各種各樣的攻擊。
「比特幣敲詐者」瘋狂變種 可竊取隱私
據了解,「比特幣敲詐者」病毒敲詐過程具有高隱蔽性、高技術犯罪、敲詐金額高、攻擊高端人士、中招危害高的「五高」特點。用戶一旦中招,病毒將瀏覽所有文檔(後綴為.txt、.doc、.zip等文件)和圖片(後綴為.jpg、.png等文件),並將這些文件進行加密讓用戶無法打開,用戶必須支付一定數量的「比特幣」當做贖金才可以還原文件內容。
用戶必須支付贖金才可解鎖文件
騰訊反病毒實驗室的監測數據顯示,從今年4月開始,「比特幣敲詐者」疫情最為嚴重,為了持久有效的攻擊,躲避靜態特徵碼的查殺,病毒也在不斷地演變,圖標多選用文檔圖標(如doc,pdf等),而自身的殼不斷地變形變異。其中,5月7日新變種達到最高值,單天就高達13萬個!
「比特幣敲詐者」變異趨勢
騰訊反病毒實驗室安全專家表示,近期發現的「比特幣敲詐者」病毒不僅敲詐用戶,而且還新增了盜號的特性,會默默搜集用戶電腦里的密碼配置文件,如:電子郵箱、聊天工具、網銀帳號、比特幣錢包等等的密碼,威脅用戶財產安全。目前,騰訊安全團隊已第一時間對該病毒進行了深入分析,並可完美查殺此類病毒以及所有變種。
贖迴文件需數千元 安全專家支招防範技巧
據路透社報道,「比特幣敲詐者」病毒出自俄羅斯的一名黑客,名字叫艾維蓋尼耶·米哈伊洛維奇·波格契夫(Evgeniy Mikhailovich Bogachev),曾憑借這類勒索木馬病毒令12個國家超過一百萬計算機感染,經濟損失超過1億美元。美國聯邦調查局(FBI)官網顯示,波格契夫在FBI通緝十大黑客名單中排名第二,是某網路犯罪團體的頭目。FBI懸賞300萬美元通緝波格契夫,這也是美國在打擊網路犯罪案件中所提供的最高懸賞金。
專家強調,正因為危害較大,FBI才會懸賞如此高的獎金緝拿病毒作者。用戶一旦中招,意味著電子版的合同,多年老照片,剛剛寫好的企劃案,剛剛做成的設計圖,統統在病毒的加密下無法打開。病毒製造者主要利用用戶急切恢復文件的心理實施敲詐,成功率極高。據悉,比特幣近期雖然行情低迷,但單個成交價也在1391元人民幣左右(4月20日更新數據),所以,雖然是幾個比特幣的勒索,對於用戶來說也不是小數目。
專家提醒,不要輕易下載來路不明的文件,尤其是後綴為.exe,.scr的可執行性文件,不要僅憑圖標判斷文件的安全性。另外,平時養成備份習慣,將一些重要文件備份到移動硬碟、網盤,一旦被木馬感染,也可及時補救。
⑶ 比特幣勒索病毒是通過什麼來傳播的
勒索病毒,是一種新型電腦病毒,主要以郵件,程序木馬,網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失
。這種病毒利用各種加密演算法對文件進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。
攻擊對象:勒索病毒一般不會攻擊任何人,但一部分針對企業用戶(如xtbl,wallet),一部分針對所有用戶。
該類型病毒的目標性強,主要以郵件為傳播方式。
勒索病毒文件一旦被用戶點擊打開,會利用連接至黑客的C&C伺服器,進而上傳本機信息並下載加密公鑰和私鑰。然後,將加密公鑰私鑰寫入到注冊表中,遍歷本地所 有磁碟中的Office 文檔、圖片等文件,對這些文件進行格式篡改和加密;加密完成後,還會在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金。
該類型病毒可以導致重要文件無法讀取,關鍵數據被損壞,給用戶的正常工作帶來了極為嚴重的影響。
⑷ 誰是勒索軟體真正的攻擊目標
據悉,這個在國內被大家簡稱為「比特幣病毒」的惡意軟體,目前攻陷的國家已經達到99個,並且大型機構、組織是頭號目標。
在英國NHS中招之後,緊接著位於桑德蘭的尼桑造車廠也宣告「淪陷」。西班牙除了最早被黑的通訊巨頭Telefonica,能源公司Iberdrola和燃氣公司Gas Natural也沒能倖免於難。德國乾脆直接被搞得在火車站「示眾」。這個被大家稱之為「比特幣病毒」的勒索蠕蟲,英文大名叫做WannaCry,另外還有倆比較常見的小名,分別是WanaCrypt0r和WCry。
它是今年三月底就已經出現過的一種勒索程序的最新變種,而追根溯源的話是來自於微軟操作系統一個叫做「永恆之藍」(Eternal Blue)的漏洞。美國國家安全局(NSA)曾經根據它開發了一種網路武器,上個月剛剛由於微軟發布了新補丁而被「拋棄」。
三月底那次勒索程序就叫WannaCry,所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的說法,所指也是本次爆發的勒索程序。
隨後,微軟在3月發布的補丁編號為MS17-010,結果眾多大企業們和一部分個人用戶沒能及時安裝它,才讓不知道從什麼途徑獲取並改造了NSA網路武器的WannaCry有機可乘。
而且這回的勒索軟體目標並非只有英國NHS,而是遍布全球,總覺得有種「人家不是只針對英國醫療系統」一樣、奇怪的「有人跟我一樣糟就放心」了的潛台詞。雖然最後事實證明確實全球遭殃。
但WannaCry最早從英國NHS開始爆發,真的只是巧合嗎?
對於任何勒索病毒而言,都是最有可能被攻擊的「肥肉」:醫護人員很可能遇到緊急狀況,需要通過電腦系統獲取信息(例如病人記錄、過敏史等)來完成急救任務,這種時候是最有可能被逼無奈支付「贖金」的。
醫療信息與管理系統學會的隱私和安全總監Lee
Kim也解釋說,出於信息儲備過於龐大以及隱私考慮,「在醫療和其他一些行業,我們在處理這些(系統)漏洞方面確實會不那麼及時」。這也是為什麼科技領域普遍認為WannaCry幕後黑手的時機把握得非常巧妙,畢竟微軟更新MS17-010補丁還不到兩個月。從開發並釋放WannaCry人士角度來考慮這個問題,他們其實並不在乎具體要把哪個行業作為攻擊目標,因為他們的邏輯就是任何有利可圖的領域都是「肥肉」,都要上手撈一筆。所以他們確實並不是非要跟英國NHS過不去,只不過是好下手罷了。
個人電腦用戶被攻擊的比例比企業和大型機構低很多,這不僅僅是因為個人電腦打補丁比較方便快捷,也因為這樣攻擊不僅效率不高、獲利的可能也更小。WannaCry的運作機制,根本就是為區域網大規模攻擊而設計的。
這樣看來,前面提到的全世界其他受攻擊大型企業和組織,無論交通、製造、通訊行業,還是國內比較慘烈的學校,確實都是典型存在需要及時從資料庫調取信息的領域。
至於敲詐信息的語言問題,Wired在多方搜集信息後發現,WannaCry其實能以總共27種語言運行並勒索贖金,每一種語言也都相當流利,絕對不是簡單機器翻譯的結果。截至發稿前,WannaCry病毒的發源地都還沒能確認下來。
與其說WannaCry幕後是某種單兵作戰的「黑客」,倒不如說更有可能是招募了多國人手的大型團伙,並且很有可能「醉溫之意不在酒」。畢竟想要簡單撈一筆的人,根本沒有理由做出如此周全的全球性敲詐方案。
WannaCry在隱藏操作者真實身份這方面,提前完成的工作相當縝密。不僅僅在語言系統上聲東擊西,利用比特幣來索取贖金的道理其實也是一樣:杜絕現實貨幣轉賬後被通過匯入賬戶「順藤摸瓜」的可能。而且WannaCry的開發者早就有了一個范圍寬廣、長期作戰的策劃:「在情況好轉之前,它會先變糟糕的——相當糟糕。」(This』ll get worse—a lot worse—before it gets better.)
不過,在晚些時候,一位22歲的英國程序猿小哥就似乎「誤打誤撞」阻止了WannaCry的進一步擴散。
這位小哥在社交網路上的昵稱是MalwareTech(中文意思大概是「惡意軟體技術」,聽起來反而更像個黑客),阻止了WannaCry的進一步全球肆虐後,他在自己的博客上寫下了全過程,甚至英國情報機關GCHQ都在官網轉po了這篇博文。
MalwareTech本來應該在度假中,不過他還是迅速反應,找到了一份WannaCry軟體的樣本。閱讀代碼時,他發現了一個沒有被注冊過的域名,下面的代碼意思就是WannaCry在黑點電腦前的運行中會先試圖訪問該域名,如果訪問失敗就黑掉系統,如果成功則自動退出。
於是MalwareTech就把這個域名給注冊了。
在後來一些中文媒體的報道中,小哥的這一舉動被強調成是「突發奇想」或者「下意識」之舉。正是因為無效域名被注冊,後來被WannaCry感染的電腦都在訪問該域名時得到了肯定的返回值,於是沒有再鎖定信息、展開敲詐。
不過MalwareTech自己解釋卻不是這樣的。他在博客中寫道,注冊這個域名是他作為網路安全工作人員的「標准做法」(standard practice)。過去一年裡,遇到所有這樣短時間訪問量激增的無效域名,他都會將其注冊後扔進前面圖里提到的「天坑」(sinkhole)里,而這個「天坑」的作用就是「捕獲惡意流量」。
WannaCry樣本中域名,在昨天全球范圍攻擊開始後訪問量瞬間激增,此前卻沒有任何被訪跡象。
然而MalwareTech職業靈敏度,讓他開始考慮WannaCry是否會定期或在特請情況下修改程序中的無效域名,因為如果是這樣的話,僅僅注冊他所發現的這個域名就無法阻止未來襲擊。
即使軟體里沒有這樣的部分,開發者依然能夠手動升級WannaCry後再度把它傳播開來,所需要做的也就僅僅是替換一個新的無效域名而已。
還有一種更糟糕的情況:如果WannaCry程序中還有另一層自我保護機制,那麼無效域名的注冊很有可能導致目前所有被感染電腦自動為所有信息加密,無法復原。
為了排除後一種情況,MalwareTech乾脆修改了自己一台電腦的主機文件,讓它無法連接那個已經被注冊了的前無效域名。
電腦成功藍屏了。
MalwareTech寫道:「你可能無法想像一個成年男人在屋裡興奮得跳來跳去,原因竟然是自己電腦被勒索軟體搞失靈了。但我當時確實就那樣了。」測試結果表明,他的「標准做法」確實阻止了WannaCry的進一步傳播。
但是小哥親自警告:「這事沒完」
和某些信息平台熱炒MalwareTech「拯救了全世界」的梗不同,英國《衛報》和《英國電訊報》都在標題里明確告訴大家,小哥自己都已經作出警告:「這事沒完!」
域名被注冊後WannaCry的停止擴散,在他看來只是病毒製造者一個不夠成熟的自我保護機制。對方的真正意圖並非通過域名是否能連接上來「指揮」病毒的運行,而是通過這種方式判斷病毒是否被電腦安全高手捕獲。
一旦WannaCry運行時發現域名有反應,真實反應並不是「好心」地停止攻擊,而是避免自己被扔進「沙盒」(sandbox)安全機制被人全面分析,乾脆退出獲得域名響應的電腦系統。
MalwareTech雖然功不可沒,但他只是阻止了「比特幣病毒」現行樣本的擴散,但開發者也已經意識到了這項弱點,隨時可能用升級版勒索程序卷土重來。
當然,也不排除,此次勒索軟體的最終目的,不是真的想勒索,而是想展現給一些有不法分子查看這個病毒的威力,從而出售這個病毒給他們。如果真的是這樣的話,那麼接下來的日子,網路安全,將會面臨一個很嚴峻的挑戰。
此次勒索軟體威脅的不僅是個人用戶,還有眾多機構和企業。
因此提醒,所有網路用戶今後都應加強安全意識,注意更新安全補丁和使用各種殺毒工具。
⑸ 浠涔堟槸鍕掔儲姣旂壒甯佺棶姣掞紝瀹冨規暟鎹瀹夊叏鏈夊摢浜涗弗閲嶅獎鍝嶏紵
鍕掔儲鐥呮瘨錛氭暟鎹鍔犲瘑鐨勫叏鐞冨▉鑳
鍕掔儲鐥呮瘨錛屼竴縐嶄互姣旂壒甯佷負璧庨噾鐨勬伓鎰忚蔣浠訛紝鑷2017騫5鏈12鏃ヨ搗鍦ㄥ叏鐞冭寖鍥村唴鐖嗗彂錛屼腑鍥介珮鏍″挨鍏跺彈鍒涳紝姣曚笟璁烘枃鏂囦歡琚鍔犲瘑錛岄渶鏀浠300緹庡厓璧庨噾銆傝ョ棶姣掗氳繃閭浠躲佹湪椹紼嬪簭鍜岀綉欏墊寕椹浼犳挱錛屼竴鏃︽劅鏌擄紝鐢佃剳灝嗚閿佸畾錛屾墍鏈夋枃浠惰鍔犲瘑涓.onion鏂囦歡錛屽彧鏈夋敮浠樿祹閲戞墠鑳借В閿併
榛戝㈡墜孌佃嫑鍒
鍕掔儲鑰呰佹眰鍙楀寵呭湪涓夊ぉ鍐呮敮浠300緹庡厓姣旂壒甯侊紝閫炬湡璧庨噾緲誨嶏紝鐢氳嚦璁劇疆浜嗗叚涓鏈堢殑榪樻鵑氶亾銆傜數鑴戣鎰熸煋鍚庯紝鎻愮ず紿楀彛鏄劇ず璁℃椂鍜屼粯嬈炬柟寮忥紝鐢ㄦ埛闈涓寸潃鏁版嵁涓㈠け鐨勪弗閲嶅悗鏋溿
鍕掔儲鐥呮瘨瀹為檯涓婃槸Wallet鍕掔儲杞浠剁殑鍙樼嶏紝鍔犲瘑綆楁硶寮哄ぇ錛岃В瀵嗗洶闅撅紝鏀浠樿祹閲戞垚涓哄敮涓鐨勮В鍐蟲柟妗堬紝瀵瑰︿範璧勬枡鍜屼釜浜烘暟鎹閫犳垚浜嗗法澶ф崯澶便傚浗鍐呭氭墍楂樻牎錛屽傚北涓滃ぇ瀛︺佸崡鏄屽ぇ瀛︾瓑錛屽凡鍙戝竷闃茶寖閫氱煡銆
鍗卞蟲繁榪
鍕掔儲姣旂壒甯佺棶姣掍笉浠呭逛釜浜烘暟鎹瀹夊叏鏋勬垚濞佽儊錛屽叏鐞冭寖鍥村唴錛屽寘鎷鏈哄満銆佸尰闄㈢瓑鍏抽敭鍩虹璁炬柦涔熼伃鍙楁敾鍑伙紝閫犳垚澶ч噺瀹濊吹璧勬枡鍔犲瘑錛屼緥濡傚ぇ瀛︾敓鐨勬瘯涓氳烘枃銆傚逛簬渚濊禆鐢佃剳鏁版嵁鐨勭敤鎴鳳紝鏁版嵁涓㈠け鍙鑳藉艱嚧涓嶅彲浼伴噺鐨勬崯澶便
閽堝瑰嫆緔㈢棶姣掔殑闃叉姢錛屽緩璁鍙婃椂鏇存柊杞浠惰ˉ涓侊紝鍏抽棴鐢佃剳445絝鍙o紝浠ラ槻姝㈡劅鏌撱傚逛簬宸茬粡鍙楀崇殑鐢ㄦ埛錛屽彲鍒╃敤360瀹夊叏鍗澹鎻愪緵鐨勬枃浠舵仮澶嶅伐鍏瘋繘琛屼慨澶嶃
⑹ 比特幣病毒為什麼成為史上最缺德的病毒
本次「比特幣病毒」事件「中的病毒被稱為「RansomWare(勒索病毒)」,通過加密受害人電腦里的文件,讓你完全打不開,來索要贖金。這是不法分子利用NSA黑客武器庫泄露的「EternalBlue(永恆之藍)」發起的病毒攻擊,它無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體。
更可怕的是,這,只是一個開端,現在這個勒索病毒,已經波及到了世界各地,包括今天中國的多所高校紛紛中招,在網上你可以看到多地同學在網上曬出電腦被攻擊的圖片。不得不說,黑客真是用心良苦,連簡體中文都有。
⑺ 比特幣病毒是怎麼感染的 比特幣勒索病毒感染傳播方式詳解
什麼是勒索病毒?
1、WannaCry病毒與其他同類勒索病毒不同,它是一種可自動感染其他電腦進行傳播的蠕蟲病毒,因鏈式反應而迅猛爆發。
2、這種勒索病毒主要感染Windows系統,它會利用加密技術鎖死文件,禁止用戶訪問,並以此勒索用戶。
3、襲擊者聲稱,索要價值300美元以上的比特幣後方能解鎖文件。實際上,即使支付贖金,也未必能解鎖文件。
為什麼會被感染?
該勒索蠕蟲一旦攻擊進入能連接公網的用戶機器,則會掃描內網和公網的ip,若被掃描到的ip打開了445埠,則會使用「EnternalBlue」(藍之永恆)漏洞安裝後門。一旦執行後門,則會釋放一個名為Wana Crypt0r敲詐者病毒,從而加密用戶機器上所有的文檔文件,進行勒索。
為什麼使用比特幣?
比特幣是一種點對點網路支付系統和虛擬計價工具,通俗的說法是數字貨幣。比特幣在網路犯罪分子之中很受歡迎,因為它是分散的、不受管制的,而且幾乎難以追蹤。
傳播感染背景
本輪敲詐者蠕蟲病毒傳播主要包括Onion、WNCRY兩大家族變種,首先在英國、俄羅斯等多個國家爆發,有多家企業、醫療機構的系統中招,損失非常慘重。
安全機構全球監測已經發現目前多達74個國家遭遇本次敲詐者蠕蟲攻擊。
從5月12日開始,國內的感染傳播量也開始急劇增加,在多個高校和企業內部集中爆發並且愈演愈烈。
WannaCry勒索病毒預防方法:
1、為計算機安裝最新的安全補丁,微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞,請盡快安裝此安全補丁;對於windowsXP、2003等微軟已不再提供安全更新的機器,可使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞,並關閉受到漏洞影響的埠,可以避免遭到勒索軟體等病毒的侵害。
2、關閉445、135、137、138、139埠,關閉網路共享。
3、強化網路安全意識:不明鏈接不要點擊,不明文件不要下載,不明郵件不要打開……
4、盡快(今後定期)備份自己電腦中的重要文件資料到移動硬碟、U盤,備份完後離線保存該磁碟。
5、建議仍在使用windowsxp,windows2003操作系統的用戶盡快升級到windows7/windows10,或windows2008/2012/2016操作系統。
⑻ 席捲全球的比特幣病毒到底是什麼
2017年5月12日20時左右,比特幣勒索計算機病毒在全球爆發,這是一起全球大規模勒索軟體感染事件。
5.360安全衛士已經提供「NSA武器庫免疫工具」,大家可下載安裝。
⑼ 比特幣勒索病毒攻擊哪些系統的最新相關信息
「wanacry」主要針對Windows操作系統的用戶(包含家庭電腦)主要感染以學校,機場,企業,醫療機構等大型用戶。系統版本包括WindowsXP/2003/7/8.1/10。
因為:
敲詐者木馬本身沒什麼不一樣,但是Wana系列敲詐者木馬的傳播渠道是利用了445埠傳播擴散的SMB漏洞MS17-101,微軟在17年3月發布了該漏洞的補丁。2017年4月,黑客組織Shadow Brokers公布的Equation Group(方程式組織)使用的「網路軍火庫」中包含了該漏洞的利用程序,而該勒索軟體的攻擊者或者攻擊組織就是在借鑒了「網路軍火庫」後進行了這次全球大規模的攻擊,主要影響校園網,醫院、事業單位等內網用戶。
wanacry勒索軟體主要針對Windows PC用戶。