¿Cuál es el principio del ataque del virus ransomware? Introducción al principio del virus ransomware Bitcoin.

1. Principio del virus ransomware 5.12

El virus ransomware WannaCry fue propagado por delincuentes utilizando la peligrosa vulnerabilidad "EternalBlue" filtrada por la NSA (Agencia de Seguridad Nacional). Este ransomware ataca principalmente a dispositivos con sistema Windows que no se han actualizado a la última versión, como xp, vista, win7, win8, etc.

El malware escanea el puerto TCP445 (ServerMessageBlock/SMB) en la computadora, se propaga como un gusano, ataca al host y cifra los archivos almacenados en el host, y luego exige el pago en forma de Bitcoin. rescate. El monto de la extorsión osciló entre $300 y $600.

Cuando el sistema host del usuario es invadido por un virus ransomware, aparecerá un cuadro de diálogo de ransomware que le preguntará el propósito del rescate y le pedirá Bitcoin al usuario. Para archivos importantes en la computadora host del usuario, como fotografías, imágenes, documentos, paquetes comprimidos, audio, video, programas ejecutables y casi todos los tipos de archivos, los nombres de los sufijos de los archivos cifrados se cambian uniformemente a ".WNCRY". En la actualidad, la industria de la seguridad no ha podido descifrar eficazmente el comportamiento de cifrado malicioso de los virus ransomware. Una vez que un virus ransomware penetra el host de un usuario, solo se puede eliminar reinstalando el sistema operativo, pero los archivos de datos importantes del usuario no se pueden restaurar directamente.

WannaCry aprovecha principalmente las vulnerabilidades de los sistemas Microsoft Windows para obtener la capacidad de propagarse automáticamente y puede infectar todos los ordenadores de un sistema en unas pocas horas. Después de que la vulnerabilidad ejecute remotamente el ransomware, se liberará un paquete comprimido desde la carpeta de recursos. El paquete comprimido descifrará y liberará los archivos en la memoria. La contraseña es: WNcry@2ol7. Estos archivos incluyen el archivo ejecutable que muestra el cuadro de ransomware, el bmp de la imagen de fondo del escritorio, fuentes de ransomware en varios idiomas y dos archivos ejecutables que ayudan en el ataque. Estos archivos se publicarán en el directorio local y se configurarán como ocultos. (Nota: "Eternal Blue" es el nombre de la herramienta de explotación filtrada por la NSA, no el nombre del virus. "Eternal Blue" se refiere a la peligrosa vulnerabilidad "Eternal Blue" filtrada por la NSA. El virus ransomware WannaCry se propaga Al utilizar esta vulnerabilidad, por supuesto, otros virus también pueden propagarse a través de esta vulnerabilidad, por lo que es necesario parchear el sistema).

El 17 de mayo de 2065, el gusano WannaCry estalló en todo el mundo a través del MS17. -010 vulnerabilidad, infectando una gran cantidad de ordenadores. Después de que el gusano infecta la computadora, implantará el virus ransomware en la computadora, lo que provocará que se cifren una gran cantidad de archivos de la computadora. Después de que un hacker bloquee la computadora de la víctima, el virus le pedirá que pague el equivalente a 300 dólares estadounidenses (aproximadamente 2069 RMB) en Bitcoin para desbloquearla.

En la noche del 17 al 13 de mayo de 2065, un investigador británico descubrió accidentalmente el nombre de dominio KillSwitch, frenando accidentalmente la propagación a gran escala del virus. Cuando los investigadores analizaron el ransomware WannaCry, descubrieron que no realizaba un "procesamiento profundo" de los archivos originales, sino que los eliminaba directamente. Esto parece ser un "paso en falso" de nivel relativamente bajo. 360 aprovechó el "paso en falso" del chantajista y logró la recuperación de algunos archivos.

Los días 17 y 14 de mayo, el monitoreo encontró que apareció una variante del virus ransomware WannaCry: WannaCry2.0. A diferencia de la versión anterior, esta variante canceló KillSwitch, por lo que la variante no se puede desactivar registrando un. nombre de dominio. La propagación del ransomware y esta variante puede propagarse más rápido. Los usuarios de Internet deben actualizar e instalar parches relacionados con el sistema operativo Windows lo antes posible. Desconecte la máquina infectada inmediatamente para evitar una mayor infección.

2. Tipos de ataques de ransomware

Archivos de Office de uso común (extensiones: .ppt, .doc, .docx, .xlsx, .sxi).

Formatos de archivos de Office (.sxw, .odt, .hwp), pero se utilizan en algunos países.

Comprime documentos y archivos multimedia (.zip, .rar, .tar, .mp4, .mkv).

Correo electrónico y bases de datos de correo (eml, msg, ost, pst, deb)

Archivos de base de datos (sql, accdb, mdb, dbf, .odb, .myd)

Código fuente y archivos de proyecto (.php, .java, .cpp, .pas, .asm) para desarrolladores.

Claves y certificados (.key, .pfx, .pem, .p12, .csr, .gpg, .

aes)

Archivos (.vsd, .odg, .raw.nef, .svg, .psd) utilizados por diseñadores gráficos, artistas y fotógrafos.

Archivos de máquinas virtuales (.vmx, .vmdk, .vdi)

3. Cómo lidiar con los virus ransomware

¿Cómo prevenir los virus ransomware de Windows? Descargue parches para prevenir la infección con ONION y WNCRY ransomware.

¿Cómo evitar ser infectado por ransomware al arrancar? Guía de inicio de 360 ​​anti-ransomware

¿Cómo cerrar rápidamente los puertos 135, 137, 138, 139, 445 en Win7 para prevenir el virus ransomware Bitcoin?

Cómo usar DiskGenius para recuperar datos después de que una computadora está infectada con un virus ransomware

Los dispositivos Windows que no actualizan los parches a tiempo son extremadamente vulnerables a los ataques de ransomware, por lo que para Para prevenir el fraude informático, todos deben hacer las actualizaciones y precauciones necesarias.