黑基网 首页 资讯 安全圈 查看内容

这场网络“911” 我们不再是旁观者

2017-5-19 15:09| 投稿: heilong916 |来自: 互联网

摘要: 回想起十六年前,美国纽约的世贸双子塔轰然倒塌、瞬间变成废墟的时候,我们第一次认识到了“恐怖主义”这四个字的惊人破坏力。而十六年后的今天,一款名为“想哭”勒索软件横空出世,以不可阻挡之势肆虐整个世界,带 ...

回想起十六年前,美国纽约的世贸双子塔轰然倒塌、瞬间变成废墟的时候,我们第一次认识到了“恐怖主义”这四个字的惊人破坏力。而十六年后的今天,一款名为“想哭”勒索软件横空出世,以不可阻挡之势肆虐整个世界,带来了一场前所未有的网络“911”。

全球150多个国家

30多万家企业成为攻击对象

包括中国、美国、英国、俄罗斯等

规模之大几乎使正使用PC的用户都有机会中招

“想哭”勒索蠕虫利用的是泄露的NSA网络军火库中的永恒之蓝攻击程序,这是NSA网络军火民用化的全球第一例。病毒来势汹汹,国内各大网络安全厂商纷纷在第一时间发布解决方案,但就目前而言,尚未有安全厂商可以破解并攻克此病毒,且解决方法基本是进行简单的数据恢复或支付赎金。难道这个“想哭”勒索软件真的无法无天了?

然而,这次我们不再是旁观者!康众畅想联合计算机病毒防御中心反入侵实验室在第一时间拿到了病毒样本,日以继夜、集中攻坚,对病毒进行了深入、透彻的研究并持续跟进病毒的最新状态。(PS.计算机病毒防御中心:一个非盈利的网络安全实验室,主要为中国网友提供计算机病毒防御数据,打造国家计算机病毒库,快速解决应急响应安全事件,通过自主引擎做到应急响应时间周期为可控。 康众畅想:国内某屌丝级别的网络安全公司,具体属性不祥,有传闻他们公司的“康众智防”产品防护的对象至今在此次事件中没有受到任何影响。)

“想哭”采用勒索软件常见的AES + RSA方式加密文件,目前安全专家表明勒索病毒加密文件使用了两套密钥。

病毒会释放加密模块到内存,内存加载该DLL,同时启动直接在内存加载该DLL

RSA使用微软的CryptAPI

密钥说明:

RPUBKEY

RSA 2048 Root Public Key,硬编码于程序中

RPIVKEY

RSA 2048 Root Private Key,作者持有,目前未公开

SPUBKEY

RSA 2048 Session Public Key, 每个受害用户唯一的会话密钥(公钥),用于加密AES KEY,导出到文件00000000.pky

SPIVKEY

RSA 2048 Session Private Key,每个受害用户唯一的会话密钥(私钥),用于解密AES KEY,Encrypt(RPUBKEY,SPIVKEY),即用RPUBKEY加密后导出到文件00000000.eky

FILEKEY

AES 128Bit KEY,每一个文件生成一个,通过CryptGenRandom生成

ENCFILEKEY

被SPUBKEY加密的FILEKEY,存在于被加密的文件当中

同时加密过程中,程序会随机选取一部分文件使用内置的RSA公钥来进行加密,这里的目的是解密程序提供的免费解密部分文件功能。双方安全团队抓到现有BT交易生成的值并进行了一定数据对比的采集与分析,通过赎金解密过程分析双方安全团队进行随机dky 过程实现一部分文件恢复。

通过本地密钥加密的文件可实现解密,通过网络密钥加密文件经过双方研究人员针此次NSA泄密的Windows系统的多个漏洞及攻击工具包进行了分析跟进并进行了针对性的攻克研究,从源头了解病毒运行原理并成功找到AES密钥。由于此次爆发的病毒完美利用暗网及比特币监管空白,追踪溯源的难度非常大,导致病毒作者可以肆无忌惮得释放传播蠕虫病毒,双方安全研究团队利用遍布在全球各地的“态势感知探针”深度剖析并已经掌握病毒路径规律。

双方安全团队专家一致表示,与网络黑产之间的战斗,同样不会很快停息。但愿,每个人能够痛定思痛,意识到网络安全不是一个远在天边的技术,维护网络安全是每个人都要去注重的行为准则。

此外,为了防止“想哭”勒索病毒的进一步扩散与蔓延,为帮助广大用户更好的采取防护措施,双方安全团队决定为广大用户提供一元“安妮星Web漏洞扫描”服务,帮助用户全面检测网站安全漏洞。


本文出处:http://www.toutiao.com/a6421700335656485121/

声明:本文搜集整理自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,请我们一起为维护良好的互联网秩序而努力,谢谢!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部