¿Cuál es el principio del ataque del virus ransomware? Introducción al principio del virus ransomware Bitcoin

En los últimos días, muchas personas han sido atacadas por un virus ransomware llamado WannaCry (también llamado WannaDecryptor), un software ransomware "parecido a un gusano" que bloquea y cifra varios tipos de archivos en las computadoras, cuando el usuario. Al abrirlo, aparecerá una ventana emergente solicitando Bitcoin. El monto del rescate es de 300 a 600 dólares estadounidenses. Algunos usuarios no lo han descifrado después de pagar el rescate, lo que hace que la gente entre en pánico. variante y versión mejorada Entonces, ¿cuál es el principio del ataque del virus ransomware? Aquí el editor le presentará el principio del virus Bitcoin.

1. Principio del virus ransomware 5.12

El virus ransomware WannaCry es propagado por delincuentes utilizando la peligrosa vulnerabilidad "EternalBlue" filtrada por la NSA (Agencia de Seguridad Nacional, Agencia de Seguridad Nacional de EE. UU.). ), el virus ransomware ataca principalmente a dispositivos con sistema Windows que no se han actualizado a la última versión, como xp, vista, win7, win8, etc.

El malware escanea el puerto TCP445 (ServerMessageBlock/SMB) en la computadora, se propaga como un gusano, ataca al host y cifra los archivos almacenados en el host, y luego exige el pago en forma de Bitcoin. rescate. El monto de la extorsión oscila entre $300 y $600.

Cuando el sistema host del usuario es invadido por el ransomware, aparece un cuadro de diálogo de ransomware que pregunta el propósito del rescate y solicita Bitcoins al usuario. Para archivos importantes en la computadora host del usuario, como fotografías, imágenes, documentos, paquetes comprimidos, audio, video, programas ejecutables y casi todos los tipos de archivos, los nombres de los sufijos de los archivos cifrados se cambian uniformemente a ".WNCRY". En la actualidad, la industria de la seguridad no ha podido romper de manera efectiva el comportamiento de cifrado malicioso del ransomware. Una vez que el ransomware penetra el host del usuario, el comportamiento del ransomware solo se puede aliviar reinstalando el sistema operativo, pero los archivos de datos importantes del usuario no pueden eliminarse. directamente restaurado.

WannaCry aprovecha principalmente las vulnerabilidades del sistema "Windows" de Microsoft para obtener la capacidad de propagarse automáticamente y puede infectar todos los ordenadores de un sistema en unas pocas horas. Después de que la vulnerabilidad ejecute remotamente el ransomware, se liberará un paquete comprimido desde la carpeta de recursos. Este paquete comprimido se descifrará y se liberará en la memoria con la contraseña: WNcry@2ol7. Estos archivos incluyen el archivo ejecutable que muestra el cuadro de ransomware, el bmp de la imagen de fondo del escritorio, las fuentes del ransomware en varios idiomas y dos archivos ejecutables que ayudan en el ataque. Estos archivos se publicarán en el directorio local y se configurarán como ocultos. (Nota: "Eternal Blue" es el nombre de la herramienta de explotación filtrada por la NSA, no el nombre del virus. "Eternal Blue" se refiere a la peligrosa vulnerabilidad "EternalBlue" filtrada por la NSA. Esta vulnerabilidad fue explotada por el ransomware virus WannaCry Por supuesto, otros virus también pueden propagarse a través de la vulnerabilidad "Eternal Blue", por lo que es necesario parchear el sistema)

El 12 de mayo de 2017, el gusano WannaCry pasó por MS17-El 010. La vulnerabilidad estalló en todo el mundo e infectó una gran cantidad de computadoras. Después de que el gusano infecta la computadora, implantará un virus chantajista en la computadora, lo que provocará que se cifre una gran cantidad de archivos en la computadora después de que la computadora de la víctima esté bloqueada. por parte del hacker, el virus indicará que el valor del pago es considerable. El nombre de dominio del interruptor oculto WannaCry (KillSwitch) fue descubierto accidentalmente por un investigador británico en la tarde del 13 de mayo de 2017. Inesperadamente, la mayor propagación a gran escala del virus. El virus fue frenado. Cuando los investigadores analizaron el ransomware Wannacrypt, descubrieron que no realizó un "procesamiento profundo" en el archivo original, sino que lo eliminó directamente. Esto parece ser un nivel relativamente bajo. Esta vez, 360 aprovechó. del "paso en falso" del chantajista y logró una recuperación parcial del archivo.

El 14 de mayo de 2017, el monitoreo encontró que el virus ransomware WannaCry tenía una variante: WannaCry2 0. La diferencia con la versión anterior es que esta variante. cancela KillSwitch y no puede desactivar la propagación de la variante de ransomware registrando un nombre de dominio. Se recomienda a los usuarios de Internet que actualicen e instalen parches relacionados con el sistema operativo Windows lo antes posible. virus, desconéctelo de Internet inmediatamente para evitar una mayor propagación de la infección.

2. Tipos de ataques de virus ransomware

Archivos de Office de uso común (extensiones .ppt, .doc, .docx, .xlsx, .sxi)

No comúnmente utilizados, pero los formatos de archivos de Office (.sxw, .odt, .hwp) se usan en ciertos países

Documentos comprimidos y archivos multimedia (.zip, .rar, .tar, .mp4, .mkv)

Correo electrónico y bases de datos de correo (.eml, .msg, .ost, .pst, .deb)

Archivos de base de datos (.sql, .accdb, .mdb, .dbf, .odb, .myd)

Código fuente y archivos de proyecto utilizados por los desarrolladores (.php, .java, .cpp, .pas, .asm)

Claves y certificados (.key , .pfx, .pem, .p12, .csr, .gpg, .aes)

Archivos utilizados por diseñadores gráficos, artistas y fotógrafos (.vsd, .odg, .raw, .nef, . svg, .psd)

Archivos de máquinas virtuales (.vmx, .vmdk, .vdi)

3. Cómo lidiar con los virus ransomware

Cómo prevenirlos. ¿Virus ransomware de Windows? Descargue parches para prevenir la infección con ONION y WNCRY ransomware

¿Cómo evitar ser infectado por ransomware al arrancar? Guía de arranque 360 ​​para prevenir ransomware

Cómo cerrar rápidamente los puertos 135, 137 , 138, 139, 445 en Win7 para prevenir el ransomware Bitcoin

Cómo recuperar datos a través de DiskGenius después de que una computadora está infectada con un virus ransomware

Dispositivos Windows que no se han actualizado con parches Con el tiempo, son extremadamente vulnerables a los ataques de ransomware, por lo que para evitar que la computadora se infecte, todos deben hacer todo lo necesario. Actualizaciones y trabajo preventivo.