几天前,特洛伊木马加密程序排五走势图爆发。流行似乎是全球性的。我们将其称为流行病,因为其范围非常广泛。一天之内,我们就算出了45,000例攻击事件。实际上,这个数字绝对是 许多 更高。

发生了什么?

几个大型组织同时报告了感染。在这些组织中,有数家不得不暂停运营的英国医院。根据第三方发布的数据,排五走势图已感染了超过100,000台计算机。从本质上讲,这就是为什么它吸引了如此多的关注。

攻击次数最多的国家是俄罗斯,但乌克兰,印度和台湾也遭受了排五走势图的破坏。总而言之,我们在74个国家/地区发现了排五走势图。这只是在袭击的第一天。

什么是排五走势图?

通常,排五走势图分为两个部分。首先,这是 利用 目的是感染和繁殖。第二部分是 加密器 被感染后下载到计算机。

这是排五走势图与大多数其他加密器之间的主要区别。为了用通用的加密器感染计算机,用户必须犯错,例如,通过单击可疑链接,允许Word运行恶意宏或从电子邮件中下载可疑附件。无需执行任何操作即可感染排五走势图。

排五走势图:利用与传播

排五走势图的创建者已经利用了称为“ EternalBlue”的Windows漏洞,该漏洞利用了Microsoft 已在安全更新MS17-010中修补,日期为当年3月14日。通过利用该漏洞,恶意分子可以远程访问计算机并安装加密器。

如果安装了更新,并且此漏洞不再存在,则任何试图远程入侵计算机的尝试都是徒劳的。但是,卡巴斯基实验室的GReAT(全球研究& Analysis Team) 想特别指出 修补漏洞不会阻止加密程序以任何方式运行。因此,如果您以某种方式启动它(请参见上文 犯错误),那么该补丁对您没有任何好处。

成功入侵计算机后,排五走势图尝试以计算机蠕虫的方式通过局域网将自身传播到其他计算机上。加密程序会扫描其他计算机,寻找可以通过EternalBlue加以利用的相同漏洞,当排五走势图找到易受攻击的计算机时,它将攻击并加密其中的文件。

事实证明,通过感染一台计算机,排五走势图可以感染整个局域网并对网络上的所有计算机进行加密。这就是大型公司遭受排五走势图攻击最大的原因-网络上的计算机越多,损失越大。

排五走势图:加密器

作为加密器,排五走势图(有时称为WCrypt或 排五走势图解密器,即使从逻辑上讲, 加密器,不是 解密器)与其他加密器的作用相同;它会加密计算机上的文件,并要求赎金来解密它们。它最类似于 臭名昭著的CryptXXX木马.

排五走势图加密不同类型的文件(完整列表为 位于这里),当然包括办公文档,图片,视频,档案和其他可能包含关键用户数据的文件格式。加密文件的扩展名被重命名为.WCRY(因此,加密器的名称),并且文件变得完全不可访问。

此后,木马将桌面墙纸更改为一幅图片,其中包含有关感染的信息以及用户为了恢复文件而必须执行的操作。 排五走势图将通知以文本文件的形式传播到计算机上的各个文件夹中,以确保用户确实收到该消息。

像往常一样,一切都归结为以等于邪恶者钱包的比特币转移一定数量的款项。之后,他们将(可能)解密所有文件。最初,网络犯罪分子索要300美元,但后来决定增加赌注:最新的排五走势图版本的赎金金额为600美元。

恶意因素还通过声明3天之内将增加勒索金额,并且还不可能在7天之内解密文件来吓user用户。我们不建议将赎金交给邪恶的人,因为没人能保证他们会在收到赎金后解密您的文件。实际上,研究人员表明,其他网络勒索者有时 只需删除用户数据,这意味着即使恶意因素仍会要求赎金就好像什么都没发生一样,也没有任何物理上的可能性来解密文件。

域注册如何暂停感染以及为何流行病可能尚未结束

有趣的是,一位名叫Malwaretech的研究人员 设法中止感染 通过在线注册一个长而绝对没有意义的域名。

事实证明,某些版本的排五走势图解决了该领域的问题,如果他们没有收到肯定的答复,则他们将安装加密器并开始其肮脏的事。如果收到回复(即该域已注册),则该恶意软件将停止其所有活动。

在木马代码中找到对该域的引用后,研究人员注册了该域,从而中止了攻击。在一天的剩余时间里,对该域的访问次数达到了数万次,这意味着已经保存了数万台计算机,不被感染。

有一种理论认为,万一出现问题,此功能就像“断路器”一样内置在排五走势图中。研究人员本人坚持的另一种理论是,这是使对恶意软件行为的分析复杂化的一种方法。在研究中使用的测试环境中,通常故意做出肯定的答复来自 任何 域,在这种情况下,特洛伊木马程序在测试环境中不会执行任何操作。

遗憾的是,对于新版本的特洛伊木马,邪恶者只需更改指示为“断路器”的域名即可恢复感染。因此,排五走势图爆发的第一天很可能不会是最后一天。

如何防御排五走势图

不幸的是,目前无法对排五走势图加密的文件进行解密(但是我们的研究人员正在研究)。这意味着抵抗感染的唯一方法是首先不要感染。

这里有一些关于如何预防感染和最大程度减少损害的建议。

  • 如果您已经在系统上安装了卡巴斯基实验室安全解决方案,那么我们建议您执行以下操作:手动运行关键区域的扫描,并且该解决方案检测到诸如MEM:Trojan.Win64.EquationDrug.gen之类的恶意软件(这就是我们的方式防病毒解决方案检测到排五走势图),则应重新启动系统。
  • 如果您是我们的客户,请保留 系统观察者 ,必须与可能出现的新种类的恶意软件作斗争。
  • 安装软件更新。本案恳切要求 安装系统安全更新MS17-010 适用于所有Windows用户,尤其是在Microsoft甚至发布时 用于不再受官方支持的系统,例如Windows XP或Windows 2003。 认真,立即安装。现在正是真正重要的时刻。
  • 定期创建文件备份副本,并将副本存储在不经常连接到计算机的存储设备上。如果有最近的备份副本,则加密器感染不是灾难,而是损失了重新安装系统的几个小时。如果您不想自己创建备份,则可以利用内置的备份功能 卡巴斯基全面安全 可以使过程自动化。
  • 使用可靠的防病毒软件。 卡巴斯基安全软件 可以在本地以及在尝试通过网络传播排五走势图的过程中进行检测。而且,内置的模块System Watcher具有回滚所有不需要的更改的功能,这意味着即使对于反病毒数据库中尚未安装的那些恶意软件版本,它也可以防止文件加密。

通过: