深扒"勒索病毒"的前世今生,简直一部跌宕起伏的好莱坞大片!

 

吓得我赶紧找个硬盘,备份好我914集的高清版《名侦探柯南》......

最热乎的都在这儿
5月12日晚,WannaCry勒索病毒在全球多个国家蔓延,国内大量政府机构、大学高校的网络遭受到勒索病毒的攻击,大量学生毕业论文等重要资料被病毒加密,只有支付赎金才能恢复。



就连警察叔叔都没能躲过这次病毒风波....大意了,大意了
但是朝鲜貌似安全躲过了这次袭击,原因嘛...

苹果的Mac OS系统不受影响!
来,小黄胖给大家扒一下勒索病毒事件的整个过程
小板凳搬好了~
第一趴:据传最厉害的黑客组织


说起病毒源头,我们必须先了解一个组织---“方程式组织”,它被称为是世界上最神秘最强大的黑客组织,大家普遍认为该组织隶属于美国国家安全局(NSA)。
而NSA是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料。它是1952年根据杜鲁门总统的一项秘密指令,从当时的军事部门中独立出来,用以加强情报通讯工作的,是美国情报机构的中枢。

NSA是全世界单独雇佣数学博士、计算机博士和语言学家最多的机构,也是美国最神秘的情报机构。
第二趴:山外青山楼外楼
去年8月13日,黑客组织ShadowBroker公布了一个重磅信息:该团队跟踪并渗入“方程式组织”的服务器,从中盗取了一个庞大的武器库。ShadowBroker 拿到武器库后,将它分为两个部分,一部分不加密公开,另一部分加密后公开拍卖。价格是一百万比特币,现在比特币的行情是人民币1.03万元/个...

这次WannaCry勒索病毒就是利用了其中不加密部分的一个工具,利用445端口进行攻击的工具,运营商已经对个人用户封掉445端口,但是教育网没有封,所以导致此病毒在高校爆发。

其实在今年 4 月份,微软就发布公告,声明大部分的漏洞均已修复发布对应补丁。如果你开起了Windows自动更新,就会安全躲过这次病毒袭击,所以你现在看到各大杀毒软件、安全助手教你的预防办法都是很早之前就有的。
第三趴:意外终止
在各国安全部门都在处于战斗状态的时候,一个英国22岁的民间网络安全研究员也开始了自己的工作,他发现病毒每次启动的时候,都会去请求一个叫“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”的网站,但是这个复杂到爆的域名并没有被注册,于是他就注册下了这个域名并搜集网络请求数据。没想到的是,他的举动意外终止了病毒的传播。

原来病毒程序的运行逻辑是:

病毒启动

访问 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 有数据返回的话就关闭病毒,不然继续感染互联网和局域网的机器,并加密你的数据文件

由于病毒程序访问到了网站数据,所以就停止了传播和感染。这应该是黑客为了能控制病毒的传播留下的应急开关。
第四趴:升级2.0版本
根据最新监测发现,WannaCry勒索病毒已经出现了变种:

WannaCry 2.0, 与之前版本的不同是,这个变种不能通过访问之前的域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。所以说,该打不定的就赶紧打。
第五趴:最赚钱的根本不是黑客
大家一定好奇黑客借此机会收益多少,大家可以通过blockchain.info/查询黑客比特币钱包(地址:13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94)收款账户的明细,已经有52笔转账了,加上其它账户,收入不到9个比特币,折合人民币大概10万快。
实际上勒索者在查看自己的比特币账户时,能够得到的汇款信息也只有对方的比特币地址。勒索者既没有设计类似邮件的沟通机制,也没有对应付款者的信息。所以,勒索者是分不清是谁付了钱的。也就是说,受害者付了钱也没有用,在放出病毒的时候,勒索者根本没打算通过收费对文件进行恢复。

大规模持有比特币的网络富豪以及比特币矿场玩家,可能是本次事件真正的获益者。同时....中国的网络安全概念股却在今天上午涨疯了!

黑客估计要哭了:“还是你们赚钱狠呐...”
第六趴:三点疑问


疑问一:

WannaCry病毒的勒索界面提供了很多国家的语言,但令人好奇的是,中文表述是如此的接地气...“忘了告诉你”“看您运气怎么样了”
“老天爷来了...”
那么问题来了,黑客为什么这么懂中文?难道....


疑问二:

勒索病毒仅仅是 ShadowBroker 为了出售的武器而放出的几十个病毒中的一个。那么整个武器库会有什么样的威力?

尤其是未公开的部分都是用来攻击银行和政府机构的,发挥一下想象力:比如黑客入侵银行锁定的大家的账户信息造成无法取现消费,控制红绿灯造成车祸...

疑问三:

“方程式组织”内部文档非常规范,所有的描述连接地址的地方都用或127.0.0.1来表示,但有一个地方泄露了一个IP:



根据Zomeeye搜索发现:这个IP地址在中国杭州...
是不是武器库被盗之前中国就已经有大批计算机被入侵了呢?
所以,真的是打了补丁就安全了么?这是黑客利用漏洞明目张胆的勒索,如果是悄无声息的盗取各类文档资料呢?
想到这我不由得冒了一身冷汗
吓得我赶紧找个硬盘
备份好我914集的高清版《名侦探柯南》...
作者小黄胖
联系鲜姐请加微信webtech01
他用垃圾为穷人盖避难所,每40㎡就能消耗8吨垃圾!
最小4G智能机,有一功能吊打各大品牌!
按住我,置顶我啊


有种、有料、有视角的互联网原创平台


    关注 互联网新鲜事


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册