黑客发现存在 20 年的漏洞:微软建议升级至最新 Win 10

by admin on 2020年4月7日

WannaCry、Petya勒索病毒的爆发,确实让Windows
10的更新率提升迅猛,对于微软来说这是值得开心的事情。

图片 1

这几天比特币勒索病毒席卷全球,在之前的文章新型勒索软件正在兴起曾提及勒索软件将成为互联网世界增长最快的威胁。

微软已经多次在公开场合强调,升级至Windows
10最新版,可以让你的电脑摆脱这些勒索病毒,如果你不这样做,那不好意思他们不帮你了。

大家还记之前爆发的勒索病毒吗,全球100多个国家近20万台PC遭受到了重创,很是无语。

WannaCry病毒背景

DEF
CON黑客大会上,黑客们曝光了Windows系统上一个藏了20年的漏洞,其被安全研究人员将它称作“SMBLoris”,这可以轻松发起Dos攻击,感染Windows
2000及以上系统的任一版本SMB协议。

WannaCry当时针对的系统主要是Win
7、XP等,升级至最新的Win10并没有中招,而这也跟Windows系统中的SMBv1协议有关。

病毒在三月份就有攻击记录,版本号是2.0,因为在3月份病毒发布者还没有利用黑客组织“Shadow
Brokers”发布的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”黑客工具,当时并没有引起全球网络危机进而引发世界的关注。
这次病毒侵袭引起全球关注在2017年5月12日,率属于NHS(英国国家医疗服务体系,这个体系一直承担着保障英国全民公费医疗保健的重任)的16个英国卫生医疗组织向英国医疗数据中心反映,他们的电脑受到蠕虫勒索病毒的攻击。黑客三个月前花了不到一个小时就进入了NHS(英国国家医疗服务体系)服务器获取资料。
此次比特币勒索病毒的名字有:
WCry、WannaCry、WCrypt、WanaCryptor、WannaCrypt、Wana
Decryptor、WORM_WCRY.A…
微软方面WannaCry病毒的应对
除了安全更新,微软3月份的时候没有识别针对SMBv1漏洞的缓解因素,微软批评美国政府没有通知这个漏洞。
随着事件的扩大,微软近期则分析了黑客界臭名昭著的Shadow
Brokers(黑客组织号影子经纪人)流出的据称率属于NSA(美国国家安全局)下黑客组织Equation(代号方程式)开发的黑客工具针对Windows系统的漏洞,工程师们已经对披露的漏洞进行了调查,大部分漏洞截至14号已经被修补了。
NSA黑客武器库中攻击程序列表

之前的勒索病毒全球爆发,而Windows系统中的SMBv1文件分享协议起到了推动作用。虽然安全人员把这个漏洞上报给了微软,但他们并不会进行修复,其只是建议用户禁用互联网SMBv1协议或者升级至最新Win10。

今年秋季,微软要发布Windows
10的第四个重大更新,而为了杜绝类似WannaCry病毒的骚扰,新系统中将有一个重要调整,那就是禁用存在了30年SMBv1文件共享协议。

可以看到,微软对其他三个代号漏洞还没有完全补救好。
一般勒索软件的原理

来自:驱动之家

原来,勒索病毒正是利用了SMBv1文件共享协议中漏洞,从而迅速爆发。对于这项重大调整,据说从现有系统升级至最新时,SMBv1仍会留在系统中,而直接安装全新系统的,将不会包含SMBv1。


Windows 7用户这下要做好升级准备了吧…

传播病毒的手段:
病毒作者可能利用各种把戏来说服你下载他们的文件,平时不要随便接触不良网站的文件,接收到不明邮件和附件不要随便点开下载(这类邮件包含不限于各种通过税收通知形式、不明罚款账单形式的邮件、不明网络挣钱渠道的邮件)。
一般勒索软件的原理图:

Wannacry使用RSA+AES算法对文件复制删除加密(RSA加密1977年由罗纳德·李维斯特(Ron
Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard
Adleman)一起提出的。AES,是美国联邦政府采用的一种区块加密标准)。

WannaCry.EXE病毒程序放行结果:

可以看到,百度在5月3号能检测出病毒。

WannaCry病毒进展
WannaCry病毒阻断病毒启动的域名已经被网络安全研究员MalwareTech抢注,病毒制作者花费了2天时间发布新变种蠕虫病毒。网络安全研究员发现,二次病毒感染的电脑50%+位于俄罗斯。
WannaCry变种病毒由两部****份构成:
勒索软件病毒
SMB蠕虫病毒

此次WannaCrypt病毒引发了其他勒索软件模仿,其他勒索软件模仿WannaCrypt病毒的界面:

****应对WannaCry病毒可能办法
①升级系统,打补丁
Windows 7 64位安全更新程序
http://t.cn/RaSdAWJ
Windows 8 安全更新程序
http://t.cn/Ra9VRy2
②SMBv1的关闭(非必须):
涉及的计算机端口:
135、137、445端口

③使用datarecover等数据恢复工具。数据恢复工具理论上只要原盘位没有被重写入覆盖,原来被删除的数据就有恢复的可能。
用于恢复WannaCry病毒感染的WannaDecrypt软件只对部分情况适用。

杀软巨头们对WannaCry病毒发布源的判断
卡巴斯基实验室分析师昨日基于一贯的追查,把WannaCry病毒与Lazarus2014年10月份的代码样本对比分析判断认为此次蠕虫病毒和该黑客团伙拉撒路有关。

黑客团伙拉撒路背景:
2016年2月5日未知黑客组织入侵孟加拉央行系统,从该行转走8100万美元,被认为是史上金额最大、最成功的银行网络行窃团伙。
卡巴斯基实验室连同其他网络安全公司认为该起网络行窃与自2009年以来就在多达18个国家攻击国家基础网络设备和金融系统的黑客团伙拉撒路Lazarus有关,并认为该团伙来自朝鲜。
WannaCry仅仅是开始?
WannaCry这次蠕虫病毒在内网(内部网络中也大多开启445端口和139端口
,网吧、校园网、单位办公网大多属于内网,局域网是封闭型的)肆虐,除了企事业单位计算机系统没有及时升级外,是否也在告诉我们内网相对安全是否有失偏颇?
对于公共物理基础网络设施的瞬间崩塌的快速重建是不是未来外包安全公司加以考虑的方向,更多的黑客和攻击者会不会效仿这次网络攻击事件,制作出更多的病毒席卷全球就不得而知了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图