什么是比特币病毒
据有关报道称,在2019年3月出现了一款名为“GandCrab V5.2”比特币勒索病毒,运行后将对用户主机硬盘数据全盘加密,并让受害用户访问网址下载Tor浏览器,随后通过Tor浏览器登录攻击者的数字货币支付窗口,要求受害用户缴纳赎金。仅接受比特币支付。
GandCrab勒索病毒是目前最活跃的勒索病毒之一,该病毒在过去一年时间出现很多变种,GandCrab勒索病毒在国内主要使用弱口令爆破,挂马,垃圾邮件传播,由于是使用了特殊的加密方式,暂无法解密,只有拿到黑客手中私钥才能解密。
GandCrab V5.2是2019年2月最新升级的勒索病毒版本。据统计, 从2019年3月11日至3月20日期间,GandCrab V5.2病毒在中国境内就已经攻击了数千台政府以及企业的电脑。
事实上,这不是勒索病毒第一次闯进人们的视野。还记得2年前,那个席卷全球的比特币勒索病毒“WannaCry”吗?
2017年5月12日,网上发生了一件微小的事情,众多学校、医院的文档都陆续被一个叫“永恒之蓝”(WannaCry)的勒索蠕虫病毒锁住了:想看资料,可以;交钱,也不需要太多,300个比特币就行。有人一看瞬间觉得,只用300个,这么少。其实,一个比特币的价格在中国差不多等于一万元,这还是因为中国的比特币平台正处于监管期不能提现,国外的价格就更高了。
当然,对于个人用户来说,是不需要给这么多钱的,毕竟并不是谁都有300多万元的。黑客想让大家用比特币支付,不过这事本身和比特币还真没什么太大关系。比特币就是一种币,本来安静地在旁边躺着,早上醒来却发现自己上头条了。截至2017年5月16日,已经有150多个国家的30多万用户受到“迫害”了,而且,有消息显示,“永恒之蓝”病毒已经升级为2.0版本了,新版本病毒不受域名限制,传播性更高。
它通过加密你电脑里的重要文件来进行勒索,要求被害者支付比特币才能解锁文件。
当时,我国多地的出入境、派出所等公安网疑似遭遇了病毒袭击,不得不一度暂时停办出入境业务。
英国有多达25家医院和医疗组织遭受影响,医护人员无法访问病人数据,所有数据被加密,部分医院被迫将急症病人转移到其他治疗地点。
勒索病毒在我国校园网内的肆虐,甚至还导致不少毕业生的毕业设计论文被锁。
比特币病毒起源
加密算法勒索病毒其实是个“老朋友”了,世界上第一个有记录的勒索软件Cryptolocker诞生于1989年,它其实就是一种用加密算法来勒索钱财的程序,后来,病毒制造者没几天就被抓获了。其实,Cryptolocker最开始是很好破解的,因为它最开始使用的是对称加密算法,编个程序逆向破解一下就可以了,但是,现在流行的勒索病毒Wallet、Onion使用的却是非对称加密算法。非对称加密算法的加密和解密过程使用两个密钥,因此,单纯靠逆推是不可行的。
在这个案例中,黑客不仅改进了勒索蠕虫病毒,还搭配了一个“好伙伴”——“永恒之蓝”黑客工具,不需要你点击任何链接,它就可以直接占领你的计算机。关于“永恒之蓝”病毒还有一个传说,据说它原本是美国国家安全局用来窃取其他国家信息的工具,是“美国武器库”中的一种。
美国国家安全局旗下有一个黑客组织叫“方程式组织”,负责替美国政府做一些不可告人的事情,后来,因为闻名天下的伊朗核试验的“震网”事件以及后来的“棱镜门”事件逐渐为人所知。后来,有个叫“影子经纪人”的黑客团队,把“美国武器库”破解了。然后,他们在网上拍卖,想把这些“武器”换成钱。然而,没人理他们,于是,他们发起众筹,企图利用这些“武器”赢利,依然没什么人理他们。最后,一气之下,在2017年4月14日,他们直接把这批“武器”公开了。于是“永恒之蓝”黑客工具和加密算法勒索病毒就成为一款“杀伤性武器”。当然这只是一个美丽的传说,美国国家安全局也没有承认,所以,“永恒之蓝”究竟从何而来众说纷纭,并没有实际考据。
比特币病毒发展
原始阶段
最早的勒索软件出现于1989年,名为“艾滋病信息木马”。该木马通过替换系统文件,在开机时计数,一旦系统启动达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密,从而导致系统无法启动。此时,屏幕显示信息声称用户的软件许可已过期,要求邮寄189美元以解锁系统。
2006年出现的Redplus勒索木马是国内首款勒索软件。该木马会隐藏用户文档,然后弹出窗口勒索赎金,金额从70元至200元不等。据我国计算机病毒应急处理中心统计,全国各地的该病毒及其变种的感染报告有580多例。而实际上用户的文件并未丢失,只是被移动到一个具有隐藏属性的文件夹中。
新发展期,比特币赎金阶段
从2013年的CryptoLocker开始,勒索软件进入了新的发展期,比特币进入了黑客的视野。CryptoLocker可以感染大部分Windows操作系统,通常通过邮件附件传播,附件执行后会对特定类型的文件进行加密,之后弹出付款窗口,也就是从这款软件开始,黑客开始要求机构使用比特币的支付赎金,而就是这款软件为黑客组织带来了近41000枚比特币的收入,按照比特币最新的市价这些比特币的价值有近10亿美元之巨。
勒索软件平台化及开源化趋势
同为2015年一款名为Tox的勒索软件开发包在年中发布,通过注册服务,任何人都可创建勒索软件,管理面板会显示感染数量、支付赎金人数以及总体收益,Tox的创始人收取赎金的20%。
2015年下半年,土耳其安全专家发布了一款名为Hidden Tear的开源勒索软件。它仅有12KB,虽然体量较小,但是麻雀虽小五脏俱全,这款软件在传播模块,破坏模块等方面的设计都非常出色。尽管来自土耳其的黑客一再强调此软件是为了让人们更多地了解勒索软件的工作原理,可它作为勒索软件的开源化,还是引发了诸多争议,在阅读了这款勒索软件的源代码后,笔者也是突然醒悟原来编程的思路与方法真的是别有洞天,破坏性思维和建设性思维的确是完全不同的风格。
与窃取大众隐私信息结合的趋势
近年来,针对某些快捷酒店住宿系统及私营医院HIS系统的入侵、脱库(脱库指黑客入侵到系统后进行信息窃取行为)事件频发,而16年之前黑客一般只会将信息悄然盗出后在黑市上待价而沽,但目前黑客更是要在出售掉隐私信息之前还要对医院及酒店进行勒索。去年底美国好莱坞某医疗中心就被黑客攻陷,并勒索340万美元的赎金,虽然经过一番讨价还价医院最终支付了1.7万美元后运营恢复,但是该院的就诊记录不久就出现在了的数据黑市上。
而且最近的勒索病毒明显加强了“用户体验”的建设,会给用户很强的心理暗示,比如某些最新的勒索软件将UI设计成无法退出的界面,而且赎金随时间涨价,还会以倒计时强化紧迫感。
比特币病毒如何破解
比特币敲诈病毒,主要通过远程桌面(RDP)漏洞或者RDP弱口令、邮件等方式发送传播病毒,病毒一旦运行,对系统中目标文件进行病毒加密。由于比特币病毒版本不断更新,病毒的制作者和攻击者常在境外实施敲诈等犯罪活动,破解难度大、耗时长。分析发现,很多被入侵破坏的单位和个人网络安全防护意识不强,防护手段单一,缺乏网络设备安全管理、重要数据备份、应急处置等制度措施。
WINDOWS XP系统
首先一定是打开windows自带的防火墙。
2.打开cmd,输入net stop rdr ,如果有提示,直接输入Y同意停止该服务;之后net stop netbt,同上,在最后net stop srv。执行完这几个命令,就可以暂时防御该蠕虫的攻击。
命令:
net stop rdr
net stop srv
net stop netbt
windows7及以上系统
同样打开windows防火墙,然后点击左侧的高级设置,右键单击入栈规则,创建一个禁止135,139,445端口入站的规则,然后保存。
这里的445,最好写成135,139,445,受影响的不仅仅是445端口。
最后,给规则随便起个名字就行了。建议立刻升级windows提供的更新补丁,避免蠕虫变异。最好是更新到win10系统。
比特币病毒预防方案
针对这次大规模的黑客袭击事件,微软已经发布了相关的补丁 MS17-010 用以修复被“ Eternal Blue”攻击的系统漏洞,请大家尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;不过对于 windows XP、Windows 2003 等更加久远的系统,微软则不再提供安全补丁。不过如果还有使用老系统并中招的用户可尝试使用 360 “NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
在 Windows 电脑上运行系统自带的免费杀毒软件并启用 WindowsUpdates 的用户可以免受这次病毒的攻击。Windows 10 的用户可以通过设置-Windows 更新启用 Windows Updates 安装最新的更新,同时可以通过设置-Windows Defender,打开安全中心。
另外,关闭 445、135、137、138、139 端口,关闭网络共享也可以避免中招。方法如下:
1、运行输入“dcomcnfg”
2、在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。
3、在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式 COM”前的勾。
4、选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮
关闭 135、137、138 端口
在网络邻居上点右键选属性,在新建好的连接上点右键选属性再选择网络选项卡,去掉 Microsoft 网络的文件和打印机共享,和 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 和 137 还有 138端口
关闭 139 端口
139 端口是 NetBIOS Session 端口,用来文件和打印共享。关闭 139 的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议 (TCP/IP)”属性,进入“高级 TCP/IP 设置”“WINS设置”里面有一项“禁用 TCP/IP的 NETBIOS ”,打勾就可关闭 139 端口。
关闭 445 端口
开始-运行输入 regedit. 确定后定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters,新建名为“SMBDeviceEnabled”的DWORD值,并将其设置为 0,则可关闭 445 端口。
做到以下要点:
一、对于已经中毒的电脑请立即断网!
二、做好个人重要数据备份。个人的科研数据、工作文档、照片等,根据其重要程度,定期备份到移动存储介质、知名网盘或其他计算机中。
三、注意可移动存储介质使用安全,不在安全环境不明情况下使用可移动存储介质交换数据。
四、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的,在无法确认文档是安全的情况下,切勿盲目打开宏功能。
五、养成良好的网络浏览习惯。不要打开来历不明或可疑的电子邮件和附件、不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。
