網站首頁 > 網路安全
 
分類 標題 日期
  前期勒索病毒WannaCry的餘波還未消散,江民科技近期高度關注勒索病毒的發展態勢,整理研究國內外相關報告信息,發現並研究了EternalRocks病毒,該病毒中文譯名“永恆之石”。
 
專殺工具下載 (給非江民用戶使用,江民用戶僅需更新病毒碼)
 
  永恆之石病毒是什麼永恆之石和勒索病毒有什麼區別
  安全專家Miroslav Stampar第一時間發現永恆之石的出現,該病毒也通過Windows SMB的共享協議傳播,但是不像WannaCry蠕蟲使用了2個NSA攻擊工具,這個惡意軟件使用了7個。“永恆之石”沒有安全驗證開關,相比WannaCry更危險。以下是七個利用的漏洞和工具:
  · EternalBlue — SMBv1 exploit tool
  ·EternalRomance — SMBv1 exploit tool
  ·EternalChampion — SMBv2 exploit tool
  ·EternalSynergy — SMBv3 exploit tool
  ·SMBTouch — SMB reconnaissance tool
  ·ArchTouch — SMB reconnaissance tool
  ·DoublePulsar — Backdoor Trojan
  與WannaCry不同,現在永恆之石還處於安靜的潛伏狀態,感染一台電腦後,它會下載Tor(洋蔥路由)的個人瀏覽器並向病毒隱藏的服務器發信號。隨後就是24小時的潛伏期,在此期間病毒會按兵不動。但一天時間過去後,服務器會啟動,病毒開始下載並自我複制。EternalRocks會偽裝成WannaCry來欺騙安全研究人員,不僅是植入蠕蟲,它主要目的是獲得被感染計算機的控制權來方便將來發起的網絡攻擊。EternalRocks的功能是秘密執行,隱蔽性極高,感染系統後很難被檢測到,這就意味著安全專家的研究進度會被拖慢一天。
  EternalRocks介紹:
  江民科技整理研究國內外相關報告信息,以下是安全專家Miroslav Stampar對EternalRocks的介紹:
  MiroslavStampar在他的被感染的SMB蜜罐中發現了EternalRocks。EternalRocks使用的NSA漏洞,Stampar在推特上稱為“DoomsDayWorm”,具體如下:
  · EternalBlue — SMBv1 exploit tool
  · EternalRomance — SMBv1 exploit tool
  · EternalChampion — SMBv2 exploit tool
  · EternalSynergy — SMBv3 exploit tool
  · SMBTouch — SMB reconnaissance tool
  · ArchTouch — SMB reconnaissance tool
  · DoublePulsar — Backdoor Trojan
  SMBTouch和ArchTouch是SMB偵察工具,用來掃描公共互聯網上的開放SMB端口;EternalBlue、EternalChampion、EternalSynergy和EternalRomance則是利用SMB漏洞進行攻擊,而DoublePulsar是被用於在同一個網絡從一台被感染的計算機傳播蠕蟲到其他的易受攻擊的機器。
  EternalRocks的工作機制:
  結合安全專家Miroslav Stampar的文章,江民科技對EternalRocks的行為和工作機制進行了分析:
  EternalRocks安裝分以下兩個階段過程:
  第一步,EternalRocks在感染的計算機上下載Tor web瀏覽器,用來鏈接命令和控制服務器,該服務器部署在Tor網絡的Dark Web上。
  第二步,惡意軟件:UpdateInstaller.exe從互聯網下載必須的.net組件TaskScheduler和SharpZLib,同時釋放svchost.exe和taskhost.exe.
  據Miroslav Stampar宣稱,延遲24小時避開沙箱檢測,確保蠕蟲不被檢測到。24小時之後,EternalRocks使用上述的7種Windows SMB漏洞工具響應C&C服務。
  Svchost.exe用來下載,拆包和運行Tor,以及與C&C服務器(ubgdgno5eswkhmpy.onion)保存通訊,請求進一步指示(例如安裝新組件)。所有的7個SMB漏洞工具被下載到被感染的機器上,EternalRocks下一步就會掃描互聯網上的開放SMB端口,進而傳播到其他易受攻擊的機器。
  如何防禦?
  眼下,永恆之石雖然在不斷傳播,但還處在休眠狀態。這款病毒可能隨時會武器化,它的策略與WannaCry的手段如出一轍,先感染大量電腦再集中爆發。由於一直保持神秘,因此永恆之石到底感染了多少電腦現在還不清楚,同時它到底會成為什麼樣的攻擊武器也是個謎。
  江民安全專家建議,由於永恆之石的下一步動作暫時無法確定,用戶當務之急就是:
  1、 及時更新官方的系統補丁,關閉之前已經被公佈的端口。
  2、 江民殺毒軟件可對永恆之石樣本進行查殺,請及時更新江民殺毒軟件病毒庫,最大程度減小被病毒入侵的風險。
 
新病毒王“永恆之石”專殺工具  2017/6/7 下午 02:30:52 

http://www.jiangmin.com/zt/wanacry/

綜合處理工具下載(包含免疫、專殺、補丁與修復)

 
wannacry 加密勒索病毒專題網頁  2017/6/7 下午 02:30:19 

防毒軟體難以抵擋的加密勒索!

大部分市面上的防毒軟體只要隨時保持病毒碼的更新,都可以防堵相當數量的加密勒索軟體,但是對於中招的電腦用戶來說,就是防毒軟體沒有幫他把好關,以至於損失慘重。

加密勒索軟體因為使用單純的加密技術、不斷推出新版本改變特徵,加上非攻擊性的釣魚詐騙社交工程手法,使市面防毒軟體慣用的防禦方式效果大打折扣,因此這半年來快速演變為全球性的資訊災難,甚至美國的FBI中招也只能支付贖金了事。

中了加密勒索,除了支付贖金尚有機會之外,目前無法以暴力破解;偶爾有警方破獲駭客,或者有駭客良心發現釋放一些解密金鑰讓防毒軟體業者製作解密工具,也只有剛好中了這些駭客釋放出來的加密軟體的受害者可以解,以加密軟體版本氾濫的程度來說,能解密成功的機會跟中大獎的機率一樣低。

當沒有百分百防禦的方案,該如何防堵或防止損失?
防堵加密勒索,要知道它是怎麼進入我們電腦的?

一、 電子郵件:
廣告信、垃圾信夾帶惡意程式並不稀奇,假冒朋友、客戶甚至自己寄給自己都是加密勒索常見的手法。
防範之道:
1. 使用 WebMail,若有附件也使用 WebMail內建的APP檢視,或下載下來之後使用檔案總管檢視檔案類型是否相符(如下圖)



2. 不輕易打開不明來路的信件。

二、 網頁
如同網頁掛馬一般,駭客利用發達的廣告推播技術,以合法掩護非法,讓電腦用戶不知不覺下載並執行加密勒索軟體。
防範之道:
1. 將使用者帳戶控制設定在預設值(如下圖)

這樣若有應用程式要執行,Windows 還是會跳出確認視窗讓用戶再度確認是否同意這個應用程式改變電腦。
2. 儘量不點選可疑廣告,例如盜版軟體、破解、色情…等網頁廣告。

三、 偽裝應用軟體
加密勒索軟體透過偽裝成大家慣用的影音播放器、漫畫閱讀器、電子書、破解軟體…等來引誘用戶下載執行。

防範之道:
應用軟體還是直接在相關的官網下載,使用搜尋引擎找到的非官網載點必須先判斷是否乾淨。
最好的安全措施:備份、備份、再備份!
既然加密勒索防不勝防,那麼平時對自己「重要」資料的保護就真的很「重要」!說真的,就算沒有加密勒索的肆虐,「硬碟」這樣的一個設備可是會不經預告直接壞掉的,所以真的「重要」的資料絕對不可以只放在一個地方,要養成「異地備援」的習慣。
備份、備份、再備份!很重要,所以說三次!只有備份才能確保重要資料的安全,世界上除了自己認真的備份,沒有任何機制可以幫你保護資料。
至於如何備份?什麼是異地備援?那就是別的課題了,有興趣的讀者可以自己到網路爬文研究。

 
加密勒索大對抗  2017/6/7 下午 02:29:41 
3 筆資料。 頁次:1 / 1。      
 
 
 
CopyRight  © 江民科技 1996 - 2017 版權所有 All Rights Reserved
總代理:六合國際實業有限公司 E-mail: jiangmin@jiangmin.com.tw