子重点项目勒索病毒对网络的破坏分析.docVIP

物联网安全 子项目：勒索病毒分析 专业： 物联网工程 班级： 物联网二班 姓名： 刘卓 学号： 成绩： 项目任务： 勒索病毒 项目分析： 什么是勒索病毒 WannaCry（又叫Wanna?Decryptor），一个“蠕虫式”勒索病毒软件，大小3.3MB，由不法分子利用NSA（National?Security?Agency，美国国家安全局）泄露危险漏洞“EternalBlue”（永恒之蓝）进行传输[1]。勒索病毒肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，100多个国家和地域超出10万台电脑遭到了勒索病毒攻击、感染。[2]勒索病毒是自灰鸽子和熊猫烧香以来影响力最大病毒之一。WannaCry勒索病毒全球大爆发，最少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量试验室数据和毕业设计被锁定加密。部分大型企业应用系统和数据库文件被加密后，无法正常工作，影响巨大。 勒索病毒分类 20XX年4月16日，CNCERT主办CNVD公布《相关加强防范Windows操作系统和相关软件漏洞攻击风险情况公告》，对影子纪经人“Shadow?Brokers”披露多款包含Windows操作系统SMB服务漏洞攻击工具情况进行了通报（相关工具列表以下），并对有可能产生大规模攻击进行了预警：工具名称关键用途ETERNALROMANCESMB?和NBT漏洞，对应MS17-010漏洞，针对139和445端口提议攻击，影响范围:Windows?XP,?20XX,?Vista,?7,?Windows?8,?20XX,?20XX?R2EMERALDTHREADSMB和NETBIOS漏洞，对应MS10-061漏洞，针对139和445端口，影响范围：Windows?XP、Windows?20XX展开全部当用户主机系统被该勒索软件入侵后，弹出以下勒索对话框，提醒勒索目标并向用户索要比特币。而对于用户主机上关键文件，如：照片、图片、文档、压缩包、音频、视频、可实施程序等几乎全部类型文件，全部被加密文件后缀名被统一修改为“.WNCRY”。现在，安全业界暂未能有效破除该勒索软恶意加密行为，用户主机一旦被勒索软件渗透，只能经过重装操作系统方法来解除勒索行为，但用户关键数据文件不能直接恢复 叙述今年上六个月爆发勒索病毒对网络影响 WannaCry关键利用了微软“视窗”系统漏洞，以取得自动传输能力，能够在数小时内感染一个系统内全部电脑。勒索病毒被漏洞远程实施后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中经过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框exe，桌面背景图片bmp，包含各国语言勒索字体，还有辅助攻击两个exe文件。这些文件会释放到了当地目录，并设置为隐藏。（#注释：说明一下，“永恒之蓝”是NSA泄露漏洞利用工具名称，并不是该病毒名称#。永恒之蓝”是指NSA泄露危险漏洞“EternalBlue”，此次勒索病毒WannaCry是利用该漏洞进行传输，当然还可能有其它病毒也经过“永恒之蓝”这个漏洞传输，所以给系统打补丁是必需。[5]）20XX年5月12日，WannaCry蠕虫经过MS17-010漏洞在全球范围大爆发，感染了大量计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，造成电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提醒支付价值相当于300美元（约合人民币2069元）比特币才可解锁。20XX年5月13日晚间，由一名英国研究员于无意间发觉WannaCry隐藏开关（Kill?Switch）域名，意外遏制了病毒深入大规模扩散。20XX年5月14日，监测发觉，WannaCry?勒索病毒出现了变种：WannaCry?2.0，?和之前版本不一样是，这个变种取消了Kill?Switch，不能经过注册某个域名来关闭变种勒索病毒传输，该变种传输速度可能会愈加快。请广大网民立即升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免深入传输感染 怎样预防和杀死勒索病毒 攻击特点 WannaCry利用Windows操作系统445端口存在漏洞进行传输，并含有自我复制、主动传输特征。被该勒索软件入侵后，用户主