imtoken钱包官方下载最新地址|比特病毒

不可破解的比特币勒索病毒，究竟是怎样的？ - 知乎

不可破解的比特币勒索病毒，究竟是怎样的？ - 知乎首发于Odaily星球日报-探索真实区块链切换模式写文章登录/注册不可破解的比特币勒索病毒，究竟是怎样的？Odaily星球日报权威区块链媒体，36氪独家战略合作，让一部分人先读懂Web3作者 | 秦晓峰编辑 | 卢晓明出品 | Odaily星球日报（ID：o-daily）（电影《黑客帝国》剧照）2017 年，WannaCry 比特币勒索病毒攻击了包括中国在内的 150 多个国家，造成损失超 80 亿美元。此后各类勒索病毒（NotPetya、Bad Rabbit等）虽层出不穷，但影响范围始终有限。近日出现的一款名为 GandCrab V5.2 加密货币勒索病毒，似乎大有再现 WannaCry “昔日荣光”的迹象，目前已在中国攻击了数千台政府以及企业的电脑。所谓勒索病毒，即设法让你的电脑中毒，锁死内部文件，要求用户通过比特币支付赎金才会解锁。包括慢雾、DVP 在内的众多安全团队都向Odaily星球日报表示，GandCrab V5.2目前不可破解，只能做好防御。GandCrab 团队不仅技术高超，而且“盗亦有道”：既信守承诺给赎金就“解毒”，还曾“人道地”将叙利亚等战乱地区排除在感染地区之外，因而曾被人称为“侠盗”病毒。不过，其却将中国、韩国视为其重要的攻击目标。GandCrab 幕后团队也通过出售病毒获得了 285 万美元收益。近年来针对加密货币的攻击日益增多，区块链安全事件频发。除了勒索病毒，恶意挖矿也一直不甘示弱。如果说，2017年攻击是以“勒索病毒”为主，2018年以“恶意挖矿”为主。现在，勒索病毒会否再次卷土重来？上千台政府、机构电脑感染新型的比特币勒索病毒再次肆虐。根据国家网络与信息安全信息通报中心监测，GandCrab V5.2 自 2019 年 3 月 11 日开始在中国肆虐，攻击了上千台政府、企业以及相关科研机构的电脑。截止发稿前，湖北省宜昌市夷陵区政府、中国科学院金属研究所、云南师范大学以及大连市公安局等政府、企业、高校均在其官网发布了遭受病毒攻击的公告。（夷陵区政府官网截图）根据网络安全分析师 David Montenegro 所言，GandCrab V5.2 勒索病毒目前已经感染了数千台中国电脑，接下来还将通过 RDP 和 VNC 扩展攻击影响中国更多的电脑。手段：垃圾邮件攻击GandCrab V5.2 又是如何让受害者电脑“中毒”的呢？据了解，该勒索病毒目前主要通过邮件形式攻击。攻击者会向受害人邮箱发送一封邮件，主题为“你必须在3月11日下午3点向警察局报到！”，发件人名为“Min，Gap Ryong”，邮件附件名为“03-11-19.rar”。（图片来自腾讯安全）一旦受害者下载并打开该附件，GandCrab V5.2 在运行后将对用户主机硬盘数据全盘加密，并让受害者访问特定网址下载 Tor 浏览器，随后通过 Tor 浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。 DVP区块链安全团队认为，除了垃圾邮件投放攻击， GandCrab V5.2 还有可能采用“网页挂马攻击”。即除了在一些非法网站上投放木马病毒，攻击者还可能攻击一些防护能力比较弱的正规网站，在取得网站控制权后攻击登陆该网站的用户。另外，该病毒也有可能通过漏洞传播，利用CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)以及 weblogic 漏洞进行传播。“攻击者会对受害者电脑里面的文件进行了不可逆加密，要想解开，只能依靠攻击者给你特定的解密密钥。”慢雾安全团队解释说，受害者只有付款才能获得特定密钥。不过，有时候也会发生受害者交了钱但攻击者不给密钥解锁的情况，慢雾安全团队认为攻击者所属团队的声誉高低可以作为一个判断依据。“勒索蠕虫知名度越高，越有可能给你发密钥，GandCrab 在暗网上的知名度还是很高的，口碑也不错。”慢雾安全团队说，“如果不发私钥就会降低声誉，其他被攻击者就不会再打钱了。”“关键是看，攻击者是否给受害者提供了一个联系渠道。” DVP区块链安全团队告诉Odaily星球日报，由于加密货币具有匿名性，攻击者很难判定受害者是否进行了打币操作，如果没有沟通渠道，说明攻击者根本无意解锁受害电脑。不可破解：地表最强的勒索病毒？ “目前根本没有办法直接破解，一旦被攻击成功，如果电脑里有重要的资料，只能乖乖交钱领取私钥破解。”包括慢雾、DVP 在内的众多安全团队都向Odaily星球日报表示该病毒不可破解。（贴吧截图）然而，Odaily星球日报发现在一些论坛上，出现了宣称可以破解 GandCrab V5.2 的公司，条件是先付款，再破解。“基本上都是骗子，都是一些皮包公司，根本没有能力。”一家匿名的区块链安全公司表示，“腾讯、360等公司都破解不了，他们能破解？”“一些团队或个人宣称可以破解 GandCrab V5.2 ，其实是‘代理’破解。”慢雾安全团队解释说，“他们收你的钱，帮你向勒索者支付加密货币，从而拿到解密密钥（破解）。”攻击者来势汹涌，一时之间破解不了木马病毒，只能做好防御。宜昌市夷陵区政府也给出了一些应对之策，包括：一是不要打开来历不明的邮件附件；二是及时安装主流杀毒软件，升级病毒库，对相关系统进行全面扫描查杀；三是在Windows中禁用U盘的自动运行功能；四是及时升级操作系统安全补丁，升级Web、数据库等服务程序，防止病毒利用漏洞传播；五是对已感染主机或服务器采取断网措施，防止病毒扩散蔓延。不过，慢雾安全团队指出，非 Windows 操作系统暂时并不会被感染。“GandCrab V5.2蠕虫目前只在Windows上运行，其他系统还不行。” “强悍”的病毒，也让团队在安全圈里“小有名气”。GandCrab 勒索病毒诞生于 2018 年 1 月，并在随后几个月里，成为一颗“新星”。该团队的标签之一是 “技术实力”强。今年2月19日，Bitdefender 安全实验室专家曾根据GandCrab自己给出的密钥（后文会解释原因），研发出 GandCrab V5.1之前所有版本病毒的“解药”。然而，道高一尺，魔高一丈。根据 zdnet 报道，今年2月18日，就在 Bitdefender 发布最新版本破解器的前一天，GrandCrab 发布了正肆虐版本（V5.2），该版本至今无法破解。目前在暗网中，GrandCrab 幕后团队采用“勒索即服务”（“ransomware as-a-service” ）的方式向黑客大肆售卖 V5.2 版本病毒。即由 GrandCrab 团队提供病毒，黑客在全球选择目标进行攻击勒索，攻击成功后 GrandCrab 团队再从中抽取 30%-40% 的利润。“垃圾邮件制造者们，你们现在可以与网络专家进行合作，不要错失获取美好生活的门票，我们在等你。”这是GrandCrab团队在暗网中打出的“招商广告”。值得一提的是，GandCrab 是第一个勒索 Dash 币的勒索病毒，后来才加了比特币，要加 499 美元。根据 GandCrab 团队 2018 年 12 月公布的数据，其总计收入比特币以及Dash币合计 285 万美元。（GandCrab 收入截图） “盗亦有道”的侠盗团队？这款病毒的团队，另外标签是“侠盗”。该标签来源于2018年发生的“叙利亚密钥”事件。2018 年 10 月16日，一位名叫 Jameel 的叙利亚父亲在 Twitter上发贴求助。Jameel 称自己的电脑感染了GandCrab V5.0.3并遭到加密，由于无力支付高达 600 美元的“赎金”，他再也无法看到在战争中丧生的小儿子的照片。（Twitter截图）GandCrab 勒索病毒制作者看到后，随即发布了一条道歉声明，称其无意感染叙利亚用户，并放出了部分叙利亚感染者的解密密钥。GandCrab 也随之进行了 V5.0.5 更新，并将叙利亚以及其他战乱地区加进感染区域的“白名单”。此外，如果 GandCrab 监测到电脑系统使用的是俄语系语言，也会停止入侵。安全专家据此猜测病毒作者疑为俄罗斯人。（勒索者道歉图）一时之间，不少人对 GandCrab 生出好感，称呼其为“侠盗”。“ GandCrab 颇有些武侠小说中侠盗的意味，盗亦有道。”一位匿名的安全人员告诉Odaily星球日报，“不过即使这样，也不能说 GandCrab 的行为就是正当的，毕竟它对其他国家的人就没有心慈手软。”根据腾讯安全团队统计，GandCrab 受害者大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家。并且，GrandCrab V 5.2 版本所使用的语言主要是中文、英文以及韩文，说明中国目前已经成为其重要的攻击目标。（GrandCrab V 5.2 版本）“一个黑客如果对一个区域的人没有感情，那么作恶时就不会考虑这个区域的人的感受。”慢雾安全团队解释说，“在黑客看来，中国网络空间积金至斗，所以对中国下手也就不足为奇。”发布于 2019-03-19 20:00比特币 (Bitcoin)勒索病毒​赞同​​1 条评论​分享​喜欢​收藏​申请转载​文章被以下专栏收录Odaily星球日报-探索真实区块链新闻资讯、数据行情、技术解读、独家深度，一网

如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen？会产生哪些影响？ - 知乎

如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen？会产生哪些影响？ - 知乎首页知乎知学堂发现等你来答​切换模式登录/注册网络安全计算机科学计算机病毒勒索病毒Wana Decrypt0r 2.0（计算机病毒）如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen？会产生哪些影响？近日网络上出现了一种名为“WannaRen”的新型比特币勒索病毒。它与2017年大爆发的“WannaCry”病毒类似，当用户电脑系统被“WannaCr…显示全部 ​关注者950被浏览785,612关注问题​写回答​邀请回答​好问题 187​14 条评论​分享​100 个回答默认排序火绒安全​已认证账号​ 关注4.9日晚更新： 目前，火绒根据WannaRen勒索病毒作者提供的密钥，已经制作出针对该病毒的解密工具（下载地址见稿件）。安装运行后，只需点击“开始扫描”即可对被WannaRen勒索病毒加密的文件进行一键全盘解密，也可以将文件直接拖入工具框进行解密，无需其它操作。如果大家在使用中遇到其它相关问题，可随时联系我们获得帮助。此外，为避免不必要的风险，我们不建议大家使用WannaRen勒索病毒作者公布的密钥自行解密文件。4.9日下午更新：WannaRen勒索病毒作者主动提供解密密钥4月9日，“WannaRen”勒索病毒作者通过多方主动联系到火绒，并提供了相关解密密钥。经火绒工程师分析后，验证密钥有效，稍后我们也会发布针对该病毒的解密工具，欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。此外，我们也将在文末公布该密钥，分享给广大安全同行和专业团队，共同开发解密工具，帮助遭遇该病毒的用户解决问题，挽回损失。（文中“火绒工作室****@huorong.ltd”为用户私人邮箱）9日上午，一名火绒用户以解密为由，通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后，竟主动提供病毒解密钥匙，并要求该火绒用户将密钥转发给火绒团队，制作“相应解密程序”。从上述邮件可以看出，该病毒作者在使用英语进行交流后，又使用了中文进行沟通，再加上火绒此前披露该病毒使用易语言编写的情况来看，极有可能为国人所为。至此，随着事件发酵，各媒体、安全厂商进行了大量的曝光和溯源调查，截止目前，该病毒作者提供的比特币钱包未收到任何赎金，而该作者也已经停止下发、传播“WannaRen”勒索病毒。WannaRen勒索病毒解密密钥-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----4.8日晚更新：通过进一步溯源，我们发现国内西西软件园（西西软件园-西西游戏网-多重安全的软件下载基地）中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本，与该勒索病毒的传播脚本具有同源性，因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之一。分析发现，火绒捕获到的勒索病毒会在本地同时执行下载挖矿病毒和勒索病毒两个命令，还可以通过“永恒之蓝”漏洞进行横向传播，并与大多数勒索病毒一样使用了非对称的加密方式，因此暂时无法对其进行解密。而西西下载站内软件所携带的病毒传播脚本目前虽然只传播挖矿病毒，但不排除未来传播勒索病毒的可能性。令人担忧的是，通过搜索发现，该下载站的开源代码编辑器在同类软件中人气排名第一（如下图），或已致使不少用户受到影响。详细分析报告见：近期，网上出现一款名为“WannaRen”的新型勒索病毒。对于该网传病毒样本，各厂商进行了第一时间的处理。但经火绒分析溯源发现，该样本并非病毒样本，而是该病毒进行勒索后留给用户交赎金用的“解密工具”，经检测其中并没有恶意代码。另外，火绒已经溯源到真实的“WannaRen”勒索病毒并进行分析（详细分析后续发布），火绒用户（企业、个人）升级到最新版即可对该病毒进行拦截查杀。4月6日，有用户在火绒论坛等地反馈，表示中了新型勒索病毒，被加密文件后缀名变为“. WannaRen”，并被索取0.05比特币作为解密赎金。得知情况后，火绒第一时间对用户反馈的可疑样本进行拉黑查杀处理。随后，火绒工程师通过溯源分析发现，真正的勒索病毒已经在感染用户电脑后的第一时间就自我删除。留在用户电脑上的并非该勒索病毒，而是病毒用以获取勒索赎金的解密工具，被感染用户只有通过该工具提交赎金后才能获得密钥。另外分析还发现，该被病毒使用易语言编写，基本排除与“WannaCry”勒索病毒具有同源性。针对该勒索病毒，火绒已经解除了对其解密工具的拉黑行为，并对真实的“WannaRen”勒索病毒进行拦截、查杀。目前，感染该勒索病毒的文件还无法被破解。建议用户不要轻易使用安全软件对该解密工具进行查杀，以免无法赎回被加密的重要资料。最后，火绒也会密切关注该病毒的后续情况，如果您遇到所述问题，可随时联系火绒寻求帮助。附预防勒索病毒的方式：1、 重要资料进行多地备份2、 不点击陌生链接、邮件（附件），不浏览不安全的网站3、 及时修复系统漏洞4、 设置强度高的登录账号、密码5、 安装并开启合格的安全软件，并定期查杀病毒编辑于 2020-04-14 09:48​赞同 1138​​204 条评论​分享​收藏​喜欢收起​yang leonierSiyah çerçeveli gözlük.​ 关注这病毒用来存储本体的肉鸡上面的那几个木马文件都还在，我直接下载回来了。WINWORD.EXE的微软签名是真的。难不成，用上hash碰撞了？但应该不是这样，只是拿合法的EXE去加载非法的DLL。这种玩艺不会用如此高大上的手段。这个UUID，查了一下是Word 2007的。看到这个pdb信息，我怀疑这部分代码真的来自Word 2007了。。文件的版本信息。查了一下12.0.4518.1014，发现有报道以前APT32“海莲花”的钓鱼邮件里面用了这个版本的winword.exe加载恶意wwlib.dll。看来这个winword.exe确实是微软的文件，可能只是WannaRen作者从哪里抄了这种手法，可执行文件都没有换一下。之前版本的回答里对这个exe多写了一点东西，但完全都是无用功。不过Word 2007启动要调用wwlib.dll，看一下我下下来的这个文件吧。有微软签名的这个WINWORD.EXE会骗过某些眼瞎的（没有这个wwlib.dll的特征码）的杀软，再启动这个不属于Word的木马本体wwlib.dll。我日，VMProtect壳。。。不好玩。但反正微软不可能用这个玩艺加壳。这玩艺挺大，估计脱了壳就是病毒本体了。至于you这个文件，一眼看出就是加密了。还有两个文件，一个是驱动，一个是应该属于这个挖门罗币的软件。这个驱动文件和Github下下来的完全一样，它确实是CrystalDiskMark作者的作品。看来这个木马，一边加密勒索比特币，一边还挖门罗币。可谓两不误。我回去再找块硬盘，看能不能把vmp加壳的主程序释放的文件再看一下。。根据360抓到的那段PowerShell脚本，木马会从某个国外网盘上下载两个文本文件，一个用于判断自己是否已经下载运行成功，一个则是判断是否下载运行挖矿程序。好像还有一个office.exe，用来本地局域网攻击的模块，我没成功下下来。更新：我找到了另一个版本的攻击PowerShell脚本，写的东西差不多，下载的东西不一样。nb.exe、office.exe都没了，yuu.exe下回来一看，一个WinRAR的自解压包，中文版WinRAR做的。duser.dll，太像木马了。而且好像还是易语言写的。userapp.exe其实是Win7的rekeywiz.exe，似乎rekeywiz.exe会导致Windows的knownDLLs机制失效，而直接把这个非系统的duser.dll加载了。网上查，似乎rekeywiz.exe被利用的情况有一些，以往有用公式编辑器漏洞攻击的Word文件下下来的东西会用它来加载恶意DLL。 9603ea7c66935f693721d3a09947e9d159b51252e352ba4abff04e1bdedd2f2a | ANY.RUN - Free Malware Sandbox Online谁玩门罗币的可以找f2pool矿池举报一下这个ID。编辑于 2020-04-09 00:12​赞同 468​​36 条评论​分享​收藏​喜欢

比特币勒索病毒疯狂蔓延的前因后果，看这篇就够了 - 知乎

比特币勒索病毒疯狂蔓延的前因后果，看这篇就够了 - 知乎首发于三节课切换模式写文章登录/注册比特币勒索病毒疯狂蔓延的前因后果，看这篇就够了三节课艾瑞巴蒂，最近一直在关注三节课的朋友们可能知道，我们上周末对公众号进行了迁移，也宣布了三节课公号即将改版，我们会围绕着某个行业中值得关注的事件，为您摘取汇总各大媒体或各种行业专家、大V们的观点，有时也会再辅以我们自己的解读，串联为一篇角度较为丰富，同时也具备可读性的文章。这样的内容，或许会更有助于大家迅速获得关于一个事件较为全面的信息和思考。今天是我们迁移和改版后的第一篇文章，说来也是有毒，这第一篇文章，三节课两位有毒的美少女小编就要带大家来围观一个有毒事件：永恒之蓝。 以下是正文部分：上周五，据美联社等多家媒体报道，一种名为WanaCry的电脑勒索病毒正在全球蔓延，近百个国家的政府、高校、医院等机构和个人的Windows电脑受到病毒感染，全球至少有10万台机器已受到感染，波及范围之广，在海内外形成刷屏之势，科普病毒的、剖析原因的、给出预防措施的，应有尽有。WanaCry是由不法分子利用美国国家安全局（NSA）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播的，根据网络安全机构通报显示，永恒之蓝是NSA网络军火库民用化第一例。它会自动扫描445文件共享端口的Windows机器，无需用户任何操作，就可以远程控制木马，导致大量用户的文档、图片、视频等无法打开，进而向用户勒索“赎金”。一、为什么是比特币？此次病毒感染事件，黑客要求每个被攻击者支付比特币赎金后方能解密恢复文件，勒索金额最高达5个比特币，价值人民币5万多元。那么为什么是比特币呢？5月15日早上，@第一财经日报（上海） 发表文章《年涨幅260%的比特币 为何成为黑客的"最佳选择"? 》，作者在文中对于为什么是比特币进行了总结：有的观点认为比特币自身方面有着相对于其他传统支付工具的优势：比特币有一定的匿名性，便于黑客隐藏身份；不受地域限制，可以全球范围收款；比特币还有“去中心化”的特点，可以让黑客通过程序自动处理受害者赎金。有的观点认为上面提及的有点其实是有漏洞的，主要是“如果勒索者收到比特币后不使用和交易，那么仍然无法追踪。 ”此外，也有观点认为黑客很可能想要搜罗比特币。二、重灾区在哪里？为何会爆发这样的病毒？此次病毒的受害者很多，《每日邮报》的报道病毒爆发当天就表示，至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击，这些机构包括医院和全科医生诊所。 虽然很早之前微软官方就已经宣布过，对Windows XP、Windows Server 2003等系统停止服务，但很多政府部门、医院、高校等并没有选择更新系统，所以，即使微软昨天考虑到病毒进一步扩散的可能性，对这些系统推出了安全补丁更新，也仍无济于事，因为这些部门已经沦陷了。中国政府部门、高校、公安局等对旧版Windows系统青睐有加的单位也是此次病毒的重灾区。关于为何这些机构会成为重灾区，我们不妨来看看《深访10+位安全专家：这场全球比特币勒索病毒，究竟如何收场？》一文中，@Xtecher 对10多位安全专家的采访。华为云安全负责人娄伟峰认为：从经济利益的角度看，微软的用户远大于苹果的用户，因此成了被攻击的原因之一。360安全首席工程师郑文彬认为：这类机构多使用内网、较少与外界接触，以至于在防范意识上存在疏漏。而另一方面，这些机构并不能保证完全隔绝互联网，一旦被病毒扫描，则同样会中毒——而只需一台电脑被扫描，便会像人类感染病毒一般传染到其它电脑。青莲云CEO董方认为：学校使用教育网，教育网是专网，其特点为，学校的某一个网站被攻击以后，会在专网中迅速传播，且教育网防护的等级不是很高，导致学校成为重灾区。今天下午@36氪 的《勒索病毒并非“病毒”，而是一种商业模式》一文中，作者@宋长乐 也有提到机构安全市场的投入严重不足的问题。中国整个安全市场占整个中国IT市场的投入是 2%，而全球尤其是美国安全市场，占整个美国IT市场的也不过 9%，两个超级大国的投入已经如此，更不用提其他国家了。@宋长乐 认为：这导致病毒来袭之后，安全系统弱的机构手足无措，漏洞更新也颇为困难，因为这可能牵涉到整个机构系统的大变动，这也是为何企业客户明显比互联网个人用户反应慢的原因所在。这也印证了安全行业的一种说法：重视运营，就是安全产品上线的第一天也是失效的第一天。相关数据显示，48％的受勒索软件威胁的企业表示面临这种问题时会同意支付，2016年勒索软件数10亿美元的收入中，很大一部分也是由企业缴纳的赎金组成的。可能这也是病毒制造者选择机构、企业下手的原因之一。此外，作为主要受害平台的Windows也成为被质疑对象。对此，今天早上，@驱动之家MyDrivers 在文章《微软：勒索病毒完全是美国国安局的锅 》中陈述了这个事情，文章中提及有一些观点认为微软对于漏洞的麻木和疏漏是造成此次勒索病毒大范围蔓延的原因。对此，微软方面则表态，病毒完全是美国国安局的原因：勒索病毒爆发完全是美国国安局（NSA）的锅，是他们私自握有黑客工具，并对系统漏洞隐瞒不报造成了这次大规模攻击事件。三、如何预防此类病毒？病毒出没，已经感染了的只能焦急等待，如何提前预防就成为大家最为关心的问题。目前这个病毒造成的危害还在继续，今天早上，@澎湃新闻网（上海） 发表的文章《勒索病毒威胁远未消失：15日是重要考验关口 》、中午@海外网（北京） 发表的文章《中央网信办：勒索病毒还在传播 但速度已放缓 》等都表明了用户仍旧面临风险，且“勒索”未来可能持续的现状。腾讯公号代表腾讯电脑管家相继发布两篇看似有点“震惊”标题党，实则是在实实在在教大家如何避免勒索的文章：《速扩散！敲诈勒索病毒入侵99个国家，这样做可以免遭勒索》、《注意 | “勒索病毒”持续肆虐！今天开机请先拨网线》。文中，@腾讯 列举了一些上班族今天上班后的正确开机步骤，避免感染勒索病毒。例如：开机前断网；备份重要文档至移动硬盘或U盘；下载免疫工具；等待漏洞修复完成后重启电脑。（具体步骤大家可以自行搜索，这里不再一一赘述）此外，＠豆腐店店长 发表的文章《比特币勒索病毒疯狂蔓延，Windows 用户该如何度过难关？》中，作者对于Windows用户也提出了建议：开启Windows安全更新；安装安全软件；其它方法：手动关闭端口。针对勒索软件，360安全专家表示，要加强安全意识，不明短信链接不要点，不明文件不要下载，不明邮件不要点开，同时强烈建议到正规的应用市场下载软件。其实，最好的预防方法就是平时要有防御意识，养成备份和及时更新的习惯，不管是电脑，还是手机，时时备份数据，这样即使电脑损坏，手机丢失，也能将损失降到最小。四、此次病毒带来了什么？相较于其他的观点，360安全技术负责人郑文彬关于“勒索病毒是一种商业模式”一说显得很是新奇。受到感染的机器会弹出一个对话框，告诉你，你的电脑出了问题，并介绍了恢复这些文档的方法。恢复的方法有很多，可以选择免费恢复一部分，也可以选择支付一些费用，恢复剩余的部分，当然，支付拖延时间越长，费用越高。甚至在半年后没付款的用户，还可以得到一次免费解除的机会，但就要看运气了。套路很深对不对？也难怪@郑文彬 在《勒索病毒并非“病毒”，而是一种商业模式》一文中会认为：勒索病毒并非是一种病毒，而是一种商业模式，只要网络环境中有财产可被获取，就会出现无尽的变种。这简直就是一条赤裸裸的黑色产业链。很多人拿此次爆发的病毒攻击事件和10年前的“熊猫烧香”事件做比较，但很明显，此次的影响更为广泛，也更为恶劣，它不仅是安全问题，还是勒索问题。对于勒索软件，今天@网易科技 推送的文章《最大规模勒索病毒爆发，未来还将威胁数十亿部手机》里，猎豹移动安全专家李铁军建议大家不要给赎金。@李铁军 提到：勒索病毒能防御，但不可治。一旦中毒，要么支付赎金，要么舍弃文件。但据说即使支付了赎金也不一定能够100%恢复。与勒索蠕虫的战斗不会结束，亚信安全专家预判，黑客的下一个目标很可能是全球的数十亿部手机。对此，360也持有相同的观点，其表示未来移动端也有可能大规模爆发勒索软件攻击事件。相较于亚信安全专家和360的预判，钛媒体显得更为悲观，在《勒索病毒变异体今日再引爆发高峰：神秘黑客组织曝光》一文中，作者@脑极体 对网络安全世界显露出了担忧和恐惧：这才刚刚开始。@脑极体 认为，在AI技术不断发展的今天，AI投入产品化应用已经不再话下，而AI、物联网、云计算等新技术带来的负面利用也在快速提升。在近两年的世界网络安全事件中，我们已经可以看到以下几种袭击方式开始主导网络安全问题：1、工业网络勒索：这次比特币勒索病毒可以有效威胁工业网络、医疗网络、银行网络等大型非民用网络，从而达到数额巨大的勒索获益目的。且比特币使得始作俑者往往更难被绳之以法，所以，这种袭击方式恐怕还将持续增加。2、信任攻击：AI威胁人类恐怕还很远，但AI被坏人利用恐怕今天就在发生。用AI生成熟人的声音和邮件，从而进行网络诈骗的方式在快速增加。3、物联网攻击：随着物联网技术的进步以及能源生产部门的彻底网络化，针对物联网的黑客袭击也逐渐开始增多。而这个领域的网络袭击，往往也是危险度更强、更加难以防范的一种。4、关键数据更改：大数据运算正在成为新的能源和生产力提供者，但有数据就有虚假数据。如果在关键数据上动手脚，有时候可以造成不留任何痕迹的网络袭击。以AI算法进行数据攻击，生成合情合理的“假数据链”，则更加是一种毁灭性打击。文末，@脑极体 又显露出了担忧：未来的全球网络安全，恐怕会是一场“大逃杀”模式的无尽战争。也许，这也是我们每个人应该担忧的。*备注：受限于专业知识水平有限，这篇文章关于这次病毒的理解不确保完全正确。如果其中一些地方解读有误，还请指正。更多内容，请关注三节课（微信公众号：三节课），一所互联网人的在线大学。这里有成体系的线上课程，有挑战的线下实战活动，以及有深度的产品运营观察+评论。发布于 2017-05-16 10:22产品互联网比特币 (Bitcoin)​赞同 36​​6 条评论​分享​喜欢​收藏​申请转载​文章被以下专栏收录三节课数字化人才战略

勒索病毒 | 普通人“自救指南” - 知乎

勒索病毒 | 普通人“自救指南” - 知乎首发于灰产圈切换模式写文章登录/注册勒索病毒 | 普通人“自救指南”灰产圈​​山东道格拉斯网络科技有限公司 总经理近日，公安机关在“净网2020”专项行动中，成功侦破一起由公安部督办的特大制作、使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件。据官方消息，犯罪嫌疑人巨某是全国公安机关抓获的首名比特币勒索病毒的制作者。截止案发，巨某已先后向400多家网站和计算机系统植入敲诈勒索病毒，受害单位涉及医疗、金融等行业，非法获利的比特币折合人民币500余万元。勒索病毒就像是游走在互联网里的有害细胞，形式多变且难以捉摸。而它的蔓延，给企业和个人都带来了严重的安全威胁。所以，今天鹅师傅就来扒一扒关于勒索病毒的那些事以及普通人应该如何有效“自救”。1勒索病毒的发展史：由个人化演变为产业化黑产链1、原始期：大家知道最早的勒索病毒是什么时候出现的吗？其实早在1989年，第一个勒索病毒（AIDSTrojan，又名“艾滋病特洛伊木马”）就已经诞生了！这个木马会以“艾滋病信息引导盘”的形式进入系统，把系统文件替换成含病毒的文件，并在开机时开始计数，一旦系统启动达到90次，木马就会隐藏磁盘的目录，C盘全部文件也会被加密，从而导致系统无法启动。而这时，电脑屏幕就会弹出一个窗口要求用户邮寄189美元来解锁系统。2006年，我国首款勒索软件Redplus勒索木马出现。这个病毒并不会删除电脑里的文件，而是把它们转移到一个具有隐藏属性的文件夹里，然后弹出窗口要求用户将赎金汇到指定的银行账户，金额从70元至200元不等。这个时期的勒索病毒还处于萌芽阶段，传播途径主要通过钓鱼邮件，挂马，社交网络的方式。所谓的挂马就是用户在浏览有安全威胁的网站，系统会被植入木马感染勒索病毒。而钓鱼邮件这种传播方式算是病毒界比较老套路的传播方式了。攻击者会以广撒网的方式大量发送含有勒索病毒的文件，一旦收件人打开该文件或链接，勒索软件会以用户看不见的形式在后台静默安装，然后实施勒索。但由于过去技术有限，大多勒索病毒都存在着漏洞，很容易就会被识别破解，加上这阶段交付赎金的方式多数以邮寄现金和转账为主。而这种交付形式，真的很不适合勒索病毒，不管是邮寄的地址还是转账的账号，都很容易暴露黑客的行踪，为了几百块的勒索金就这样铤而走险就像玩过家家一样，特别不划算。2、成长期：2013年是勒索病毒发展的一个重要的“分水岭”。CryptoLocker病毒作为首个采用比特币作为勒索金支付手段的加密勒索软件出现了！（图片来源网络）这个时期的勒索病毒一般使用AES和RSA对特定文件类型进行加密，而这种加密算法就现在的计算技术来说，几乎是没办法破解的。那为什么黑客们会喜欢选择比特币呢？像比特币这样的虚拟货币可以完美地隐藏黑客的身份，完全匿名且不受各种金融限制，几乎很难从一个比特币账户追查到另一个。让整个交易过程难以被追踪。让被勒索者把钱放在公园第三个垃圾桶旁边，或者从过街天桥丢下这些熟悉的桥段，真的只会在电影里出现了，黑客们再也不用为因收钱而暴露的风险操心了······3、成熟期：2017年，一款名叫“WannaCry”的勒索病毒席卷了全球150多个国家。相信各位即使自己电脑没感染过这个病毒，也曾有所耳闻。那为什么“WannaCry”的传染力如此之强呢？主要是因为一个叫 “The Shadow Brokers” 的黑客组织把它的病毒攻击工具和用于加密的密码公布到了网上。换句话说，无论是谁都可以下载下来并进行远程攻击利用。而这一思路恰恰为黑产分子打开了“新世界”的大门！在这个阶段，勒索病毒逐渐演变成了产业化模式，并形成了一条完整的黑产产业链。从勒索病毒作者、勒索实施者、传播渠道商、代理等等，各环节分工明细。而攻击的对象不再仅限于个人，更多的是针对企业，尤其是中大型企业，让企业核心业务网络陷入瘫痪，而不得不缴纳巨额的赎金。收到赎金的黑客们会将钱分批转给病毒制作者和各渠道的合作商。当然啦，这些钱的大部分都落入了勒索者和组织运营的平台，其他环节虽然分成不多，但“薄利多销”，总数还是很可观的。（勒索病毒演变历程）勒索病毒演变到今天，已经不再是单纯的个人行为，而已经形成小具规模的成熟产业链。2勒索病毒究竟是个什么东西？勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。就像我们人体会通过喷嚏、咳嗽、说话感染到病毒那样，电脑也会通过系统漏洞或网络钓鱼等方式感染到勒索病毒。目前大部分勒索病毒所用到的加密方式就是非对称加密算法或者对称与非对称混合加密。什么是对称加密算法？什么是非对称加密算法？对称加密算法（如：AES），就是使用相同的密钥进行加密和解密。而非对称加密算法（如：RSA），加密和解密使用的是不同的密钥。使用非对称加密算法，会同时产生一对密钥，一把是公钥，一把是私钥。非对称加密常见的用法有两种：一是公钥加密，私钥解密；另外一种就是私钥加密，公钥解密。两种方式，应用场景各有不同。鹅师傅举个例子说明：隔壁的女神如花准备用“情书招亲”的方式挑选夫婿，广邀村里的有志青年前来大展身手。她在家门口设置了一个信箱，该信箱由“情书投递”和“结果公布”两部分组成。前来应聘的青年可直接将写好的情书放进“情书投递”处，但打开“情书投递”处取出里面的情书需要密码，该密码只有如花一人有，以确保所有的情书内容只有如花一人知道，避免相互抄袭，确保公平竞争。此处的信箱就相当于公钥，是公开的，谁都可以往里放信件，相当于谁都可以用公钥来加密。但打开信箱的密码只有如花自己有，相当于解密的私匙，由加密者自己持有。这是公钥加密，私钥解密的应用场景。两天后，如花已挑中如意郎君张三，准备公布结果，他把张三的名字写在纸上放进“结果公布”信箱，往该信箱里投递需要密码。该密码同样只有如花一人有，避免街对面的东施嫉妒使坏，将奇丑无比的李四放进邮箱内，让如花错嫁李四。但从该信箱里取出邮件却不需要密码，直接倒出来即可，该方法如花已事先告诉了所有人，众人用该方法顺利取出了招亲结果。此处投信的密码相当于私钥，而取信的方法相当于公钥，用私钥加密的目的是为了确保该结果确实是如花发布的，实际上是进行签名，而不是为了加密。这是私钥加密，公钥解密的应用场景。3勒索病毒都是怎么来进行加密的？首先病毒制作者A基于RSA或椭圆曲线的原理，在自己电脑上生成私钥A和公钥A；然后在目标电脑B（也就是被植入了勒索病毒的电脑）上随机生成私钥B和公钥B；接着用公钥B把目标电脑B的文件进行加密，同时用公钥A加密私钥B；最后删除目标电脑B上的私钥B、公钥A以及数据。等被勒索的用户B支付完赎金后，病毒制作者可以通过自己手上的私钥A解出私钥B，再用私钥B来解密用户的数据。中了勒索病毒就像有人用一个非常非常复杂的锁，把你的房子锁上了。能解开这个锁的钥匙掌握在上锁的黑客手里，你是没有的，而且以你现在的开锁技术，也没办法在零损失的前提下强行把这个锁破开。既然你无法打开这把“锁”，那有没有其他专业的“开锁匠”能解开呢？我们又如何发现自己“房子”被上的是哪一类“锁”？首先，我们可以通过下面3种情况来判断自己的电脑是否中了勒索病毒：①服务器、数据库无法正常运作，比如服务器无法登录；②访问服务器、数据库出现勒索提示信息，比如连接服务器或数据库时出现索要赎金信息；③电脑文件名被修改，添加后缀名，比如在文件名后添加随机字符。如果确定自己电脑中了勒索病毒，那么根据被加密文件的后缀名和勒索信息，我们就可以在网络上搜索到自己中的是哪一种病毒。但目前来说，大部分的勒索病毒基本是无解的，有两种情况：1、主要针对数据库服务的勒索病毒，这种非加密方式，它会删除数据，然后插入条含有勒索信息的记录。这种叫做欺骗式勒索。也就是说，即使你按黑客要求交了赎金，你的数据会瞬间被删除，再也没办法恢复了。因为这类勒索病毒都是批量入侵的，如果把成千上万入侵的数据都打包备份存储好，他们就得需要庞大的服务器来支撑，这对攻击成本来说，是大大的不利。2、另外一种是真的把文件加密的形式，Wecanhelp就归属这种了，这种勒索病毒从加密原理来看，没有私钥的情况下基本是无解。那么有没有可以破解的情况呢？也是有的！1、勒索病毒作者主动公开私钥，比如著名勒索病毒Petya作者可能是为了跟横扫欧洲的变种Petrwrap划清关系(该变种影响严重，可能是怕被牵连)公开了私钥；2、勒索病毒自身存在漏洞被破解的情况，比如说Gryphon就是由于加密算法存在漏洞而被暴力破解；3、另外网上也有各种可以解密的方法。有的只是放出来骗人的方法；有的虽然能解密，但只能恢复部分数据。如果非要寻求网上的解密方式，鹅师傅建议大家选择安全厂商提供发布的工具，这样可信度会更高。4应对勒索病毒百宝箱，需要可收藏识别类工具这类工具主要用于识别和检索各类已知的病毒。1、腾讯勒索病毒搜索引擎：https://guanjia.qq.com/pr/ls/2、VenusEye勒索病毒搜索引擎：https://lesuo.venuseye.com.cn/3、奇安信勒索病毒搜索引擎：https://lesuobingdu.qianxin.com/4、深信服勒索病毒搜索引擎：https://edr.sangfor.com.cn/#/information/ransom_search解密类工具这类工具主要是提供一些根据已知的病毒制作的杀毒、解密、备份等软件。1、腾讯哈勃勒索软件专杀工具：https://habo.qq.com/tool/index2、火绒勒索病毒解密工具集合：http://bbs.huorong.cn/thread-65355-1-1.html3、瑞星解密工具下载：http://it.rising.com.cn/fanglesuo/index.html4、nomoreransom勒索软件解密工具集：https://www.nomoreransom.org/zh/index.html5、卡巴斯基免费勒索解密器：https://noransom.kaspersky.com/5自救指南：勒索病毒当真防不胜防吗？以前我们总抱有侥幸心理，觉得自己电脑的资料不重要，不值得黑客一窃。但随着勒索病毒的黑产兴起，传播范围的不断扩大，只要你身处互联网中就很难做到独善其身。对于企业来说，网络安全防护是日常必不可少的重要一环。但对个人来说，自我的防护措施就可以忽略了吗？答案肯定是不行的。鹅师傅强烈建议，日常多读一读勒索病毒自救指南：1、目前网络上的杀毒和解密工具仅仅针对已知的病毒，所以必须提高自身的安全意识，事前防御更为重要！2、坚持三不三要原则：不上钩、不打开、不点击，要备份、要确认、要更新。3、尽量不要安装盗版软件！盗版软件很容易给黑客分子悄悄“开后门”，所以一定要安装和使用可信来源的应用服务，并及时修复操作系统和应用服务的漏洞。4、根据鹅师傅上面介绍的病毒识别方法和解密方法尝试自我恢复和解密数据，而且事后必须更要重视电脑日常的安全加固，多检测，多杀毒，多备份。5、当然，最重要的，赶紧报警寻求警察的帮助啦！发布于 2020-10-17 14:34勒索病毒黑色产业链勒索者病毒​赞同 8​​添加评论​分享​喜欢​收藏​申请转载​文章被以下专栏收录灰产圈互联网黑灰产业链研究第一媒体 | 官方公号：

国内首个比特币勒索病毒案告破，三年获利500万-虎嗅网

国内首个比特币勒索病毒案告破，三年获利500万-虎嗅网

资讯

24小时

源流

视频

妙投虎嗅智库

投稿

2020-10-14 16:48

国内首个比特币勒索病毒案告破，三年获利500万HyperAI超神经©关注近日，全国首个比特币勒索病毒开发者巨某，被江苏南通警方成功捕获。巨某在三年的时间里，利用网络勒索病毒，已非法获利超 500 万元人民币。本文来自微信公众号：HyperAI超神经（ID：HyperAI），作者：神经小兮，题图来自：视觉中国10 月 8 日，据江苏省南通市当地警方通报，在“净网 2020”行动中，成功侦破了一起特大网络敲诈案件，3 名犯罪嫌疑人巨某、谢某和谭某落网。犯罪嫌疑人巨某，作为多个比特币勒索病毒的制作者，已成功作案百余起，非法获取的比特币折合人民币 500 余万元。病毒勒索：想要数据？比特币来换近年来，网络勒索病毒十分猖獗，防不胜防。全球各地企业、机构、甚至高校都会遭遇勒索病毒攻击。今年 4 月，江苏省南通市启东某大型超市收银系统就遭到了攻击，系统被黑客植入勒索病毒，因此瘫痪，无法正常运转。超市立即进行了报案，南通市公安局与市局网安等部门组成专案组进行侦查。通过数据勘验，专案组找到一份告知如何解密文件的全英文留言，要求受害人必须支付 1 比特币（时价约合人民币 47000 元）作为破解费用。黑客勒索留言：若想恢复文件，就给我钱包里打 1 个比特币此外，网警经对该超市的服务器进行数据勘验，发现黑客锁定的服务器中所有文件均被加密，文件的后缀名都变成了“lucky”，文件和程序均无法正常运行。而在 Ｃ 盘根目录下有个自动生成的文本文档，留有黑客的比特币收款地址和邮箱联系方式。超市服务器数据文件后缀都变成了“lucky”随后，尽管专案组做了大量工作，却始终没有进展。线索无处可寻，侦查陷入僵局。根据南通市公安局网安支队三大队副大队长许平楠介绍，“由于比特币均通过境外网站交易，追查难度较大，发起攻击的始作俑者身份往往成谜。”随着价格的不断上涨以及其本身的匿名性，比特币深受众多不法分子的青睐超市求助数据恢复公司，竟成破案线索就在警方无处下手的时候，案情出现了一丝转机。由于超市被锁服务器中有重要工作数据，如果格式化则损失巨大。因此，超市工作人员联系了一家数据恢复公司，以低于被勒索（1 个比特币）的价格，委托其解锁加密文件。后来这家数据恢复公司，竟然神奇地对服务器数据进行了成功解密。警方获悉这一情况后，认为其中可能另有隐情。因为，一般来说，勒索病毒入侵电脑，对文件或系统进行加密，每一个解密器都是根据加密电脑的特征新生成的，没有病毒制作者的秘钥，几乎不可能完成解密。专案组成员、启东市公安局网安支队民警黄潇艇分析称，一般只有向勒索者支付比特币才能解密但经过进一步侦查之后，排除了数据恢复公司的嫌疑。原来该数据恢复公司之所以能够恢复数据，是因为他们通过邮箱与黑客取得联系，并支付 0.5 比特币获取了解锁工具，从而完成任务，赚取差价。专案组通过数据恢复公司而获取的新线索，以及深度研判分析，成功锁定犯罪嫌疑人的真实身份为巨某，至此案件侦破工作终于取得重大进展。5 月 7 日，专案组在山东威海将巨某抓获归案，并在其居住地查获作案用的电脑。在巨某的电脑中，民警找到了相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。证据面前，巨某（右二）对自己的罪行供认不讳巨某交代称，他开发了一款网站漏洞扫描软件，在获得相关控制权限后，就针对性植入勒索病毒。为避免破解和逃避公安机关的追查，巨某相继开发升级了 4 种勒索病毒，索要难以追查的比特币作为赎金，使用的都是境外网盘和邮箱。在江苏警方抓获犯罪嫌疑人前，巨某已经向 400 多家网站和计算机系统植入敲诈勒索病毒，受害单位覆盖 20 多个省份，涉及企业、医疗、金融等多个行业。其中，苏州的一家上市公司，因为勒索病毒破坏了其相关工作使用的数据库文件，导致整个生产系统无法正常运行，直接停工三天，造成了巨大的经济损失。自学达人，却走上犯罪道路这位巨某，可以说是被敲诈勒索“事业”耽误了的自学达人。据了解，巨某生于内蒙古赤峰，今年 36 岁。他自幼就喜好并自学计算机知识，精通编程、网站攻防等技术。之后，他成立了工作室，利用自己开发的软件炒股。起初还赚了不少，可最后以亏损 300 多万元而告终。债台高筑的巨某，偶然的一次机会得知了用勒索病毒敲诈的发财门路，于是走上了开发病毒程序之路。从 2017 年下半年开始，巨某一直都在研究“撒旦”等勒索病毒，以及漏洞利用程序“永恒之蓝”，并编写了“satan_pro”病毒程序用于作案。2018 年就曾有中了该病毒的客户请求数据解密公司解密，其勒索留言如下：据巨某交代，为避免破解和逃避公安机关的追查，他在“satan_pro”之后，又陆续升级开发了“nmare”、“evopro”、“svmst”和“5ss5c”4 款勒索病毒，江苏南通受攻击的超市收银系统，就是被植入了“nmare”病毒。除了索要难以追查的比特币作为赎金，巨某还通过境外的网盘和邮箱将解密软件发送给受害人，并经常更换，到手的比特币也都是通过境外网站交易。对于巨某来说，自己天衣无缝的计划堪称“完美犯罪”，但终究没能逃过警方的侦查。在作案期间，与他合作的一家数据恢复公司经营者谢某、谭某，也均因涉嫌敲诈勒索罪被逮捕。不知道这位巨某如今身陷囹圄，会作何感想。如果他利用所学知识，做一名网络安全工程师，人生历程就完全不同了。或许在未来的某一天里，铁窗里的他还会想起很多年前，敲下第一行代码时振奋、纯粹的自己。新闻来源：新浪财经：《全国首个比特币勒索病毒制作者落网：曾迫使一上市公司停工3天》南通公安微信公众号：《全国首个比特币勒索病毒制作者落网！南通破获特大制作使用病毒实施敲诈勒索案》本文来自微信公众号：HyperAI超神经（ID：HyperAI），作者：神经小兮本内容为作者独立观点，不代表虎嗅立场。未经允许不得转载，授权事宜请联系hezuo@huxiu.com如对本稿件有异议或投诉，请联系tougao@huxiu.com正在改变与想要改变世界的人，都在 虎嗅APP

Copyright © 

虎嗅网 京ICP备12013432号-1      

京公网安备 11010502037938号

中了比特币勒索病毒怎么办？千万不要打钱|比特币_新浪财经_新浪网

中了比特币勒索病毒怎么办？千万不要打钱|比特币_新浪财经_新浪网

新浪首页

新闻

体育

财经

娱乐

科技

博客

图片

专栏

更多

汽车

教育

时尚

女性

星座

健康

房产历史视频收藏育儿读书

佛学游戏旅游邮箱导航

移动客户端

新浪微博

新浪新闻

新浪财经

新浪体育

新浪娱乐

新浪众测

新浪博客

新浪视频

新浪游戏

天气通

我的收藏

注册

登录

区块链 >

正文

行情

股吧

新闻

外汇

新三板

中了比特币勒索病毒怎么办？千万不要打钱

中了比特币勒索病毒怎么办？千万不要打钱

2019年03月05日 16:07

新浪财经-自媒体综合

新浪财经APP

缩小字体

放大字体

收藏

微博

微信

分享

腾讯QQ

QQ空间

下载新浪财经app，追踪全球币市行情

热点栏目

自选股

数据中心

行情中心

资金流向

模拟交易

客户端

　　来源：白话区块链

　　病毒千万条，预防第一条，链接随便点，中毒两行泪

　　根据360安全卫士今年1月29日发布的公告，勒索病毒卷土重来，受害者被要求三日之内支付1个比特币，逾期加倍。

　　那么，什么是比特币勒索病毒呢？它和比特币是什么关系？电脑使用比特币容易中病毒吗？

　　今天，白话区块链就带着大家来了解一下“比特币勒索病毒”。

　　2017年5月份，国内媒体以“比特币勒索病毒”为关键词，大肆报道了有150多个国家遭受攻击，影响了教育、金融、能源、医疗等行业的勒索病毒，并详细报道了国内高校很多学生的重要学习资料、毕业论文等文件被加密锁住的例子。

▲ 比特币勒索病毒：WannaCry

　　这是普通大众第一次听到“比特币勒索病毒”。

　　其实，媒体报道的这个勒索病毒，叫“WannaCry（想哭）”，由不法分子利用美国国家安全局泄露的危险漏洞“Eternal Blue（永恒之蓝）”进行传播。和其他勒索病毒不同的是，这个勒索病毒索要的钱财是比特币。借助2017年牛市比特币价格暴涨的热点，新闻媒体用了“比特币勒索病毒”作为关键词来博取眼球。

　　换句话说，这个“比特币勒索病毒”其实就是一种普通的勒索病毒，只因为索要比特币，为了博取眼球，被媒体冠以“比特币勒索病毒”。

　　这件事之后，每隔一段时间就会有新的勒索病毒出现，模仿“WannaCry（想哭）”，向受害人索要比特币。360安全卫士今年1月29日发布公告的勒索病毒，名为“Satan（撒旦，基督教中与上帝为敌的魔王）”，要求受害者三日之内支付1个比特币，逾期加倍。

　　看到这里，想必你也明白了，这些所谓的“比特币勒索病毒”与比特币没有直接的关系，并不是由比特币造成的。

　　比特币的源代码是公开的，十多年来，世界上那么多顶级程序员、黑客、白帽黑客检查过源代码，比特币也稳定运行了十多年，说明比特币是安全的。当然，这里说的安全是相对的，毕竟道高一尺魔高一丈，谁也不知道明天会不会有更厉害的程序员发现漏洞。

　　近年来，随着价格的不断上涨以及其本身的匿名性，比特币深受众多不法分子的青睐。

　　如果你的电脑很不幸地中了“比特币勒索病毒”，千万不要支付比特币赎金。腾讯安全联合实验室就曾指出，制造病毒的不法黑客没有设置任何机制来判断到底是谁支付了赎金，哪些计算机应该被释放，最重要的是，解密完成后仍然有可能重新中毒。

　　“病毒千万条，预防第一条，链接随便点，中毒两行泪。”对我们普通人而言，预防病毒是最关键的，日程生活中就要养成“慎点开、勤备份、装杀软”的好习惯，防止自己的电脑中毒或者变成“肉鸡”。

免责声明：自媒体综合提供的内容均源自自媒体，版权归原作者所有，转载请联系原作者并获许可。文章观点仅代表作者本人，不代表新浪立场。若内容涉及投资建议，仅供参考勿作为投资依据。投资有风险，入市需谨慎。

责任编辑：唐婧

文章关键词：

比特币 勒索病毒 区块链

我要反馈

热门推荐

收起

新浪财经公众号

24小时滚动播报最新的财经资讯和视频，更多粉丝福利扫描二维码关注（sinafinance）

相关新闻

加载中

点击加载更多

最近访问

我的自选

01/政府工作报告：行业税负只减不增 制造业税率降至13%02/"掉队"魅族的求生欲：去年销量腰斩 节衣缩食减开支03/15城人均GDP超2万美元：都市圈崛起有了强力支点04/身家曾达85亿 王子华为何要卖北京农商行股权05/人大将审议外商投资法(草案) 但房地产税法并未提及06/标志雪铁龙在华合资企业亏损扩大 CEO不满中方团队07/商务部部长钟山：中美经贸磋商的成果是互利的08/全文|国务院总理李克强作政府工作报告09/特斯拉大降价背后：挑战者前赴后继成“挑战者联盟”10/李克强：小规模纳税人增值税起征提至月销售额十万

01/中信证券千名员工300亿薪水抄底自家股票 长牛信号？02/A股巨震大股东减持 券商吵翻:牛市起点还是反弹尾声?03/易会满：证监会不好评论牛市是否已经到来(视频)04/董少鹏：刚刚 李克强这样定调中国股市05/申万宏源：牛市尚无坚实基础 四月回调是大概率06/8大券商评增值税下调：哪些行业受益?如何影响市场?07/午后名博看市：市场分化下关注几个聚焦点08/国信证券:本轮行情更像反转而非反弹 潜在风险有三点09/解读政府工作报告:地产税提法有变 10大投资机会(股)10/科创板又传大消息 已有客户完成开户预约受理申请

01/郭树清提示防范风险:老百姓要提高警惕 不能借钱投资02/邮政集团:任命张金良为邮储银行党委书记 提名董事长03/3月5日在售高收益银行理财产品一览04/大学生薅羊毛卷入大骗局 被骗光生活费还给五星好评05/信用卡降额封卡调查：银行防范多头授信 引征信数据06/深圳多家银行下调房贷利率 首套利率环比下降1.97%07/行业协会提示 “小额贷款”营业执照非金融牌照08/78只互联网宝宝收益率连续4周下跌09/2018年年报密集披露 社保、QFII最新持仓浮出水面10/银行理财转型不易 惯性操作引发过渡期“阵痛”

7X24小时

徐小明 凯恩斯 占豪 花荣 金鼎 wu2198 丁大卫 易宪容 叶荣添 沙黾农 冯矿伟 趋势之友 空空道人 股市风云 股海光头

彭文生

李奇霖：

政府工作报告的10大关注点

朱邦凌：

丹东港再成老赖

李德林：

牛市真的来了吗？

盘和林：

科创板注册与监管体现包容性

星球商评：

创业创到最后都是微商

交易提示

操盘必读

证券报

最新公告

限售解禁

数据中心

条件选股

券商评级

股价预测

板块行情

千股千评

个股诊断

大宗交易

财报查询

业绩预告

ETF期权

类余额宝

基金净值

基金对比

基金排名商品行情

外盘期货

商品持仓

现货报价

CFTC持仓

期指行情

期指持仓

期指研究

行业指数

权重股票

期货名人

专家坐堂

高清解盘

期货入门

各国国债

期市要闻

期货研究

机构评论

品种大全外汇计算器

人民币牌价

中间价

美元指数

直盘行情

所有行情

美元相关

人民币相关

交叉盘

拆借利率

货币分析

机构观点

经济数据

专家坐堂

分析师圈

国债收益率

全球滚动

CFTC持仓

比特币外汇计算器

黄金资讯

白银分析

实物金价

ETF持仓

黄金TD

白银TD

金银币

专家坐堂

基础知识

现货黄金

现货白银

现货铂金

现货钯金

高清解盘

黄金吧 白银吧

黄金分析

CFTC持仓

叶檀

凯恩斯

曹中铭

股民大张

宇辉战舰

股市风云

余岳桐

股海战神

郭一鸣

赵力行

老乐说股：阳谋之后再防阴谋涨停老妖：大盘为什么持续逼空闵非：市场分化 多空信号需要进一步验证涨停王者V5：3000点上方紧盯这两个板块不下车马上钧：怕字当头 纵使在牛市里也别想捞到一根毛老股民大张：耐心等待时空点的出现天天涨停：小牛氛围下市场总是超预期强势黄斌汉：创业板10000点不难 市场是入补涨涨停周期智股十方：大盘周线九连阳进入重压力区域大满贯股：3000点上方开始有分歧魅仙儿炒股秘籍：筑顶中期果断减仓狄琼霏：再次加仓良机出现

叶檀

凯恩斯

曹中铭

股民大张

宇辉战舰

股市风云

余岳桐

股海战神

郭一鸣

赵力行

老乐说股：阳谋之后再防阴谋涨停老妖：大盘为什么持续逼空闵非：市场分化 多空信号需要进一步验证涨停王者V5：3000点上方紧盯这两个板块不下车马上钧：怕字当头 纵使在牛市里也别想捞到一根毛老股民大张：耐心等待时空点的出现天天涨停：小牛氛围下市场总是超预期强势黄斌汉：创业板10000点不难 市场是入补涨涨停周期智股十方：大盘周线九连阳进入重压力区域大满贯股：3000点上方开始有分歧魅仙儿炒股秘籍：筑顶中期果断减仓狄琼霏：再次加仓良机出现

中美商业航天的太空之战

朱正廷、Justin背后共同的女人

这位国民闺蜜，了解一下

这位国企老板曾靠安眠药入睡

先河论市：冲高回落分歧犹在 益学堂：本周行情推演研判 中级别退潮期正式开始！ 彭恩泽：三月重点博弈两条主线！ 沙漠雄鹰8：猜忌声中继续前行 飞杨看市：赚自己的钱，别管那些不信牛市的人！ 推石的凡人：冲击3000点可期，低估值权重股有机会 黄-昭博：大调整则是二次抄底的绝佳机会 趋势巡航：今天补缺需关注一点

03-13

新诺威

300765

-- 03-13

青农商行

002958

3.96 03-12

每日互动

300766

-- 03-06

金时科技

002951

9.94 03-05

上海瀚讯

300762

16.28

团车网再度调低IPO募资额

君实生物赴港IPO:研发烧钱苏州龙杰核心工艺将被淘汰

三只松鼠:IPO仍在排队中IPO排队者:高新成通关密码

股市直播

图文直播间

视频直播间

新浪财经意见反馈留言板

电话：400-690-0000 欢迎批评指正

新浪简介|广告服务|About Sina

联系我们|招聘信息|通行证注册

产品答疑|网站律师|SINA English

Copyright © 1996-2019 SINA Corporation

All Rights Reserved 新浪公司 版权所有

新浪首页

语音播报

相关新闻

返回顶部

国内首个比特币勒索病毒案告破，三年获利 500 万！_腾讯新闻

国内首个比特币勒索病毒案告破，三年获利 500 万！_腾讯新闻

国内首个比特币勒索病毒案告破，三年获利 500 万！

来源 | HyperAI超神经

图源 | 视觉中国

10 月 8 日，据江苏省南通市当地警方通报，在「净网 2020」行动中，成功侦破了一起特大网络敲诈案件，3 名犯罪嫌疑人巨某、谢某和谭某落网。

犯罪嫌疑人巨某，作为多个比特币勒索病毒的制作者，已成功作案百余起，非法获取的比特币折合人民币 500 余万元。

病毒勒索：想要数据？比特币来换

近年来，网络勒索病毒十分猖獗，防不胜防。全球各地企业、机构、甚至高校都会遭遇勒索病毒攻击。

今年 4 月，江苏省南通市启东某大型超市收银系统就遭到了攻击，系统被黑客植入勒索病毒，因此瘫痪，无法正常运转。

超市立即进行了报案，南通市公安局与市局网安等部门组成专案组进行侦查。通过数据勘验，专案组找到一份告知如何解密文件的全英文留言，要求受害人必须支付 1 比特币（时价约合人民币 47000 元）作为破解费用。

黑客勒索留言：若想恢复文件，就给我钱包里打 1 个比特币

此外，网警经对该超市的服务器进行数据勘验，发现黑客锁定的服务器中所有文件均被加密，文件的后缀名都变成了「lucky」，文件和程序均无法正常运行。而在 Ｃ 盘根目录下有个自动生成的文本文档，留有黑客的比特币收款地址和邮箱联系方式。

超市服务器数据文件后缀都变成了「lucky」

随后，尽管专案组做了大量工作，却始终没有进展。线索无处可寻，侦查陷入僵局。

根据南通市公安局网安支队三大队副大队长许平楠介绍，「由于比特币均通过境外网站交易，追查难度较大，发起攻击的始作俑者身份往往成谜。」

随着价格的不断上涨以及其本身的匿名性

比特币深受众多不法分子的青睐

超市求助数据恢复公司，竟成破案线索

就在警方无处下手的时候，案情出现了一丝转机。

由于超市被锁服务器中有重要工作数据，如果格式化则损失巨大。因此，超市工作人员联系了一家数据恢复公司，以低于被勒索（1 个比特币）的价格，委托其解锁加密文件。

后来这家数据恢复公司，竟然神奇地对服务器数据进行了成功解密。

警方获悉这一情况后，认为其中可能另有隐情。因为，一般来说，勒索病毒入侵电脑，对文件或系统进行加密，每一个解密器都是根据加密电脑的特征新生成的，没有病毒制作者的秘钥，几乎不可能完成解密。

专案组成员、启东市公安局网安支队民警黄潇艇分析称，一般只有向勒索者支付比特币才能解密。

经过进一步侦查之后，警方排除了数据恢复公司的嫌疑。

原来该数据恢复公司之所以能够恢复数据，是因为他们通过邮箱与黑客取得联系，并支付 0.5 比特币获取了解锁工具，从而完成任务，赚取差价。

专案组通过数据恢复公司而获取的新线索，以及深度研判分析，成功锁定犯罪嫌疑人的真实身份为巨某，至此案件侦破工作终于取得重大进展。

5 月 7 日，专案组在山东威海将巨某抓获归案，并在其居住地查获作案用的电脑。在巨某的电脑中，民警找到了相关邮件记录、比特币交易记录以及相关勒索病毒工具的源代码。

巨某交代称，他开发了一款网站漏洞扫描软件，在获得相关控制权限后，就针对性植入勒索病毒。为避免破解和逃避公安机关的追查，巨某相继开发升级了 4 种勒索病毒，索要难以追查的比特币作为赎金，使用的都是境外网盘和邮箱。

在江苏警方抓获犯罪嫌疑人前，巨某已经向 400 多家网站和计算机系统植入敲诈勒索病毒，受害单位覆盖 20 多个省份，涉及企业、医疗、金融等多个行业。

其中，苏州的一家上市公司，因为勒索病毒破坏了其相关工作使用的数据库文件，导致整个生产系统无法正常运行，直接停工三天，造成了巨大的经济损失。

自学达人，却走上犯罪道路

这位巨某，可以说是被敲诈勒索「事业」耽误了的自学达人。

据了解，巨某生于内蒙古赤峰，今年 36 岁。他自幼就喜好并自学计算机知识，精通编程、网站攻防等技术。

之后，他成立了工作室，利用自己开发的软件炒股。起初还赚了不少，可最后以亏损 300 多万元而告终。

债台高筑的巨某，偶然的一次机会得知了用勒索病毒敲诈的发财门路，于是走上了开发病毒程序之路。

从 2017 年下半年开始，巨某一直都在研究「撒旦」等勒索病毒，以及漏洞利用程序「永恒之蓝」，并编写了「satan_pro」病毒程序用于作案。

2018 年就曾有中了该病毒的客户请求数据解密公司解密，其勒索留言如下：

据巨某交代，为避免破解和逃避公安机关的追查，他在「satan_pro」之后，又陆续升级开发了「nmare」、「evopro」、「svmst」和「5ss5c」4 款勒索病毒，江苏南通受攻击的超市收银系统，就是被植入了「nmare」病毒。

除了索要难以追查的比特币作为赎金，巨某还通过境外的网盘和邮箱将解密软件发送给受害人，并经常更换，到手的比特币也都是通过境外网站交易。

对于巨某来说，自己天衣无缝的计划堪称「完美犯罪」，但终究没能逃过警方的侦查。在作案期间，与他合作的一家数据恢复公司经营者谢某、谭某，也均因涉嫌敲诈勒索罪被逮捕。

不知道这位巨某如今身陷囹圄，会作何感想。如果他利用所学知识，做一名网络安全工程师，人生历程就完全不同了。

或许在未来的某一天里，铁窗里的他还会想起很多年前，敲下第一行代码时振奋、纯粹的自己。

新闻来源：

新浪财经：《全国首个比特币勒索病毒制作者落网：曾迫使一上市公司停工3天》

南通公安微信公众号：《全国首个比特币勒索病毒制作者落网！南通破获特大制作使用病毒实施敲诈勒索案》

比特币价格的推手之一：勒索病毒！再谈勒索病毒的防御-腾讯云开发者社区-腾讯云

格的推手之一：勒索病毒！再谈勒索病毒的防御-腾讯云开发者社区-腾讯云IT狂人日志比特币价格的推手之一：勒索病毒！再谈勒索病毒的防御关注作者腾讯云开发者社区文档建议反馈控制台首页学习活动专区工具TVP最新优惠活动文章/答案/技术大牛搜索搜索关闭发布登录/注册首页学习活动专区工具TVP最新优惠活动返回腾讯云官网IT狂人日志首页学习活动专区工具TVP最新优惠活动返回腾讯云官网社区首页 >专栏 >比特币价格的推手之一：勒索病毒！再谈勒索病毒的防御比特币价格的推手之一：勒索病毒！再谈勒索病毒的防御IT狂人日志关注发布于 2022-05-18 15:58:447050发布于 2022-05-18 15:58:44举报文章被收录于专栏：用户9757876的专栏用户9757876的专栏近两年来，勒索病毒全球肆虐，一度成为比特币价格居高不下的推手之一，由于病毒不断地变化、升级，使得被恶意锁住的重要数据文件，只能以支付比特币的方式向黑客妥协，造成巨额的财务损失不说，很多中毒的企业，还直接面临停产、停工，损失更惊人。需要特别注意的是，有些国家和地区的法律明确规定：给黑客支付比特币以赎回数据文件的2行为，是违法行为！至少会面临被罚款的惩戒措施。2020年6月12日，笔者已经写过一篇文章：巧用防火墙阻挡勒索病毒，但那是远远不够的，今天再来说一些方法吧，也算是给我的客户、我的粉丝们一些提醒和交待。勒索病毒的类型：知彼知己，百战不殆。先来了解一下勒索病毒的类型吧：1、锁屏型勒索病毒，顾名思义，中毒后，直接用不可描述的图片把屏幕锁住，并且要求受害者支付赎金换取解锁密码，也有些网络犯罪分子会伪装成执法人员，声称发现用户传播了非法内容，要求支付罚款，否则将被“逮捕”。2、隐私型勒索病毒，即Doxware型勒索病毒，网络犯罪分子宣称掌握了受害者的个人隐私数据或者隐私行为，如果受害人不按时支付赎金，则个人隐私会被公诸于世，造成的危害相当严重。3、加密型勒索病毒，笔者认为当今最可恶、最可恨的勒索病毒，没有之一！进入系统后，利用复杂的加密算法，对硬盘内大量的数据文件进行快速加密，受害者必须在一定的时间内以比特币的形式支付赎金。由于加密算法无法破解，比特币交易不可追溯，加密型勒索病毒，已经成为当今最为流行的勒索病毒了。勒索病毒的入侵方式：1、垃圾邮件：攻击者伪装成合法机构、企业或者受害者的联系人，在邮件中添加伪装成合法文件的恶意附件，或在邮件正文中提供恶意 URL 链接。攻击者会诱导收件人打开恶意附件，或者访问恶意链接。如果采用恶意附件方式，收件人打开附件时，勒索软件就被暗中下载，然后开始扫描用户设备上的文件并加密。如果采用恶意链接方式，则攻击者会提前在该网页上挂马，收件人单击链接后会进入此网页，勒索软件就会在收件人浏览网页时将病毒传送至用户设备。2、漏洞利用：漏洞是操作系统或应用程序中的编码错误。攻击者经常使用漏洞攻击包来检测设备的操作系统或应用程序中是否存在可用于传送和激活勒索软件的安全漏洞。最典型的案例莫过于2017年WannaCry事件。Windows系统中存在一种名为“永恒之蓝”的已知漏洞，WannaCry利用此漏洞，在企业内网快速扩散。据统计，仅2017年5月12日，就有超过90万台主机被感染。此后，利用漏洞进行扩散的勒索软件开始爆发。3、暴力破解：暴力破解是最简单直接的入侵方式。攻击者使用工具扫描暴露在互联网上的高危端口，然后通过字典攻击入侵。用户系统中如果存在弱口令，则极易被暴力破解渗透。勒索软件最常用的传播方式就是针对远程桌面服务的暴力破解。笔者有一次接到客户电话，说是ERP无法登录，登录服务器后发现，系统字体有变化，看上去怪怪的，再仔细一看，发现被安装了德语的语言包，笔者的心顿时往下一沉，再看各类文件，果然是中了勒索病毒！应该是黑客暴力破解了服务器的管理员密码，看不懂中文，就装了个语言包，然后把勒索病毒手动放到服务器桌面上，不仅如此，可恶的黑客还利用管理员帐户的特权，把群晖存储中的快照全部删了个干净。直接造成客户停工、停产数日，经济损失不可估算。勒索病毒的防御：1、及时更新补丁，无论是系统补丁还是应用程序的补丁，都需要及时更新，虽然微软的更新经常有问题，但是总比中勒索病毒好吧？2、密码复杂，经常更换，网关设备、服务器及电脑的密码要足够复杂，至少10位长，要有大小写英文字母、数字和特殊符号，特殊符号以2-3个为佳，少了不够复杂，多了记不住。3、离线备份，面对日益猖獗的勒索病毒和黑客攻击，定期执行离线备份才是万全之策。4、部署网络版杀毒软件，比如说火绒，就是不错的杀毒软件，在防勒索方面，有一定的功效。5、购买专业的防勒索软件，目前市面上已经有不错的防勒索软件的销售，主要原理是白名单机制，严格控制访问文件的进程，从而杜绝勒索病毒对文件的写入操作。6、硬件防火墙配置防护手段：需要说明的是，硬件防火墙要购买相应的安全授权，不然跟路由器没多大区别，以下操作默认为已经购买并且激活安全授权：IPS、AV、URL。（1）在防火墙上阻止高危端口：创建一个服务组：选择“对象 > 服务 > 服务组”菜单，单击“新建”按钮。在“可选”窗格中输入端口号（135、137、138、139、445、3389），查询对应的服务，并添加到“已选”窗格。创建一条安全策略：选择“策略 > 安全策略 > 安全策略”菜单，单击“新建安全策略”按钮。设置服务为新创建的服务组“High-risk ports”，“动作”为“禁止”。配置完成后，置顶。（2）在防火墙上配置IPS检查签名的缺省动作。选择“对象 > 签名”。在搜索框中输入签名ID，检查其动作。以下漏洞利用类签名的缺省动作应为阻断，如果不是阻断，请记录。签名ID：13830、18822、24550、284600、370090、372110、372130、372280、372290、372300、377950。创建一个IPS配置文件。选择“对象 > 安全配置文件 > 入侵防御”。选中“default”配置文件，单击“复制”。在如下对话框中，修改其名称和描述添加例外签名。在例外签名页签的输入框中，逐个输入以下暴力破解类签名ID，并回车。然后修改其动作为“阻断”（或“阻断 and 隔离源IP”）。步骤1记录的签名ID，也需要添加到例外签名中。签名ID：1000127、1000133、1000255、1000264应用IPS配置文件。选择“策略 > 安全策略 > 安全策略”，编辑已创建的安全策略，引用刚创建的IPS配置文件。（3）在防火墙上配置AV创建一个AV配置文件。选择“对象 > 安全配置文件 > 反病毒”。单击“新建”，在对话框中，调整邮件协议的动作为“宣告”应用AV配置文件。选择“策略 > 安全策略 > 安全策略”，编辑已创建的安全策略，引用刚创建的AV配置文件设置邮件宣告信息。选择“系统 > 配置 > 推送信息配置”，单击“邮件宣告信息”，按照模板编辑宣告信息，并导入。例如：本邮件的附件（%FILE）中含有病毒，请勿打开。其中，%FILE是邮件附件的文件名。当收件人收到带有病毒的邮件时，邮件正文中将带有这条提示信息。（4）在防火墙上阻止恶意URL创建一个URL过滤配置文件。选择“对象 > 安全配置文件 > URL过滤”。单击“新建”，在对话框中，启用“恶意URL检测”。确保“恶意网站”和“其他类”网站的动作为阻断。应用URL过滤配置文件。选择“策略 > 安全策略 > 安全策略”，编辑已创建的安全策略，引用刚创建的URL过滤配置文件。虽说道路千万条，安全第一条，可要是真中毒了，那也没办法，付不起比特币，那也不能直接格式化，还得一步一步来：1、中毒的服务器或者电脑，及时断开网络，以免造成大面积感染；2、数据库文件由于其特殊性，恢复的可能性还是很大的，千万不要放弃；3、全盘杀毒，并且检索出还没被勒索病毒加密的文件，及时拷贝出来；4、勒索病毒加密的样本文件发给专业人员，还有一线希望就不要放弃；5、分析中毒原因，杜绝二次中毒；6、确定数据不可解锁，那留着也没用了，中毒服务器格式化所有硬盘，重装系统，重新部署。——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，如有相同或者不同观点，欢迎评论。本文参与 腾讯云自媒体分享计划，分享自微信公众号。原始发表：2020-08-11，如有侵权请联系 cloudcommunity@tencent.com 删除php比特币tcp/ip区块链数字货币本文分享自 IT狂人日志58446291 微信公众号，前往查看如有侵权，请联系 cloudcommunity@tencent.com 删除。本文参与 腾讯云自媒体分享计划  ，欢迎热爱写作的你一起参与！php比特币tcp/ip区块链数字货币评论登录后参与评论0 条评论热度最新登录 后参与评论推荐阅读LV.关注文章0获赞0目录勒索病毒的类型：勒索病毒的入侵方式：勒索病毒的防御：相关产品与服务区块链云链聚未来，协同无边界。腾讯云区块链作为中国领先的区块链服务平台和技术提供商，致力于构建技术、数据、价值、产业互联互通的区块链基础设施，引领区块链底层技术及行业应用创新，助力传统产业转型升级，推动实体经济与数字经济深度融合。产品介绍2024新春采购节领券社区专栏文章阅读清单互动问答技术沙龙技术视频团队主页腾讯云TI平台活动自媒体分享计划邀请作者入驻自荐上首页技术竞赛资源技术周刊社区标签开发者手册开发者实验室关于社区规范免责声明联系我们友情链接腾讯云开发者扫码关注腾讯云开发者领取腾讯云代金券热门产品域名注册云服务器区块链服务消息队列网络加速云数据库域名解析云存储视频直播热门推荐人脸识别腾讯会议企业云CDN加速视频通话图像分析MySQL 数据库SSL 证书语音识别更多推荐数据安全负载均衡短信文字识别云点播商标注册小程序开发网站监控数据迁移Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 深圳市腾讯计算机系统有限公司 ICP备案/许可证号：粤B2-20090059 深公网安备号 44030502008569腾讯云计算（北京）有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档Copyright © 2013 - 2024 Tencent Cloud.All Rights Reserved. 腾讯云 版权所有登录 后参与评论00

遭遇CryptoWall 4.0勒索病毒应该如何解决？ - 知乎

遭遇CryptoWall 4.0勒索病毒应该如何解决？ - 知乎首页知乎知学堂发现等你来答​切换模式登录/注册互联网网络安全计算机网络计算机病毒遭遇CryptoWall 4.0勒索病毒应该如何解决？{}_~_~+ -$.-_+$|~~_|| =|_$.**+-~| $+|=*.-=| !!! IMPORTANT INFORMATION !!!! …显示全部 ​关注者599被浏览208,509关注问题​写回答​邀请回答​好问题​9 条评论​分享​28 个回答默认排序知乎用户你好，作为一个2013年开始追踪勒索病毒的老师傅来讲，你中的病毒我确定是Cryptowall.以下内容，请仔细阅读，对你衡量支付赎金与文件重要性的取舍非常重要。若有不明白，请评论我，我会第一时间答复您。病毒名称：CryptoWall病毒类型：勒索病毒 （黑客勒索的不是法币，而是一种叫bitcoin的匿名货币）作恶手法：AES或 RSA算法批量加密上百种后缀文件，并且留下勒索信息.危险等级：★★★★★ （最高级别）入侵手段：欺骗性邮件，网站劫持，中小型甚至大型软件劫持，Windows漏洞，密码侵入，潜伏木马等.关于crypt变种cryp1后，卡巴斯基的工具失效。目前没办法恢复文件，而且黑客的支付通道买到的解密工具，同样不能解密，不要浪费你的钱。黑客真是日了狗！！！太没职业道德了。他也许要的不是钱，他要的什么？目前不清楚。目前，除了卡巴斯基，还有趋势也在跟进免费解密软件的开发，请大家不要盲目支付赎金，即使你的文件再重要，也许等等就能破解了。请大家不要急！！时间是最好的私钥！！！趋势可以破解cryptxxx 3.0版(crypt后缀），下载地址http://solutionfile.trendmicro.com/SolutionFile/EN-1114221/RansomwareFileDecryptor 1.0.1569 MUI.zip (知乎bug,请把后面zip部分一起复制到游览器才能下载）关于Crypt后缀病毒在国内爆发后的一些说明，这次真不同。今天 2016年5月13日21：03分，我非常高兴的告诉大家！！！卡巴斯基解密工具可以恢复任何一个版本的Crypt病毒了！！请大家不要悲哀，这世界一样充满爱!!下载地址：http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.exe?_ga=1.69588624.1814211149.1453294100运行后点击SCAN，选择你的Crypt文件 。让他运行即可。！！！！！！！！！这也是我追击那么多年病毒，第一次看到黑客被完虐！！！！狠狠的按在地板上！！！这里，很遗憾的是，用Gmail和憋足的英语，卡巴的工程师竟然听懂了我说的。1：本文写的Cryptowall4.0是Crypt后缀病毒的前身（这个作者及其可能是同一个人），国外媒体把这种Crypt后缀的病毒叫做CryptXXX。2：CryptXXX 有2次变种，1.0版本已经被卡巴斯基破解，而2.0却是黑客对卡巴斯基破解软件的反击升级， 所以卡巴的破解软件对Cryptxxx2.0版本是无效的。3：今天晚上研究了大量国外报道和国内中毒者的反馈，中毒的原因及其可能是国内部分网站被黑客劫持，你如果停留在某个网站挂机，中毒的可能性是非常大的。鉴于北京联通的用户涌现大量Crypt中毒者，我也是醉了，为毛是北京联通，我也不晓得。（GOOGLE关键字cryptxxx,可以查询到大量报道）如果有知乎的同学，在开着某个网页挂机过程中毒的，请在下面回复，并且告知你使用的游览器类型。4：非常遗憾的是，截止5月12日没有任何工具可以恢复你的Crypt（2.0）的文件，即时你向黑客支付赎金买了私钥解密器，也会出现不能恢复文件的可能，为什么我知道？因为本人亲历整个日了狗的过程，损失几千大洋（1.2BTC)。5：查杀Crypt病毒，360一直在微博说ta可以查杀，我不确定，因为我没用过360. （注：查杀和恢复文件冒油任何关系）6：如何防范？ 网页劫持的防范比较难， 这个工具https://www.malwarebytes.org/business/antiexploit/ 是可以的。可惜不符合中国人的免费午餐习惯。2016年5月13日凌晨更新：马蛋啊，多少网站被黑客劫持？文件变成crypt后缀的原因可能是网页被劫持，你却不小心游览了它。看这篇新闻报道吧，小心小心再小心，Website For French Cinema Chain Gets Hacked, Serves CryptXXX Ransomware2016年5月9日更新：卡巴斯基发布免费解密软件，只对Crypt后缀加密文件有效。 Ransomware Decryptor 下载decryption Cryptxxxx tool. 然后找到自己最大的那个加密文件和对应的未被加密的同一个文件，SCAN即可。（BTW：卡巴这个软件只针对5月7日之前的Crypt文件有效，也就是1.0版本，如果你安照上述方法尝试解密显示加密文件和原文件大小不一致，那么你中毒的就是Cryptxxx2.0）。2016年3月19日更新：解决方法：查杀病毒源----解密数据----删除勒索信息。1查杀病毒源建议使用腾讯 比特币敲诈者2解密数据只能向黑客支付赎金购买解密私钥，我们强烈建议不要向黑客支付赎金，这样会让黑客更大范围的扩散病毒，请大家不要支付赎金，即使你的数据极其重要，那么也不要让更多人受害。3删除勒索信息 批处理删除即可（关于数据被加密后无法打开，我建议大家使用R-Studio软件先进行数据恢复到被加密之前，有一定的成功率，但是你坚持支付赎金，是一千倍的支持黑客让更多人受害，所以我提议，所有被勒索者不要支付赎金，避让让更多人受到伤害，如果每个人都不支付赎金，那么黑客或许会放弃。） 更多勒索病毒解决方案，关注lofter:唐平(附：关于加密算法更多详情请到维基百科AES：https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86RSA：https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95）2016年3月14日更新：（查杀和防御）问：勒索病毒查杀哪家强?查杀后需要重装系统么?病毒还会复发么?预防勒索病毒有什么招？答：腾讯管家率先推出勒索病毒查杀，测试有效查杀病毒源：链接：比特币敲诈者查杀后重装系统变得不是那么必要了。即使重装也不排除二次感染。勒索病毒现在基本无孔不入，非法侵入计算机方法太多了，防不胜防。以后大家必须养成良好的习惯，可以有效预防勒索病毒。1：硬件备份，要及时脱机离线。 （建议备份成RAR，并把后缀为非常规的类型，这样就不在加密范围内）2：推荐dropbox云备份。（dropbox有回档功能,国内的云备份暂时没发现此功能.)3：国内外各大杀软基本都在3月5日后更新了针对勒索病毒库，养成更新病毒库的习惯很重要。4：陌生邮件，陌生网站不要勇敢点击。（特别是可执行的邮件附件和网站插件）5：win10系统自带的windows defender 现在已经完美防御勒索病毒。6：win系统服务器不要在裸奔。案例：杭州某公司服务器中勒索病毒后溯源发现，去年10月份已经被肉鸡，mySQL自建权限来去自如，正好今年3月8日服务器要执行网售活动，7号凌晨沦陷，加密了5T多数据，生成了10.3万个勒索信息，还好8号凌晨之前搞定了。后来一问，找上门的原来是国内某信息安全大咖，小弟实感佩服，裸奔栽了跟头，溯源能做到极致的大神，怎么也惹上这事?大咖说“我这是帮朋友弄，不是我的服务器” ，我相信中大型公司数据安全级别惹上这事的可能性很低。 7：公司共享服务器建议设置高安全策略，强密码访问和读写。8 ：个人电脑很多是80后90初感染的，他们是最早一批跟随win系统的人，老司机什么都不怕，但是这次给了很大的打击，都是多年留下的数据，这不要割肉花钱消灾了，我的建议还是我们80后也跟上00后的思路，非OSX不用就是，win系统是出名的漏洞补丁多，有几个人会经常打补丁呢？（以上建议，最主要还是1,2两点，如果你做到了极致的备份，勒索病毒拿你一点办法都没有，查杀出来了病毒源，如果你数据还是重要，还是必须支付赎金购买私钥才能恢复你的被加密文件）9：绿盟科技（上市公司）提出的Locky预防方案，同样对Cryptowall有效：链接：2016年3月24日2016年3月3日更新：（新闻）两位密码专家荣获图灵奖:发明公共密钥密码体系（新浪新闻）密码学科已经第三次斩获计算机科学最高奖项”图灵奖“分别是：2002年 Ronald L. RivestAdi ShamirLeonard M. Adleman 的RSA公钥加密学。2012年 Shafi Goldwasser Silvio Micali 的密码学复杂理论领域。2016年3月3日 Whitfield Diffie Martin Hellman 的现代密码学领域及SHA公钥密码体系，同时他们站在了苹果这边反对政府的做法。2016年2月28日更新：问：如何免费解密一个加密文件？为什么有人解密一个文件还收费？答：黑客很早就提供了这项服务，任何中毒者可以免费解一个低于512KB的任意加密文件。不需要任何费用可以解密1个文件，不要相信任何咨询或者协助类的私人网站，倘若你要解密全部加密文件，你可以选择淘宝担保交易，也可以选择你身边的资深bitcoin老玩家进行此交易。方法：打开黑客提供的网页，找到点击上传，等待几分钟即可。我们试探性的问过黑客免费解一个文件的原因：1）这是为了确认密码服务器可以自动检索到你的私钥。2）确定你的私钥是对应你的全部加密文件的公钥不会出错。3）如果黑客网页被墙了，把一个低于512KB的任意文件发送到追击者邮箱 ransomware@126.com，我们收到后第一时间解密并免费返回给你。2016年2月27日更新：问:如何删除这些残留的勒索信息Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件？答：淘宝店主经过多次测试成功用DOS一次性删除所有以上产生的残留文件。在各个本地盘里面打入bat代码: del /s *recovery*?.txt *recovery*?.html *recovery*? .png /f /s /q /a 2016年2月26日更新：问：勒索病毒的作者是谁？踢开计算机科学，从社会学，经济学，心理学来考量Cryptowall是个什么类型的病毒？答：前方高能，高级猿禁入; 骇客（Cracker）有多可恶？ - 唐平的回答 这个答案我写出来后，非常多高级码农私信我想了解更多东西，我觉得码农不用过多参与此话题的讨论，如果你是POLICE，请私信联系我，我有大于50%的把握能找出这个黑客或者某个黑客，但是需要更多计算机技术及警方资源方面的帮助。2016年2月25日:更新，如果有中毒者的文件后缀全部变成了Micro，mp3，或者各种乱码，这些都是cryptowall的特征，cryptowall 具有加密文件随机生成后缀文件名的功能，目前中毒者有不同加密文件后缀有不同的情况，其实都是cryptowall的作为，但是同样不排除黑客模仿cryptowall 作案 进行无良吸金。RSA-4096的中毒者在每个文件夹下面都有三个同样的文件: Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件内容为：NOT YOUR LANGUAGE? USE https://translate.google.comWhat happened to your files ?All of your files were protected by a strong encryption with RSA-4096.More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem).....等等。2016年2月22日：更新 问：为什么自行购买比特币去支付赎金的风险风险大？答： 1：比特币交易是 你用法币（美元或者人民币）去购买比特币 2：然后你再用比特币支付给黑客。 1所产生的风险是：比特币没有法偿性，交易过程的风险不被法律保护，汇率波动大，交易过程被黑的概率是50%。2：即使你支付了比特币给黑客 同样不能得到私钥的概率是50% ！所有你自行支付赎金的风险接近风险1和风险2的级数:75%, 属于高风险的行为,倘若你是高风险偏好者，完全可以自己去尝试。 2016年2月21日：更新问：为什么过年那段时间支付赎金后5-10天后才拿到私钥？（本人强烈不建议支付赎金给黑客）由于此黑客胆子太大，把LA的医院给黑了，惹毛了FBI，最近非常多中毒者支付赎金后，仍然会碰鼻，过去黑客能沟通，现在黑客只字不提，最难受就是支付赎金后，不给解密私钥和软件，或者只给软件不给私钥，或者只给私钥不给软件。请大家慎重付款，所以暂时关闭支付教程，避免遭受更多损失。新闻链接：The hospital held hostage by hackers2016年1月22日： 问：网上有私钥下载，我可以使用吗？答：黑客 更新 RSA 4096加密的的方案同样我买入了私钥和软件( 这是我本人测试某个中毒者的一个方案）decryption software : 百度网盘 ：http://pan.baidu.com/s/1kTX3zuf私钥：Run decryption software, and enter your personal key: 6CAC0CC4F35B4C6772889D98A891A1192D33412A5ADD6E2EE9DCD2A8206D13EBPress a button!以下来自新浪博客链接： 国内遭遇勒索病毒CryptoWall全过程 转载：。博主明显已经怒了！！ 那么多年存的大量.....TB 文件啊。。可惜了。。日了狗了。。这是一个不知羞耻的病毒！为什么这么说？1：cryptowall 是个RSA2048加密的病毒，公钥用于加密你的文件，而私钥被黑客保存在他的秘密服务器。这是个没招的解密方式，除非你拿到私钥。2：这个私钥，黑客要收取500美金的赎金才能给你，如果在规定时间内，你支付不了！！ 那么抱歉，赎金翻倍。3：如果你放弃支付赎金，那么你的数据将会被永久性加密。（BTW， 黑客在HELP_YOUR_FILE 中 也提到，不要去尝试其他方式去破解密钥。 最终你会无功于返！）最近出现大量中毒者自己支付赎金被骗，所以隐藏，如果实在是被逼无奈，请私信我。*隐藏支付教程**隐藏支付教程**隐藏支付教程**隐藏支付教程**隐藏支付教程*过了3-5个小时后 ， 可以下载解密软件了。！！把decrypt.zip 解压后，得到一个软件。 （软件我就公开给大家算了，不知道你能不能用！）http://pan.baidu.com/s/1c1pmekw 360会报毒，黑客在上面提示也说了会报毒！（目前已经测试针对其他电脑无效）最后打开软件 跑起来了。。。哎！！如果你中毒的是RSA4096的加密，请看2016年1月22日更新。最后一切顺利了，文件解密成功，备份文件到网盘！！妈的！！太坑了！！ 几千大洋就这样没了！！请关注勒索病毒追击者：我只能把自己的经历写在最下面，2016年2月25日更新：最新原创，我和勒索病毒3年里不的不说的二三事。编辑于 2016-06-05 14:13​赞同 407​​221 条评论​分享​收藏​喜欢收起​知乎用户​无解，如果现在突然可以破解公钥加密的话，差不多可以宣布世界马上要崩溃了编辑于 2017-05-13 09:08​赞同 5​​1 条评论​分享​收藏​喜欢