勒索病毒的攻击过程是怎样的?
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
攻击流程
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
通过系统漏洞扫描网络中的计算机
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
入侵一台机器后再通过漏洞局域网横向传
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
弱口令扫描网络中的计算机
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
入侵一台机器再弱口令爆破局域网机器横
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图:
钓鱼邮件攻击逻辑
文章转载至:2018勒索病毒全面分析报告
电脑病毒主要通过什么传播
随着现代计算机技术的发展,黑客们传播安全威胁的手段也日趋多样,下面让我们来看看安全威胁的这些传播途径:互联网,互联网最大的优势就是打破了地域的限制,大大促进了信息的交流。今天,任何人都可以在互联网上浏览信息建立属于自己的网页。但因为互联网的范围太大了,也给我们确定黑客具体位置带来了难度。黑客们将病毒或者恶意程序伪装成免费工具放在网站上让人们下载。或者在网站内添加自动执行的恶意脚本,修改系统注册表项、盗窃用户信息或在用户的计算机内安装恶意程序。黑客们利用网络攻击计算机和公司的服务器,从而导致系统故障、获取计算机的控制权、盗窃信息或把被攻击的计算机变成僵尸网络。自从利用信用卡实现在线购物、拍卖后,网络诈骗行为也变得非常普遍。局域网是指您内部的网络,一般指企业和家庭中的内部网络。在局域网内的计算机可以在网内自由的进行数据的存储、交换和访问。这样,如果局域网中的一台计算机感染了病毒,那么局域网内的其它计算机也将面临巨大的安全威胁。所以,建议局域网的每台计算机上都安装防病毒软件。电子邮件,如果恶意程序要利用电子邮件进行传播,需要被感染的计算机已经安装了邮件客户端,并通讯簿中有一些邮件地址。当用户的计算机被感染后,计算机会在用户不知道的情况下,向用户的朋友和工作伙伴发送病毒邮件。通常情况下,一些正常的商业信息文件也会随染毒邮件一起被发送出去。一般情况下,只要有少数人被感染,就有可能会有成千上万的人收到染毒信件。垃圾邮件也直接威胁着您的计算机,垃圾邮件大量占有邮件服务器的资源,浪费工作时间,恶意填满您的邮箱,从而干扰您正常使用计算机。随着现代计算机技术的发展,黑客们传播安全威胁的手段也日趋多样,下面让我们来看看安全威胁的这些传播途径:互联网,互联网最大的优势就是打破了地域的限制,大大促进了信息的交流。今天,任何人都可以在互联网上浏览信息建立属于自己的网页。但因为互联网的范围太大了,也给我们确定黑客具体位置带来了难度。黑客们将病毒或者恶意程序伪装成免费工具放在网站上让人们下载。或者在网站内添加自动执行的恶意脚本,修改系统注册表项、盗窃用户信息或在用户的计算机内安装恶意程序。黑客们利用网络攻击计算机和公司的服务器,从而导致系统故障、获取计算机的控制权、盗窃信息或把被攻击的计算机变成僵尸网络。自从利用信用卡实现在线购物、拍卖后,网络诈骗行为也变得非常普遍。局域网是指您内部的网络,一般指企业和家庭中的内部网络。在局域网内的计算机可以在网内自由的进行数据的存储、交换和访问。这样,如果局域网中的一台计算机感染了病毒,那么局域网内的其它计算机也将面临巨大的安全威胁。所以,建议局域网的每台计算机上都安装防病毒软件。电子邮件,如果恶意程序要利用电子邮件进行传播,需要被感染的计算机已经安装了邮件客户端,并通讯簿中有一些邮件地址。当用户的计算机被感染后,计算机会在用户不知道的情况下,向用户的朋友和工作伙伴发送病毒邮件。通常情况下,一些正常的商业信息文件也会随染毒邮件一起被发送出去。一般情况下,只要有少数人被感染,就有可能会有成千上万的人收到染毒信件。垃圾邮件也直接威胁着您的计算机,垃圾邮件大量占有邮件服务器的资源,浪费工作时间,恶意填满您的邮箱,从而干扰您正常使用计算机。
盗号的是怎么发病毒过来的
1、破坏型 惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件。 2、密码发送型 可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。 在这里提醒一下,不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中,那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口标题查找密码输入和出确认重新输入窗口,通过按钮标题查找我们应该单击的按钮,通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。此类程序在黑客网站上唾手可得,精通程序设计的人,完全可以自编一个。 3、远程访问型 最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。 程序中用的UDP(User Datagram Protocol,用户报文协议)是因特网上广泛采用的通信协议之一。与TCP协议不同,它是一种非连接的传输协议,没有确认机制,可靠性不如TCP,但它的效率却比TCP高,用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端,只区分发送端和接收端,编程上较为简单,故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。 4.键盘记录木马 这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验,这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项,顾名思义,它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键,下木马的人都知道,从这些按键中他很容易就会得到你的密码等有用信息,甚至是你的信用卡账号哦!当然,对于这种类型的木马,邮件发送功能也是必不可少的。 5.DoS攻击木马 随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。 还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。 6.代理木马 黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。 7.FTP木马 这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。 8.程序杀手木马 上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。 9.反弹端口型木马 木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
黑客是怎样传播病毒的
在网络资源中捆绑,发布资源等方式,或者通过远程控制软件发送木马到本地磁盘进一步控制
黑客怎么给电脑植入病毒木马,黑客是怎么给计算机植入
黑客通常先利用病毒木马程序做伪装免查杀功能,然后绑定应用程序(如游戏、视频、歌曲等)或链接(如钓鱼的红包)或图片发给要入侵的目标让对方运行,还有一种方法是把木马编译成代码直接挂到有权限的网页上面让浏览的人自动安装,然后可以远程控制 视频
运行病毒、伪装office、PDF图标的exe程序等。1)系统漏洞攻击系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至