這幾天,“永恆之藍”勒索病毒無疑是熱點中的熱點,佔據了各大媒體的頭條,也刷爆了我們的朋友圈!
針對這個“大事”,江小弟(zuineijiang0832)第一時間聯繫了總部位於內江的四川效率源信息安全技術股份有限公司,進行了獨家採訪。
勒索病毒肆虐,中國校園網絡成重災區
5月12日晚,全球近百國網民相繼遭受到一款名為WNCRYPT“永恆之藍”的惡意勒索軟件攻擊,受害電腦被黑客“劫持”,大量文件被加密鎖定。中國的企業、醫院、政府機關等單位在這場攻擊中也未能倖免,特別是校園網絡成為重災區。
電腦遭受惡意勒索軟件攻擊
目前,中國各大高校已經進入畢業答辯時間,不少學生電腦裡的Office文件不幸“中招”,無法打開,包括畢業論文、畢業設計和答辯PPT等全被鎖定。中了勒索病毒的學生都十分著急,很多人甚至已經開始連夜重做畢業論文和答辯PPT等。
內江高科技企業出手,成功分析出勒索病毒加密方式
總部位於內江市經開區松山南路253號的四川效率源信息安全技術股份有限公司,是國家高新技術企業和國家科技部重點新產品研製單位,擁有16年的介質存儲技術底層研究和世界領先的數據恢復技術,申請國家專利達350餘項 。
2015年4月,效率源科技建設了數據恢復四川省重點實驗室。實驗室圍繞存儲數據恢復、移動終端數據恢復、圖像與視頻數據恢復課題展開研究,面向國內外開放,注重自主創新、自主研發。實驗室設立學術委員會,由11名全國知名高校、研究機構相關專業權威專家組成。
針對比特幣勒索軟件,該數據恢復重點實驗室搭建仿真破環環境,已經進行了數月的研究和實踐,有著豐富的技術和經驗。2017年4月,就成功研發出了針對數據庫加密的恢復方法,並由效率源科技進行產品化,上市了“勒索BT幣服務器數據庫恢復工具”,成功對感染了Wallet勒索病毒的多家企業進行關鍵數據恢復。
什麼是勒索軟件?
勒索軟件是近年來一種流行的木馬,其通過騷擾、恐嚇甚至採用綁架用戶文件等方式,使用戶數據資產或計算資源無法正常使用,並以此為條件向用戶勒索錢財。目前,中國已經成勒索軟件重災區,每年僅此一項帶來的損失就超過10億元。
四川某市一燃氣公司電腦遭受惡意勒索軟件攻擊
據效率源科技公司總經理樑效寧介紹,2017年以來,效率源科技已經接到公安機關幾十起針對企業進行勒索的案件協助。其中,最近的一次案例發生在今年4月:四川某市一燃氣公司員工上班時發現,公司燃氣系統服務器被勒索軟件病毒感染,所有關鍵數據和信息都被鎖定,導致整個系統無法正常運行。黑客在所有被加密的文件上都留下了他們的郵箱聯繫方式,要求燃氣公司支付4個比特幣(約合人民幣2.8萬元)才肯解除密碼鎖定。
解密成本高,企業面臨兩難選擇
面對勒索軟件的敲詐,企業要麼選擇繳納贖金以求拿回數據,要麼選擇找專業安全廠商解密數據。
企業如果選擇交贖金,還是可能拿不到數據,其原因可能有: 1.黑客暴露,被國外或國內公安抓住; 2.黑客的網站或者服務器被封,無法登錄後臺確認有沒有收到錢;3.黑客的解密服務器出問題,導致數據無法解密;4.病毒加密程序bug,加密文件與解密不完整。
而選擇尋找專業安全廠商解密數據,則面臨高昂的技術服務費。以本案為例,燃氣公司諮詢幾家信息安全廠商之後,得到的技術服務費用都在3萬元以上,甚至已經超出了黑客勒索的成本。
“高手過招,有招便有破”
在接到針對該案的協助調查後,效率源科技在第一時間組織骨幹技術人員進行研究和破解。效率源技術工程師研究發現:本案中的勒索軟件是一種名為Wallet木馬病毒的最新版本(主程序版本2017∕3∕30)。此版本Wallet雖然也是通過服務器傳播,但是入侵者採用了更多樣的手法——不再僅僅是對3389端口進行簡單掃描,而是更有針對性的對服務器進行系統性攻擊。
針對本案中的Wallet勒索軟件,效率源技術工程師使用自主研發的免費軟件——勒索BT幣服務器數據庫恢復工具,成功恢復出數據庫的記錄。
效率源勒索BT幣服務器數據庫恢復工具目前能夠支持對多個版本的木馬病毒進行數據恢復。儘管如此,黑客也在不斷的更新病毒版本,因此,效率源科技科研人員也在持續進行研究,不斷對勒索BT幣服務器數據庫恢復工具進行版本升級,以便更好解決此類問題。
“發在意先,一招制敵”
果不其然,5月12日20時左右,Wallet勒索軟件的升級版——“永恆之藍”勒索病毒爆發,目前已有100多個國家和地區的數萬臺電腦遭該勒索病毒感染,我國部分Windows系列操作系統用戶已經遭到感染。
此次,針對變異的“永恆之藍”,實驗室與效率源聯手組織技術工程師對病毒進行研究和破解,成功分析出此病毒的加密方式,第一時間推出“永恆之藍”比特幣勒索Office數據恢復工 具V1.0。
經研究發現,“永恆之藍”勒索病毒的加密方式主要有兩種,來聽聽效率源科技工程師趙飛的詳細介紹:
大於1.5MB文件的加密方式
對於大於0x180000字節(1.5MB)的文件,是按照正常文件總大小整除3,得到每個間隔塊大小M,將文件分為M、2M大小的兩個間隔塊,每個間隔塊的前512扇區被填0,被加密的512扇區都會被填0,並將加密的多個512扇區寫入到文件尾部。
該類文件數據大多數沒有被加密,特別是數據庫之類的大文件,可以直接使用效率源“勒索BT幣服務器數據庫恢復工具”進行數據庫記錄提取,其準確率在93%以上。
針對特殊格式的文檔,如docx文檔,可進行碎片恢復。目前,效率源科技技術工程師已成功開發出免費工具——“永恆之藍”比特幣勒索Office數據恢復工具V1.0。打開軟件,導入被加密文件,選擇存儲路徑(建議保存在乾淨的移動硬盤或U盤上),點擊數據分析,即可進行數據恢復,操作十分簡便。
來看視頻演示:
http://mp.weixin.qq.com/s?__biz=MzAxODA2NjY5OA==&mid=2652361359&idx=1&sn=a2c47fdce70aab387a62c81461953bb3&chksm=80388eeab74f07fc049ebfc96fe029072f8f0c0300772a4ddb1a514108252c6c9b307ebf5ca6&mpshare=1&scene=23&srcid=0515m4bKRRjx1dWx1RzbtJpN#rd
“真的很簡單呢,論文不用重寫了,謝天謝地~”
效率源是全球第一家發佈專門針對勒索數據庫以及文檔的數據恢復免費產品,而且恢復成功率也是最高的。“永恆之藍”比特幣勒索Office數據恢復工具於5月14日晚上9點過上線,截至5月15日下午2點,有近1500次下載。
備註
效率源 “永恆之藍”比特幣勒索Office數據恢復工具V1.0下載地址:
http://pan.baidu.com/s/1dE8wJS1?qq-pf-to=pcqq.discussion
解壓密碼:www.xlysoft.net
小於1.5MB文件的加密方式
對於小於0x180000(1.5MB)字節的文件,其全部內容都進行了加密,但是在加密小文件時,會先加密,再刪除原文件。因此,如果計算機被加密,對於一些小文件,可以使用專業數據恢復軟件,如效率源DRS數據恢復系統、R-Studio、WinHex等進行數據恢復。
效率源DRS數據恢復系統
需要注意的是:此類文件恢復成功率,會受到文件數量、時間、磁盤操作情況等因素影響。一般來說,中毒後越早恢復,成功的機率越高。
網友直呼“世界需要你們拯救”勒索病毒肆虐全球,內江高科技企業效率源“該出手時就出手”,贏得了不少網友和業內同行的歡呼。
網友@大頭魚說:推出國際版本的,世界需要你們拯救~
對此,效率源的技術人員表示,國外版本語言包裝和一些技術小細節需要修改,大致原理相同,但還是有差異性的,要做一些特殊處理,今天(5月15日)就會推出!!
世界人民有救了!!
防範病毒更為重要
江小弟(zuineijiang0832)就手把手教你:如何設置電腦,防範勒索病毒。
臨時解決方案:
★開啟系統防火牆
★利用系統防火牆高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)
★打開系統自動更新,並檢測更新進行安裝
★360公司發佈的“比特幣勒索病毒”免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe
Win7、Win8、Win10的處理流程
1、打開控制面板-系統與安全-Windows防火牆,點擊左側啟動或關閉Windows防火牆。
2、選擇啟動防火牆,並點擊確定。
3、點擊高級設置。
4、點擊入站規則,新建規則。
5、選擇端口,下一步。
6、特定本地端口,輸入445,下一步。
7、選擇阻止連接,下一步。
8、配置文件,全選,下一步。
9、名稱,可以任意輸入,完成即可。
XP系統的處理流程
1、依次打開控制面板,安全中心,Windows防火牆,選擇啟用。
net stop rdr
net stop srv
net stop netbt
2、點擊開始,運行,輸入cmd,確定執行上面三條命令。
3、建議停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統,請儘快升級到高版本系統。
重要的事情再說一遍
效率源 “永恆之藍”比特幣勒索Office數據恢復工具V1.0下載地址:
http://pan.baidu.com/s/1dE8wJS1?qq-pf-to=pcqq.discussion
解壓密碼:www.xlysoft.net
小編聯繫了內江市委網信辦、市公安局網安支隊、市教育局,截止發稿時,均暫未收到市內用戶遭遇勒索病毒的報案和反映。
您“中招”了麼?請在留言區留言。