¿Qué causa el ransomware?

¿Cuál es la causa fundamental del brote global de ransomware?

Los delincuentes quieren ganar dinero

¿Qué es el ransomware?

Primero de todo, esta vez el virus solo bloquea todos sus archivos mediante cifrado y no robará sus cosas

En segundo lugar, consulte lo siguiente sobre este virus:

Esta vez, el brote global de El ransomware aprovecha las vulnerabilidades de los sistemas Windows y se propaga a través del puerto 445.

En otras palabras, si tienes un sistema Windows sin parches con el puerto 445 abierto, tienes muchas posibilidades de infectarte siempre que estés conectado a Internet.

1. Si tiene un sistema Mac, un sistema Linux y un sistema Win10 actualizado (Win10 fue parcheado para esta vulnerabilidad ya en marzo de este año), no se preocupe si no obtendrá golpear.

2. Si estás usando otro sistema, pero el tuyo es una máquina doméstica y el puerto 445 ha sido cerrado y actualizado, no te preocupes porque no ganarás.

3. Si está utilizando otro sistema y no ha desactivado el puerto 445 y no ha aplicado los parches de actualización del sistema, existe una alta probabilidad de que se infecte.

¿Cuándo apareció el virus ransomware en mi país?

Pruebe la protección antivirus de Tencent Computer Manager A partir de la versión 4.5, se introduce el motor antivirus local líder en el mundo para mejorar enormemente. Capacidad de detección de troyanos. Después de instalar Computer Manager, el modo de motor dual se activa de forma predeterminada. Puede decidir si desea actualizar el motor dual cuando esté eliminando virus. Si lo desea, puede experimentar fácilmente las poderosas capacidades de detección y eliminación de motor dual. de troyanos.

Puede encontrar algunos métodos de operación en el área de motor dual debajo de la interfaz principal de Computer Manager Trojan Killer. Puede activar o desactivar libremente el motor dual y también puede verificar manualmente la base de datos de virus. actualizaciones.

Por qué está infectado con ransomware

Una vez que el archivo ransomware ingresa al área local, se ejecutará y eliminará automáticamente las muestras de ransomware para evitar la detección y el análisis. A continuación, el ransomware utiliza el acceso local a Internet para conectarse al servidor C&C del hacker, luego carga información local y descarga la clave privada y la clave pública cifradas, y utiliza la clave privada y la clave pública para cifrar el archivo. Es casi imposible que alguien que no sea el propio desarrollador del virus pueda descifrarlo. Una vez completado el cifrado, se modificará el fondo de pantalla y se generará un archivo de nota de rescate en una ubicación obvia, como el escritorio, para guiar al usuario a pagar el rescate. Además, los tipos de variantes son muy rápidos y inmunes al software antivirus convencional. Los ejemplos de ataques son principalmente exe, js, wsf, vbe y otros tipos, lo que supone un gran desafío para los productos de seguridad que dependen de la detección de firmas.

Para evitar que los usuarios se infecten con este tipo de virus, podemos partir de dos aspectos: tecnología de seguridad y gestión de la seguridad:

1. No abrir correos electrónicos de desconocidos o fuentes desconocidas y evitar ataques de archivos adjuntos de correo electrónico;

2. Intente no hacer clic en el mensaje de ejecución de la macro de Office para evitar la infección de virus desde los componentes de Office;

3. Descargue el software requerido desde el sitio web normal (sitio web oficial), no haga doble clic en Abrir .js, .vbs y otros archivos con sufijos

4. Actualice Sangfor NGAF al último antivirus y otras bibliotecas de firmas de seguridad

5. Actualice el software antivirus a la última base de datos de virus del software antivirus para evitar ataques de muestras de virus existentes;

6. Haga copias de seguridad periódicas de los datos y archivos importantes en la computadora fuera de sitio, para que puedan ser restaurados en caso de un virus.

El brote global de virus ransomware, cómo prevenir y lidiar con el ransomware

Cuidado con PI, este virus es demasiado débil, no es necesario en absoluto. Simplemente formatee todo el disco DEF por él.

¿Quién creó el ransomware?

Se dice que el ransomware fue filtrado de la NSA (Agencia de Seguridad Nacional de EE. UU.) El año pasado, los piratas informáticos obtuvieron múltiples herramientas de piratería de la NSA. Existen múltiples vulnerabilidades en el sistema Windows, incluido Eternal Blue. El virus ransomware utiliza esta vulnerabilidad para atacar.

En la actualidad, esta organización de hackers es relativamente misteriosa y su líder es claramente el "Shadow Broker".

Cómo lidiar con el terrible "virus ransomware"

Se recomienda que el cartel descargue e instale Tencent Computer Manager para realizar el antivirus.

Reinicie. la computadora y presione F8 para ingresar al modo seguro - abra Tencent Computer Manager - Antivirus - Escaneo completo - Troyanos rebeldes - Escaneo profundo - Simplemente reinicie la computadora.

Tencent Computer Manager es el primero en China en adoptar el " Software antivirus profesional central de 4+1" con motor antivirus "central",

que utiliza el motor antivirus de segunda generación de desarrollo propio de Tencent, "Eagle Eye",

que consume menos recursos y puede erradicar virus según la tecnología de ejecución virtual de la CPU. Los virus resistentes

mejoran en gran medida las capacidades de detección y eliminación en profundidad.

¿Quién creó el virus ransomware y quién lo inventó?

Creo que has leído muchos artículos estos días. En resumen, este gusano ransomware ataca a los usuarios apuntando a una vulnerabilidad en Windows, implementa un cifrado de alta seguridad en documentos, imágenes, etc. en la computadora y exige un rescate pagado en Bitcoin por parte del usuario; de lo contrario, será "revocado" después. siete días, los datos no se pueden recuperar incluso si se paga el rescate. El método de cifrado es muy complejo y cada ordenador tiene un número de serie de cifrado diferente. Con los medios técnicos actuales, es casi "imposible" descifrarlo.

En el mundo actual de interconexión de redes globales, las víctimas, por supuesto, no se limitan a China.

Según las estadísticas del 360 Threat Intelligence Center, desde el brote del día 12, más de 100.000 organizaciones e instituciones en casi 100 países de todo el mundo se han visto comprometidas, incluidas 1.600 organizaciones estadounidenses, 11.200 rusas organizaciones y China más de 29.000 IP fueron infectadas. En España, los sistemas de red de muchas empresas, entre ellas el gigante de las telecomunicaciones Telefónica, la compañía eléctrica Iberdrola y el proveedor de energía Gas Natural, Portugal Telecom, el gigante del transporte estadounidense FedEx, un gobierno local de Suecia y el segundo mayor operador de comunicaciones móviles de Rusia, Megafon, quedaron expuestos; estar bajo ataque. Según Europol, este ataque ha afectado a 150 países y regiones. A medida que la versión del virus se actualiza y se repite, el número específico puede aumentar.

Entonces, aquí viene la pregunta: ¿Quién hizo esto? !

Mano Negra

Sin respuesta.

En palabras de Zheng Wenbin, jefe del equipo de seguridad de 360 ​​Core, rastrear el origen del ransomware siempre ha sido un problema difícil. El FBI ofreció una vez una recompensa de 3 millones de dólares estadounidenses para encontrar al autor del virus ransomware, pero fue en vano. Actualmente, no se ha encontrado ningún país en el mundo que identifique al autor del virus ransomware. Sin embargo, a juzgar por el método de extorsión, después de que la computadora se infecta con el virus, aparecerán mensajes de extorsión en quince idiomas, incluido el chino, y todo el pago se realiza a través de Bitcoin y redes anónimas que son extremadamente difíciles de rastrear. Es muy probable que esté bajo la cadena de la industria negra.

El ransomware es un nuevo modelo de virus que recién comenzó a aparecer en 2013. Desde 2016, este virus ha entrado en un período de brote. Hasta ahora, más de 100 virus ransomware se han beneficiado de este modelo de comportamiento. Por ejemplo, el año pasado, una variante de la familia de virus CryptoWall recibió un rescate de 2.300 millones. En los últimos años, han aparecido diferentes tipos de virus ransomware en ordenadores Apple, teléfonos Android y iPhone.

Aunque aún no se ha encontrado al perpetrador, las herramientas que utilizó apuntan claramente a una agencia: la NSA (Agencia de Seguridad Nacional), la Agencia de Seguridad Nacional de Estados Unidos. Esta agencia, también conocida como Servicio Secreto Nacional, está afiliada al Departamento de Defensa de EE. UU. y es el departamento de inteligencia más grande entre las agencias gubernamentales de EE. UU. Es responsable de recopilar y analizar datos de comunicaciones nacionales y extranjeras. El "Eternal Blue" utilizado por los piratas informáticos es un arma cibernética desarrollada por la NSA para atacar la vulnerabilidad Microsoft MS17-010.

La cuestión es la siguiente: la propia NSA posee una gran cantidad de armas cibernéticas desarrolladas, pero en junio de 2013, la organización de piratas informáticos "Shadow Brokers" (ShadowBreakers) robó más de una docena de armas, incluido "Eternal Blue". ) Robar.

En marzo de este año, Microsoft lanzó un parche para esta vulnerabilidad. Sin embargo, en primer lugar, algunos usuarios no tenían la costumbre de aplicar el parche a tiempo y, en segundo lugar, todavía hay muchos usuarios en todo el mundo que utilizan Windows XP. , etc., que han dejado de actualizar los servicios para versiones inferiores, no se pueden obtener parches, provocando así una amplia difusión en todo el mundo.

Junto con las características de escaneo constante de los "gusanos", es fácil llevar a cabo infecciones repetidas en Internet internacional y en las intranets de campus, empresas y agencias gubernamentales sin interrupción.

Surge otra pregunta: ¿Por qué la NSA conoció las vulnerabilidades de Microsoft y creó armas cibernéticas especializadas, y luego algunas de estas armas cayeron en manos de piratas informáticos?

NSA

Para ser honesto, como uno de los sistemas operativos, Windows se compone de cientos de millones de líneas de código. Es imposible que una persona tenga la última palabra. la relación lógica entre ellos, por lo que aparecen lagunas que son difíciles de eliminar. Y Windows es el sistema operativo más utilizado en el mundo, por lo que es "normal" que los piratas informáticos estudien las vulnerabilidades y las exploten para obtener beneficios.

Pero como Agencia de Seguridad Nacional de Estados Unidos, solo se centra en las vulnerabilidades de este sistema, y ​​también se especializa en armas.

De hecho, la propia Microsoft no sabía que la vulnerabilidad existía antes de que el grupo de hackers la expusiera. En otras palabras, sólo la NSA sabe que la vulnerabilidad existe, y sólo ellos saben desde cuándo la conocen. Según los expertos en seguridad de redes de la isla Xiake, es muy probable que la NSA conozca esta vulnerabilidad desde hace mucho tiempo... >>

¿Podría ser la causa del virus ransomware Money Making Treasure?

Estos dos no están relacionados, ¿verdad?

¿Qué esclarecimiento puede traernos el virus ransomware WannaCry?

El reciente virus ransomware WannaCry ha arrasado el mundo con un impulso feroz y muchas instituciones y empresas se han visto gravemente afectadas.

Problemas relacionados con muchas empresas o instituciones también han quedado al descubierto en China. Incluso PetroChina ha sufrido más de 20.000 gasolineras atacadas.

¿Por qué este virus ransomware WannaCry es capaz de causar problemas en todo el mundo de forma tan descarada? ¿Quién debería ser responsable de esto?

Todo comienza con la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. Inicialmente, la NSA desarrolló un conjunto de herramientas de piratería "Eternal Blue" en nombre de las necesidades de seguridad nacional. ayudar a la Oficina de Seguridad Nacional en su propio trabajo.

"Eternal Blue" contiene múltiples herramientas de explotación de vulnerabilidades de Windows. Siempre que el servidor de Windows abra uno de los puertos 139, 445, etc., puede ser pirateado. Esto puede ayudar a la NSA a obtener información útil. información necesaria.

Pero lo terrible es que este kit de herramientas para piratas informáticos de la NSA fue robado un día... El kit de herramientas que cayó en manos de los piratas informáticos, naturalmente, no se utilizará con fines benéficos, pero, naturalmente, se utilizará para chantajear y obtener ganancias. .

Dado que la NSA no ha informado a Microsoft de las vulnerabilidades relevantes, no fue hasta marzo de este año que Microsoft comenzó a implementar parches de seguridad relevantes para todas las versiones de Windows en todas las plataformas, pero ya era demasiado tarde.

El virus se ha extendido como un gusano por Internet a través del puerto 445, y han surgido nuevas variantes, que ha infectado más de 200.000 PC en más de 150 países.

En la PC infectada, los datos de los archivos importantes se cifrarán directamente y los archivos originales se eliminarán. El ransomware pedirá al propietario de la PC una cantidad fija de Bitcoin como recompensa; de lo contrario, estos archivos cifrados no se enviarán. ya no podrá abrirse (incluso si se utilizara la computadora más poderosa del mundo para descifrarlo, tomaría decenas de miles de años).

Reflexiones de usuarios individuales: las personas inteligentes sufrirán si juegan demasiado

Antes del brote a gran escala del virus ransomware WannaCry, Microsoft ya había implementado parches de seguridad relevantes en marzo de este año. año, e incluso Windows XP y Windows Server 2003, que hace tiempo que finalizaron sus ciclos de vida, han recibido actualizaciones, entonces, ¿por qué tantos usuarios siguen siendo atacados?

La razón es muy simple, de hecho, estas PC ya han desactivado las actualizaciones automáticas del sistema y, a menudo, hacen la vista gorda ante las indicaciones de actualización del sistema. El área más afectada por este virus ransomware es Windows 7, que es también el sistema más utilizado por quienes se consideran "maestros de la informática". Windows 10 es el sistema menos afectado, porque las actualizaciones del sistema Win10 no se pueden desactivar mediante métodos convencionales y solo se pueden desactivar mediante la política de grupo, lo que significa que la mayoría de los usuarios de Win10 siempre han mantenido actualizaciones automáticas.

A los ojos de muchas personas, siempre que mantenga buenos hábitos de Internet y uso de la computadora, puede garantizar la seguridad de su computadora contra intrusiones. La actualización del sistema es una "conspiración de los fabricantes de sistemas operativos". "

Pero lo que la gente no sabe es que los verdaderos piratas informáticos tienen cientos de formas de convertir su computadora en un juguete en sus manos, y la precaución de los usuarios comunes no tiene ningún sentido.

Hay otra voz que es predominante en Internet, y es: "Yo, un pequeño plebeyo, tengo algo digno de ser pirateado por otros. Pero el caso es que nunca se sabe dónde está el fondo". línea de hackers es. Aunque esta vez WannaCry no atacó computadoras en entornos de redes domésticas, los usuarios de computadoras que estaban acostumbrados a dejarlo pasar en las oficinas de la empresa aún se vieron afectados. Si el informe de trabajo de alguien es encriptado y chantajeado, el jefe no debería culpar a los demás.

Nadie está absolutamente seguro y definitivamente nadie será extrañado. Fue solo una casualidad en el pasado. No creas que usar la política de grupo para desactivar las actualizaciones automáticas de Win10 es increíble. Sinceramente.

Reflexión de la empresa: Tarde o temprano algo sucederá si los empleados preparan sus propios sistemas

En segundo lugar, esta vez a nivel corporativo, empresas e instituciones, incluido el ***. departamento, son sin duda las áreas más afectadas por los virus ransomware, la razón principal es que la versión del sistema está desactualizada, la gestión de seguridad es negligente o incluso el uso de sistemas pirateados.

Por diversos motivos, las versiones de los sistemas operativos internos de muchas empresas no han seguido el ritmo y siguen utilizando versiones con bajo rendimiento de seguridad o incluso aquellas que han finalizado su ciclo de vida (como Windows XP). Dado que este tipo de sistema ha perdido las actualizaciones de seguridad de Microsoft, es la línea de defensa más fácil para todos los virus. Varias vulnerabilidades de seguridad han abierto la puerta a nuevos virus.

Sin embargo, esta vez Microsoft impulsó parches de seguridad relevantes para sistemas operativos fuera de servicio como Windows XP y Windows Server 2003, pero aún así fue víctima del ataque. Así es como toda la empresa o institución internamente. ....>>