¿Cómo se propagan los virus ransomware? ¿Qué pasó con el ransomware?

El 12 de mayo, un virus ransomware atacó computadoras en todo el mundo, provocando que muchas computadoras quedaran paralizadas. Algunas personas aquí no saben qué es este virus ransomware, cómo se propaga y cómo lidiar con él. él.

Los empleados del hospital dijeron que estaban experimentando ventanas emergentes en las pantallas de sus computadoras. Los piratas informáticos enviaron mensajes indicando que se habían apoderado de los ordenadores del hospital y que debían pagar un rescate para evitar que se borraran todos los archivos.

El mismo ataque se extendió rápidamente, y Italia y Rusia también se vieron afectadas por ataques de ransomware.

¿Quién recibe ransomware? ¿Quién envió el ransomware?

Los editores de virus actualizaron el virus ransomware de febrero de 2017 utilizando Eternal Blue, una herramienta interna de piratería del sistema Windows robada por la Agencia de Seguridad Nacional (NSA) el año pasado. Los usuarios de Windows infectados deben pagar Bitcoin como rescate en un plazo de siete días o los datos de su computadora se eliminarán por completo sin posibilidad de reparación. El ransomware requiere que los usuarios paguen el equivalente a 300 dólares en Bitcoin dentro de los tres días posteriores a la infección, y el "rescate" se duplica después de tres días. Los funcionarios del Servicio Nacional de Salud de Gran Bretaña han anunciado que el ransomware que ataca el sistema se llama WannaCry o Wanna Decryptor.

A nivel nacional, las redes de los campus se han convertido en un punto caliente para los virus ransomware. Alrededor de las 20:00 horas de la tarde del 12 de mayo, algunos estudiantes universitarios nacionales informaron que sus computadoras habían sido atacadas por virus y sus archivos estaban encriptados. El atacante afirma que se requiere un pago de Bitcoin para desbloquearlo. Actualmente las afectadas son la Universidad de Hezhou, la Universidad de Ciencia y Tecnología Electrónica de Guilin, el Instituto de Industria Aeroespacial de Guilin, la Universidad Marítima de Dalian, la Universidad de Shandong, etc. A medida que se acerca la temporada de graduación, Beidou Star recuerda a los estudiantes que hagan una copia de seguridad de su tesis de graduación a tiempo y mejoren la seguridad informática para evitar pérdidas.

Según el análisis de 360 ​​Security Center, el virus ransomware de la red del campus fue propagado por el arma de piratería "Eternal Blue" filtrada por la Agencia de Seguridad Nacional de EE. UU. "Eternal Blue" puede atacar de forma remota el puerto 445 de Windows (intercambio de archivos). Si el sistema no instala el parche lanzado por Microsoft en marzo de este año, no se requiere ninguna operación por parte del usuario mientras la computadora esté encendida. e Internet está conectado, "Eternal Blue" puede ejecutar esto en la computadora

¿Por qué la red del campus es el área más afectada?

Los datos de monitoreo de 360 ​​de los incidentes de ransomware en la red del campus muestran que el virus ONION apareció por primera vez en China, con un promedio de aproximadamente 200 ataques por hora y más de 1000 ataques por hora en el pico nocturno; El virus ransomware WNCRY se lanzó en mayo. Se lanzó un nuevo ataque a nivel mundial en la tarde del día 12 y se extendió rápidamente en las redes de campus nacionales. El número de ataques alcanzó alrededor de 4.000 por hora en el pico de la noche.

Dado que los gusanos se han propagado muchas veces a través del puerto 445 en China, algunos operadores han bloqueado el puerto 445 para usuarios individuales. Sin embargo, la red educativa no tiene tales restricciones y una gran cantidad de máquinas están expuestas al puerto 445, lo que la convierte en el área más afectada para que los delincuentes utilicen armas de piratería de la NSA. Actualmente es la temporada de graduación de colegios y universidades. El virus ransomware ha provocado que las tesis de graduación de algunos recién graduados sean cifradas y manipuladas, lo que afecta directamente su defensa de graduación.

Actualmente, la mayoría de los virus ransomware propagados por "Eternal Blue" son ONION y WNCRY. Los archivos de disco de la máquina víctima serán manipulados con el sufijo correspondiente y diversa información, como imágenes, documentos y videos. , y los paquetes comprimidos no se pueden procesar normalmente. Abrir, el descifrado y la recuperación solo se pueden lograr pagando el rescate.

¿Cómo lidiar con el ransomware?

En respuesta a las armas de piratería de la Agencia de Seguridad Nacional de EE. UU. que explotan las vulnerabilidades del sistema Windows, Microsoft lanzó un parche en marzo de este año. 360 Security Center también ha lanzado la "Herramienta inmune a armas de la NSA" (Herramienta inmune a armas de la NSA: /nsa/nsatool.exe). La herramienta de inmunidad puede cerrar el puerto de vulnerabilidad y evitar que la computadora sea implantada con virus ransomware y otros programas maliciosos. Armas de piratas informáticos de la NSA. Se recomienda que todos utilicen la herramienta de inmunidad del arsenal de la Oficina de Seguridad Nacional 360 para defenderse lo antes posible.

¿Hackear Bitcoin?

Los expertos en seguridad descubrieron que ONION ransomware también se propaga junto con máquinas mineras (que calculan monedas virtuales) y troyanos de control remoto, formando un troyano que integra minería, control remoto y ransomware para llevar a cabo diversas actividades maliciosas. , específicamente eligiendo servidores de alto rendimiento para minar con fines de lucro, se puede decir que hacen todo lo posible. Las computadoras comunes cifrarán archivos para extorsionar, maximizando el valor económico de la máquina víctima.

Según informes de medios extranjeros, las cuentas de Bitcoin vinculadas al ransomware han generado mucho dinero. El pago del rescate también pone de relieve el hecho de que los reguladores no pueden rastrear Bitcoin.