¿Cómo se propaga el ransomware? ¿Qué está pasando con el virus ransomware?
Los empleados del hospital dijeron que aparecían ventanas emergentes en las pantallas de sus computadoras. El hacker envió un mensaje diciendo que se habían apoderado de la computadora del hospital y que se debía pagar un rescate para evitar que se borraran todos los archivos.
El mismo ataque se propagó rápidamente e Italia y Rusia se vieron afectadas sucesivamente por ataques de ransomware.
¿Quién creó el ransomware? ¿Quién envió el virus ransomware?
El editor del virus utilizó la herramienta de hackeo de Windows "Eternal Blue" diseñada por la Agencia de Seguridad Nacional (NSA) que fue robada el año pasado para actualizar un ransomware en 2065438 en febrero de 2007. Los usuarios de Windows infectados deben pagar Bitcoin como rescate en un plazo de 7 días; de lo contrario, los datos de la computadora se eliminarán por completo y no podrán repararse. El ransomware requiere que los usuarios paguen el equivalente a 300 dólares en Bitcoin dentro de los tres días posteriores a la infección, y el rescate se duplica después de tres días. Los funcionarios del NHS anunciaron que el ransomware que ataca el sistema se llama WannaCry o Wanna Decryptor.
En China, las redes de los campus se han convertido en las zonas más afectadas por los virus ransomware.
En China, las redes universitarias se han convertido en un lugar donde el ransomware prolifera. Alrededor de las 20:00 horas de la tarde del 20 de mayo de 2012, algunos estudiantes universitarios nacionales informaron que sus computadoras habían sido atacadas por virus y sus archivos estaban encriptados. El atacante dijo que tuvo que pagar Bitcoin para desbloquearlo. Actualmente las afectadas son la Universidad de Hezhou, la Universidad de Ciencia y Tecnología Electrónica de Guilin, el Instituto de Industria Aeroespacial de Guilin, la Universidad Marítima de Dalian y la Universidad de Shandong. Durante la temporada de graduación, Beichen recuerda a los estudiantes universitarios que respalden su tesis de graduación a tiempo para mejorar la seguridad informática y evitar pérdidas.
Según el análisis de 360 Security Center, el virus ransomware de la red del campus se propagó mediante el arma de piratería "Eternal Blue" filtrada por la NSA. "EternalBlue" puede atacar remotamente el puerto 445 de Windows (documentación * * *). Si el parche de Microsoft de marzo de este año no está instalado en el sistema, los usuarios no necesitan realizar ninguna acción. Mientras la computadora esté encendida, Eternal Blue puede ejecutar código arbitrario en la computadora e implantar programas maliciosos como ransomware.
¿Por qué la red de campus se ha convertido en la zona más afectada?
Los datos de monitoreo de eventos de ransomware de 360 Campus Network muestran que el virus cebolla apareció por primera vez en China, con un promedio de alrededor de 200 ataques por hora, alcanzando más de 1000 ataques por hora durante el pico de la tarde; El virus ransomware WNCRY se lanzó en mayo de 2012. Por la tarde surgieron nuevos ataques globales que se extendieron rápidamente por las redes universitarias de China, con alrededor de 4.000 ataques por hora durante las horas pico de la tarde.
Debido a que se han propagado muchos gusanos a través del puerto 445 en China, algunos operadores han bloqueado el puerto 445 para usuarios individuales. Pero la red educativa no tiene esta restricción. Hay una gran cantidad de máquinas con el puerto 445 expuesto, por lo que se han convertido en el área más afectada para que los delincuentes utilicen armas de piratería de la NSA. Es la temporada de graduación de los colegios y universidades, y el virus ransomware ha provocado que los trabajos de algunos graduados recientes sean cifrados y manipulados, lo que afecta directamente sus defensas de graduación.
El ransomware que actualmente propaga "Eternal Blue" está formado principalmente por las familias Onion y WNCRY. Los archivos de disco de la máquina víctima serán manipulados con el sufijo correspondiente y diversos materiales, como imágenes, documentos, videos y paquetes comprimidos, no se podrán abrir normalmente. Sólo pagando un rescate se podrán descifrar y recuperar.
¿Cómo lidiar con el ransomware?
Microsoft lanzó un parche en marzo de este año para las vulnerabilidades del sistema Windows explotadas por las armas de piratería de la NSA. Anteriormente, 360 Security Center también lanzó la "Herramienta inmune del Arsenal de la NSA". (Herramienta inmune del Arsenal de la NSA: /nsa/nsatool.exe) La herramienta inmune puede cerrar puertos explotados y evitar que los piratas informáticos de la NSA implanten ransomware y otros programas maliciosos en las computadoras. Se recomienda que los usuarios de computadoras utilicen 360 "NSA Arsenal Immune Tool" para defenderse lo antes posible.
¿Cadena de producción negra de Bitcoin?
Los expertos en seguridad han descubierto que el virus ransomware Onion también puede propagarse junto con troyanos de minería (computación para generar moneda virtual) y control remoto, formando un troyano que integra minería, control remoto, extorsión y otros comportamientos maliciosos. .Virus "paquete de regalo". Los servidores de alto rendimiento se seleccionan especialmente para extraer dinero con fines de lucro. Las computadoras comunes cifran archivos para extorsionar, maximizando el valor económico de la máquina víctima.
Según informes de medios extranjeros, las cuentas de Bitcoin vinculadas al ransomware generaron mucho dinero. Los pagos exorbitantes también resaltan el hecho de que las autoridades reguladoras no pueden rastrear Bitcoin.