韩国黑客勒索病毒（韩国 黑客）

勒索病毒是否乃朝鲜黑客捣鬼:朝鲜官员这么回应的

此前，有美国媒体报道称，根据一些情报官员和安全专家以及一些新的数字线索表明，此次大规模勒索软件全球性攻击导致世界各地各行业电脑系统瘫痪的嫌疑人，可能是与朝鲜有关联的黑客。

不过，据外媒报道，朝鲜朝鲜常驻联合国副代表金利龙（KimInRyong）在近日举行的联合国新闻发布会上表示，将WannaCry蠕虫勒索软件网络攻击跟朝鲜联系起来非常可笑。

有急着在新闻发布会上向金利龙提问，朝鲜方面是否参与了此次波及全球的WannaCry攻击以及对监控违反制裁行为的联合国专家的攻击。金利龙否认了这一说法，他说：把网络攻击跟朝鲜民主主义人民共和国联系起来是非常可笑的。他补充说道：““每当有奇怪的事情发生，美国和其他敌对力量就根据其刻板印象，展开抹黑朝鲜的活动。”

而据赛门铁克和卡巴斯基的安全专家近日称：WannaCry勒索软件早期版本中使用的一些代码也出现在了Lazarus小组所使用的攻击软件上面，而很多公司研究人员认为，Lazaus是朝鲜的黑客小组。

此外，意大利驻联合国代表团发言人兼联合国安理会朝鲜制裁委员会主席也声称，负责监控违反制裁行为的联合国专家组的一名成员遭到了网络攻击。

个人认为，其实此次蠕虫勒索病毒的爆发到目前为止都没有一个特别好的破解之法，能够将被勒索病毒加密的文件强行解密或者恢复，因此当务之急应该是全世界安全人士联合起来开发出相应的破解工具。

另外，据最新资料显示，阿里云安全团队于本月20日已经对用户开放了勒索病毒“一键解密和修复”工具，能够在遭遇勒索后尚未重启操作系统的前提下帮助用户恢复已被WannaCry勒索病毒加密的文件，有兴趣的朋友可以自行下载测试。

而黑客组织织“影子经纪人”日前再度发布警告声称，将会在6月份披露等更多的黑客工具，并将攻击范围延伸至Windows10、路由器、浏览器甚至是手机。因此，目前全球安全网络形势是十分严峻的，如果这一声明成真的话，那么未来还未对病毒设防的用户势必会遭遇更大的损失。

当然，面对未知的病毒我们其实做不了什么，如同人类病毒一样，在未曾爆发之前我们也无能为力，只能在其爆发后对其进行研究分析，再得到破解之法。

因此，在这里笔者建议，请各位用户务必尽量保持自己的电脑操作系统、手机操作系统、路由器等终端的更新，时刻注意对已知的漏洞打上补丁，防患于未然！

原创声明：本文(不含图片)由文栋说自媒体网站原创，享有独立版权，如需转载敬请带上本段版权，本站对一切转载不保留版权的行为追究法律责任！

wannacry勒索病毒是怎么传播的

WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。

被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。

APT黑客组织为何又盯上数字货币？

近日，腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织Lazarus再度活跃，利用最新Flash漏洞CVE-2018-4878频繁发起攻击，通过传播暗藏FALLCHILL远程控制木马的恶意doc文档进行鱼叉攻击，对象主要为国外数字货币交易所。

从Adobe漏洞致谢公告来看，CVE-2018-4878漏洞的野外攻击样本最早是由韩国计算机应急响应小组（KR-CERT）发现。而KR-CERT也表示，来自朝鲜的黑客组织已经成功利用这个0Day 漏洞发起攻击，与Lazarus主要攻击目标一致，进一步验证了Lazarus组织就是本次攻击活动的发起者。

虽然该攻击目前尚未在我国发现，但国内用户仍不可放松警惕。腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒政府、企业等用户，切勿随意打开来历不明的邮件附件，同时建议安装腾讯电脑管家等安全软件，可有效抵御不法分子的攻击。

《腾讯安全2017年度互联网安全报告》指出，2018年由数字加密货币而起的犯罪活动或将呈现高发态势。据国外安全公司的调查显示，本次发起攻击的Lazarus组织与2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。2017年席卷全球的“WannaCry”勒索病毒安全事件也被怀疑是该组织所为。

据公开资料介绍，Lazarus（T-APT-15）组织是来自朝鲜的APT组织，该组织长期对韩国、美国进行渗透攻击，此外还对全球的金融机构进行攻击。尽管Lazarus组织的攻击活动不断地被披露，但是该组织从未停止攻击的脚步，同时还把攻击目标不断扩大，包括能源、军事、政府等部门专项金融机构，尤其是数字货币交易所等，该组织堪称全球金融机构的最大威胁。

Lazarus组织擅长使用邮件钓鱼进行鱼叉攻击，同时武器库强大，具有使用0day漏洞发起攻击的能力。本次攻击依然采用该组织最常用的鱼叉攻击，通过内嵌恶意文档对目标进行攻击。不法分子十分狡猾，将邮件文档伪装成协议、最流行的加密货币交易所的安全分析、IT安全等热点内容，具有极强的迷惑性和诱惑性，以此吸引用户下载运行。

腾讯安全反病毒实验室经过分析溯源发现，该恶意文档卸载的载荷为FALLCHILL远程控制木马最新变种。FALLCHILL木马是朝鲜的黑客组织Lazarus开发并使用的木马，最早出现于2017年初。该木马能够实现远程文件操作、远程进程操作、远程信息获取、自卸载等各种功能，用户一旦中招，电脑重要信息将面临极大威胁。

黑客勒索病毒何时解除

勒索病毒是一种蠕虫病毒，只有高发期、低发期或隐藏期，无法全部彻底解除。

现在勒索病毒已经出现新变种。如今网络黑客商业化已经非常成熟了，造枪（制造）、卖枪（贩卖）、拿箱子（购买实施者）、挂马（传播）、分销、变现，“一条龙”下环环相扣，每天在全球黑产网络中流转的交易额数以亿元计算。

国内遭勒索病毒袭击的重灾区是校园网，相比之下，英国遭到攻击的医院已经陷入了一片混乱。据英国镜报等报道，受病毒影响的40家医院所有IT系统、电话系统、患者管理系统等目前通通暂停。这意味着所有系统都处于离线状态，医院根本无法接听来电。候诊的急症病人会根据医生的安排，转移到其他地方，且至少一家医院被迫关闭。

报道称，目前已经发生了超过45000次攻击，主要发生在俄罗斯，已经至少有10笔每笔额度300美元左右的赎金被打到黑客提供的比特币账户。

360安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享)，如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。　

由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。

360针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

至此，幕后开发者还未找到，攻击还在持续中......

勒索病毒的攻击过程是怎样的？

勒索病毒工作原理：

勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件，并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式，向受害电脑或服务器植入病毒，加密硬盘上的文档乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将无法恢复。

1、针对个人用户常见的攻击方式

通过用户浏览网页下载勒索病毒，攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等，诱导受害者下载运行病毒，运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示：

攻击流程

2、针对企业用户常见的攻击方式

勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中，钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。

1）系统漏洞攻击

系统漏洞是指操作系统在逻辑设计上的缺陷或错误，不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。同个人用户一样，企业用户也会受到系统漏洞攻击，由于企业局域网中机器众多，更新补丁费时费力，有时还需要中断业务，因此企业用户不太及时更新补丁，给系统造成严重的威胁，攻击者可以通过漏洞植入病毒，并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。

攻击者利用系统漏洞主要有以下两种方式，一种是通过系统漏洞扫描互联网中的机器，发送漏洞攻击数据包，入侵机器植入后门，然后上传运行勒索病毒。

通过系统漏洞扫描网络中的计算机

另外一种是通过钓鱼邮件、弱口令等其他方式，入侵连接了互联网的一台机器，然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离， 一台连接了外网的机器被入侵，内网中存在漏洞的机器也将受到影响。

入侵一台机器后再通过漏洞局域网横向传

网上有大量的漏洞攻击工具，尤其是武器级别的NSA方程式组织工具的泄露，给网络安全造成了巨大的影响，被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具，封装为图形化一键自动攻击工具，进一步降低了攻击的门槛。

2）远程访问弱口令攻击

由于企业机器很多需要远程维护，所以很多机器都开启了远程访问功能。如果密码过于简单，就会给攻击者可乘之机。很多用户存在侥幸心理，总觉得网络上的机器这么多，自己被攻击的概率很低，然而事实上，在全世界范围内，成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令，被不同的攻击者攻击，植入了多种病毒。这个病毒还没删除，又中了新病毒，导致机器卡顿，文件被加密。

通过弱口令攻击和漏洞攻击类似，只不过通过弱口令攻击使用的是暴力破解，尝试字典中的账号密码来扫描互联网中的设备。

弱口令扫描网络中的计算机

通过弱口令攻击还有另一种方式，一台连接外网的机器被入侵，通过弱口令攻击内网中的机器。

入侵一台机器再弱口令爆破局域网机器横

3）钓鱼邮件攻击

企业用户也会受到钓鱼邮件攻击，相对个人用户，由于企业用户使用邮件频率较高，业务需要不得不打开很多邮件，而一旦打开的附件中含有病毒，就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图：

钓鱼邮件攻击逻辑

文章转载至：2018勒索病毒全面分析报告

makop勒索病毒会在局域网内扩散吗

makop勒索病毒会在局域网内扩散。

makop勒索病毒根据腾讯反病毒实验室威胁情报数据库中查询得知，此文件第一次出现的时间是2017年5月9号。WannaCry的传播方式，最早很可能是通过挂马的方式进行传播。

makop勒索病毒正是因为黑客更换了传播的武器库，挑选了泄露的MS17-010漏洞，才造成这次大规模的爆发。当有其他更具杀伤力的武器时，黑客也一定会第一时间利用。

makop勒索病毒样本运行流程：

makop勒索病毒该样本主要特点是通过自身的解密函数解密回连服务器地址，通过HTTP GET 请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL (即勒索者主体)。

该DLL样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成密钥，进而实现对指定类型的文件进行加密，即无需联网下载密钥即可实现对文件加密。

在沙箱分析过程中发现了该样本大量的反调试行为，用于对抗调试器的分析，增加了调试和分析的难度。