1.什么是勒索比特币勒索病毒
2.病毒分析Babuk勒索家族babyk后缀系列分析--Windows篇
3.2021年315晚会上检测恶意app的软件是什么？
4.什么是用于构建大规模攻击平台的恶意代码
5.黑客src 是什么意思？

什么是比特币勒索病毒

       比特币勒索病毒，WannaCry，码勒码一种“蠕虫式”的索软勒索病毒软件，大小3.3MB，勒索由不法分子利用NSA泄露的码勒码危险漏洞“EternalBlue”（永恒之蓝）进行传播。

       该恶意软件会扫描电脑上的索软双端棋牌源码TCP 端口(Server Message Block/SMB)，以类似于蠕虫病毒的勒索方式传播，攻击主机并加密主机上存储的码勒码文件，然后要求以比特币的索软形式支付赎金。勒索金额为至美元。勒索

       年5月日，码勒码WannaCry 勒索病毒出现了变种：WannaCry 2.0，索软取消Kill Switch 传播速度或更快。勒索截止年5月日，码勒码WannaCry造成至少有个国家受到网络攻击，索软已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。

       目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了个国家的勒索病毒。

        比特币病毒的概况

       年4月日，CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》，对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报（相关工具列表如下），并对有可能产生的大规模攻击进行了预警：

       工具名称主要用途ETERNALROMANCESMB 和NBT漏洞，对应MS-漏洞，针对和端口发起攻击，影响范围:Windows XP, , Vista, 7, Windows 8, , R2EMERALDTHREADSMB和NETBIOS漏洞，对应MS-漏洞，针对和端口，影响范围：Windows XP、Windows EDUCATEDSCHOLARSMB服务漏洞，对应MS-漏洞，针对端口ERRATICGOPHERSMBv1服务漏洞，针对端口，cgic源码解析影响范围：Windows XP、 Windows server ，不影响windows Vista及之后的操作系统ETERNALBLUESMBv1、SMBv2漏洞，对应MS-，针对端口,影响范围：较广，从WindowsXP到Windows ETERNALSYNERGYSMBv3漏洞，对应MS-，针对端口，影响范围：Windows8、ServerETERNALCHAMPIonSMB v2漏洞，针对端口

       当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

       WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。（#注释：说明一下，“永恒之蓝”是atom 源码安装NSA泄露的漏洞利用工具的名称，并不是该病毒的名称#。永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”，此次的勒索病毒WannaCry是利用该漏洞进行传播的，当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播，因此给系统打补丁是必须的。）

       年5月日，WannaCry蠕虫通过MS-漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于美元（约合人民币元）的比特币才可解锁。

       年5月日晚间，由一名英国研究员于无意间发现的WannaCry隐藏开关（Kill Switch）域名，意外的遏制了病毒的进一步大规模扩散。年5月日，监测发现，WannaCry 勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

        比特币的攻击特点

       WannaCry利用Windows操作系统端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。

       被该勒索软件入侵后，用户主机系统内的照片、、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。。

       攻击类型

       常用的Office文件（扩展名为.ppt、.doc、.docx、asp源码 题库.xlsx、.sxi）

       并不常用，但是某些特定国家使用的office文件格式（.sxw、.odt、.hwp）

       压缩文档和媒体文件（.zip、.rar、.tar、.mp4、.mkv）

       电子邮件和邮件数据库（.eml、.msg、.ost、.pst、.deb）

       数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）

       开发者使用的源代码和项目文件（.php、.java、.cpp、.pas、.asm）

       密匙和证书（.key、.pfx、.pem、.p、.csr、.gpg、.aes）

       美术设计人员、艺术家和摄影师使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）

       虚拟机文件（.vmx、.vmdk、.vdi）

        比特币勒索病毒的波及范围

       国内

       年5月日晚，中国大陆部分高校学生反映电脑被病毒攻击，文档被加密。病毒疑似通过校园网传播。随后，山东大学、南昌大学、nitc源码下载广西师范大学、东北财经大学等十几家高校发布通知，提醒师生注意防范。除了教育网、校园网以外，新浪微博上不少用户反馈，北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。

       中石油所属部分加油站运行受到波及。5月日，包括北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在当天凌晨突然断网，因断网无法刷银行卡及使用网络支付，只能使用现金，加油站加油业务正常运行。

       截至日时分，国家互联网应急中心已监测到约.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。

       年5月日，珠海市公积金中心下发了《关于5月日暂停办理住房公积金业务的紧急通知》，为有效应对Windows操作系统敲诈者病毒在互联网和政企专网大面积蔓延，对住房公积金业务数据和服务终端资料可能造成的安全威胁，珠海市住房公积金管理中心决定加固升级内外网络，暂停办理所有住房公积金业务。

       陕西部分地市的交通管理网络也受到了勒索病毒爆发的影响，暂停了业务办理。此外，部分地区因“系统维护”发布相关通知，暂停办理交管、出入境等业务。

       国外

       俄罗斯：内政部称约台Windows计算机遭到攻击，但表示这些计算机已经从该部门计算机网络上被隔离。

       英国：年5月日，全球多地爆发“WannaCry”勒索病毒，受影响的包括英国家医院（截止北京时间5月日5点）。

       朝鲜：在这大范围的攻击下逃过一劫，守住了一方净土。

       日本：日本警察厅当天表示在该国国内确认了2起，分别为某综合医院和个人电脑感染病毒，并未造成财产损失。尚不清楚日本的案例是否包含在这个国家中。

       西班牙：国家情报中心证实，西班牙多家公司遭受了“大规模”的网络黑客攻击。该国电信业巨头西班牙电信总部的多台电脑陷入瘫痪。

        比特币病毒的预防

       目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。

       临时解决方案：

       开启系统防火墙

       利用系统防火墙高级设置阻止向端口进行连接（该操作会影响使用端口的服务）

       打开系统自动更新，并检测更新进行安装

       Win7、Win8、Win的处理流程

       1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

       2、选择启动防火墙，并点击确定

       3、点击高级设置

       4、点击入站规则，新建规则

       5、选择端口，下一步

       6、特定本地端口，输入，下一步

       7、选择阻止连接，下一步

       8、配置文件，全选，下一步

       9、名称，可以任意输入，完成即可。

       XP系统的处理流程

       1、依次打开控制面板，安全中心，Windows防火墙，选择启用

       2、点击开始，运行，输入cmd，确定执行下面三条命令：net stop rdr 、net stop srv 、net stop netbt

病毒分析Babuk勒索家族babyk后缀系列分析--Windows篇

       Babuk勒索家族的Babyk后缀系列分析主要针对Windows系统。该勒索软件于年初首次曝光，迅速跻身于最臭名昭著的勒索软件组织之列。其加密功能与大多数勒索软件相似，采用了多种加密方法，包括HC-/ChaCha8对称加密算法、椭圆曲线Diffie-Hellman（ECDH）以及SHA哈希。加密后文件的后缀被修改为.babyk，并在加密内容尾部附加字符串“choung dong looks like hot dog!!！”作为与Babuk家族的标识。

       该加密器对不同系统类型（Linux、NAS、Windows）有三种病毒文件，本文主要分析针对Windows的版本。Babyk行为的解析和源码泄漏，以及Windows部分的加密执行流程、多线程方式、使用Curve算法生成密钥、AES加密算法进行文件加密等技术细节，都被详尽地分析。Babuk家族的其他常见后缀和勒索病毒，如.live、locked、mallox、jopanaxye等，也在此文中提及。

       Windows部分加密执行主要采用多线程方式，利用Curve算法作为加密算法，每个文件使用黑客公钥进行密钥交换，生成各自的私钥和公钥。加密速度优化是其目标，以确保在最短时间内加密中招电脑资料。

       勒索软件家族已形成成熟的商业体系，分支众多，迭代多个版本。每个家族的攻击手法各有特点，如TellYouThePass利用系统漏洞，Phobos通过RDP暴力破解，Mallox利用数据库及暴力破解等。预防措施包括定期资产梳理、服务调优、安全意识增强等。solar团队在勒索解密与数据恢复领域拥有丰富的经验，提供高效、安全、可靠的服务，并通过自主研发及创新，构建了网络安全行业合格的资质体系。

       面对勒索病毒的威胁，建议进行资产排查、服务调优、全员安全意识增强等风险消减措施。团队提供"免费售前+安心保障+专业恢复+安全防御"一体化服务流程，确保数据恢复与安全防御的有效性。通过与客户的合作，团队确保在数据恢复后提供后续的安全支持，防止二次感染，帮助客户恢复正常工作。

年晚会上检测恶意app的软件是什么？

       检测恶意app看不出是什么，但是想只要对软件进行安全检测找第三方检测机构（如赛辰）也可以。比如Web应用安全检测，系统漏洞安全检测，设备漏洞扫描检测，源代码安全漏洞扫描，信息安全风险评估等都可以检测出软件是否有病毒、蠕虫、木马、间谍软件、勒索软件、恐吓软件、僵尸程序和rootkit等，通常还能出具问题报告和修复建议等分析报告，使得软件更加安全！

什么是用于构建大规模攻击平台的恶意代码

       用于构建大规模攻击平台的恶意代码通常被称为“恶意软件”或“恶意工具包”。

       恶意软件是一种被设计用于破坏、干扰、拦截或非法访问计算机系统的软件。它可以被用来窃取敏感信息、破坏数据、制造混乱或者将计算机系统变成攻击其他系统的工具。恶意软件的制作和传播已经成为网络犯罪活动的一个重要组成部分，被广泛应用于各种攻击活动中，包括大规模攻击平台的构建。

       在大规模攻击中，攻击者通常会使用恶意工具包来自动化攻击流程，提高效率。这些工具包中包含了各种恶意代码，例如远程控制木马、蠕虫病毒、勒索软件等。这些代码可以被用来扫描目标系统、传播恶意程序、窃取敏感信息或者执行其他恶意操作。攻击者可以通过各种途径将这些恶意代码传播到目标系统中，例如通过电子邮件附件、恶意网站、社交工程等方式。

       例如，一种被称为“Mirai”的恶意软件就被广泛用于构建大规模攻击平台。Mirai最初被设计用于攻击物联网设备，并通过扫描互联网上的IP地址来寻找目标。一旦找到目标，Mirai就会尝试使用默认的用户名和密码登录设备，并将设备的控制权交给攻击者。攻击者可以使用这些设备来发动各种攻击，例如DDoS攻击、垃圾邮件攻击等。Mirai的源代码被泄露后，被广泛应用于各种攻击活动中，并被不断升级和改进。

       总之，恶意软件是构建大规模攻击平台的重要工具之一。攻击者可以使用这些软件来自动化攻击流程、提高效率，并通过各种途径将恶意代码传播到目标系统中。为了保护计算机系统的安全，我们需要时刻保持警惕，及时更新系统和软件的安全补丁，并避免打开来自陌生人的电子邮件和链接。

黑客src 是什么意思？

       黑客src是黑客文化中广泛使用的术语，指代黑客们在攻击和破解电脑系统时使用的源代码。这些源代码可以被黑客们用于获取未经授权的访问权限，窃取敏感信息或者破坏目标系统的功能。在黑客文化中，黑客src的价值不仅在于它们的功用，而且也在于它们代表了黑客们自由、开放的精神和分享的文化。

       黑客src的使用存在着较大的风险，如果黑客src被滥用，则会导致严重的后果和损失。黑客src的流传和使用对于目标系统的安全性构成了较大的威胁。黑客src被用于开展网络犯罪活动，如网络钓鱼、勒索软件攻击等等，这些活动会对个人、企业甚至国家的安全造成巨大的影响。

       为了防范黑客src的攻击，我们应该采取一系列有效的防控措施。首先，企业或个人必须加强网络安全意识，社会应当提高对黑客src的认知，并尽可能避免使用未经过鉴定的源代码。其次，个人或企业应当加强网络防火墙的设置和管理，定期更新和升级设备和软件，以及加强对于安全漏洞的查找和修补。最后，加强对于信息安全的管理和监测，加强安全培训和安全意识教育，提高社会整体的网络安全防控水平。