1.FireEye红队工具失窃事件分析和思考
2.WindowsXP系统？
3.勒索病毒攻击原理是源码什么|比特币勒索病毒原理介绍
4.什么是比特币勒索病毒

FireEye红队工具失窃事件分析和思考

       深入剖析FireEye红队工具失窃事件：威胁与应对</

       年月，网络安全领域的源码一颗重磅炸弹震动全球：FireEye红队，这个专为测试客户网络防护的源码尖端工具，遭受了高度复杂的源码威胁行动者的攻击，内部核心资源被盗。源码攻击者展现了创新的源码vb 托盘源码攻击技巧，目标明确，源码手段是源码通过自动化侦察脚本，将工具植入到公开的源码技术框架中。至今，源码FireEye、源码FBI和微软等机构正在紧密合作，源码以期揭开这次事件的源码全貌并采取措施防止类似事件的再次发生。

       此次事件凸显了武器级恶意代码失窃的源码严重性，我们回顾历史，源码不难发现网络军火泄露的频发。例如，Hacking Team工具源代码的泄露，以及影子经纪人公开"永恒之蓝"漏洞利用工具，引发了WannaCry勒索软件的全球大爆发。年，APT的黑客工具也未能幸免于Lab Dookhtegan的泄露。这些事件都揭示了单纯依赖工具泄露的HASH值作为威胁情报的局限性，反病毒引擎的深度预处理和规则扩展能力在对抗高级威胁时显得尤为重要。

       安天科技迅速响应，推出了高级威胁追溯包，强调其全平台、全规则的AVL SDK反病毒引擎，能有效侦测并定位恶意工具。安天智甲终端防御系统(IEP)、安天探海威胁检测系统(PTD)和安天追影威胁分析系统(PTA)，如铜墙铁壁般守护网络安全，通过ATID平台，用户可查询相关工具信息。尽管FBI怀疑俄罗斯可能是幕后黑手，但目前尚无确凿证据。工具的扩散无疑降低了攻击成本，对网络安全构成直接威胁。

       FireEye作为行业的领导者，虽然自身遭遇侵袭，但也展示了公开透明的应对态度，其分享的网络攻击详情和保护社区的做法值得其他安全厂商学习。以下是相关资源链接，以供参考和学习：

未经授权访问FireEye红队工具</- 了解更多

火眼Windows免费渗透测试套件</- 获取详情

FireEye分享网络攻击详情，保护社区行动</- 公开应对

       在对抗网络军火泄露的挑战中，安天提供了深入的分析和操作指南，如对APT攻击样本的剖析、NSA网络军火装备操作手册，以及对WannaCry的深度剖析报告，都在安天官网上持续更新。持续关注，以保持在网络安全前沿的警惕。

       在这个瞬息万变的网络环境中，每一个安全环节的华硕原版固件源码坚固都是对抗威胁的关键。让我们携手，共同维护网络安全的基石。

WindowsXP系统？

       Windows XP是微软公司研发的操作系统，并于年月日开始零售。该系统是继Windows 及Windows ME之后的下一代Windows操作系统，也是微软首个面向消费者且使用Windows NT5.1架构的操作系统。 年4月8日，微软终止对该系统的技术支持。

       软件语言

       多语言

       外文名称

       Windows XP

       软件授权

       微软

       开发公司

       Microsoft

       支持系统

       基于X、X架构的PC和平板电脑

       上线时间

       --

       源码类型

       封闭性系统，商业专用

       终止主流支持

       -4-

       延伸支持终止

       -7-

       前任系统

       Windows

       后继系统

       Windows Vista

       默认壁纸

       欢乐（Bliss）

       终止技术支持

       -4-8

       内核类型

       混合式内核

       收起

       发展历程

       开机时的欢迎使用和正在关机

       年代末，微软开始开发新的基于Windows NT内核的操作系统，代号为“Neptune”，用于代替基于MS-DOS的操作系统Windows ，解决相关系统存在的问题，并打算在年发售。[1]

       年，“Neptune”团队与"Odyssey"团队合并，Windows XP的前身Windows Whistler开始研发。

       年月，微软副总裁Jim Allchin首次展示了Windows XP。同年发行了两个版本：Professional和Home Edition。

       5张

       Windows XP

       年9月，微软推出Windows XP SP1补丁包。[2]

       年9月，微软又花费3亿美元推出了Windows XPSP2补丁包。[2]

       年：微软还发布了位的 Windows XP客户端和WindowsServer 服务器2个系列，支持Intel和AMD的位桌面处理器。

       年1月，Windows Vista发布，随后微软第一次提到停止XP发售的计划。

       年4月，微软推出Windows XPSP3补丁包，并宣布这是为Windows XP最后一次升级。

       年6月日，微软停止Windows XP销售。并宣布针对Windows XP 的主要支持至年4月日，拓展支持至年4月8日，延伸支持至年7月日。

       年4月日，微软停止Windows XP的主流技术支持，包括新的IE、DirectX、MSN等微软服务不能在XP上使用。

       年月日，OEM版本停止销售。

       年微软宣布，Windows XP SP3将于年4月8日停止服务。

       年月日，微软和英特尔一起将Windows XP的老式电脑捐赠给了中国国家博物馆作为馆藏品。[3]

       停止服务

       年3月日，微软中国宣布将与奇虎公司一起合作，为中国XP用户提供过渡期间的暴风涨停公式源码安全防护服务，以及Windows 8升级方案。[4]同样，中国各家安全软件商都推出了相应的服务保护Windows XP。

       年4月7日后停止对Windows XP的所有版本的支持与服务，包括补丁、升级和漏洞修复等[5]，用户应该尽快自行对自己的Windows XP操作系统进行升级。

       年4月8日，微软官方正式宣布停止对Windows XP的技术支持，宣告了XP时代的结束。

       年7月日，Windows XP第二次中止技术支持。

       年5月日，由于 “Wannacry”勒索蠕虫事件影响巨大，微软发布公告，决定对已经停止支持的Windows XP发布特别补丁。[6]

       系统功能

       用户界面

       默认壁纸

       Windows XP拥有一个叫做Luna（月神）的用户图形界面，视窗标志也改为较清晰亮丽的四色窗标志。此外，Windows XP还引入了一个“选择任务”的用户界面，使得工具条可以访问任务的具体细节。然而，批评家认为这个基于任务的设计只是增加了视觉上的混乱，因为它除了提供比其它操作系统更简单的工具栏以外并没有添加新的特性。而额外进程的耗费又是可见的。[7]

       该系统的默认桌面背景墙纸是Bliss，一张BMP格式的照片。是拍摄的纳帕县郊外的风景，照片中包括了高低起伏的绿山及有层积云和卷云的蓝天。用户也可依据喜好使用Windows 的经典界面。[8]

勒索病毒攻击原理是什么|比特币勒索病毒原理介绍

       WannaCry勒索病毒是一种通过利用NSA泄露的“永恒之蓝”漏洞进行传播的恶意软件。这种病毒主要针对未更新到最新版本的Windows系统，包括xp、vista、win7、win8等系统。它通过扫描电脑上的TCP端口，以蠕虫病毒的方式传播，入侵主机并加密存储的文件，然后索要比特币作为赎金，金额大约在至美元之间。当用户的主机系统被该勒索软件入侵后，会弹出勒索对话框，提示勒索目的并向用户索要比特币。被加密的文件后缀名被统一修改为“.WNCRY”，包括照片、、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件。目前，银商模式源码安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

       WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后，会释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。

       年5月日，WannaCry蠕虫通过MS-漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于美元（约合人民币元）的比特币才可解锁。年5月日晚间，由一名英国研究员于无意间发现的WannaCry隐藏开关（KillSwitch）域名，意外的遏制了病毒的进一步大规模扩散，研究人员分析此次Wannacrypt勒索软件时，发现它并没有对原文件进行这样的“深度处理”，而是直接删除。这看来算是一个比较低级的“失策”，而此次正是利用了勒索者的“失策”，实现了部分文件恢复。年5月日，监测发现，WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种取消了KillSwitch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

       勒索病毒主要攻击的文件类型包括常用的Office文件（扩展名为.ppt、.doc、.docx、.xlsx、.sxi）并不常用，但是某些特定国家使用的office文件格式（.sxw、.odt、.hwp）压缩文档和媒体文件（.zip、.rar、.tar、.mp4、湖北源码时代学费.mkv）电子邮件和李答邮件数据库（.eml、.msg、.ost、.pst、.deb）数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）开发者使用的源代码和项目文件（.php、.java、.cpp、.pas、.asm）密匙和证书（.key、.pfx、.pem、.p、.csr、.gpg、.aes）美术设计人员、艺术家和摄影师使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）虚拟机文件（.vmx、.vmdk、.vdi）

       为了预防Windows勒索病毒，建议及时更新操作系统补丁，安装杀毒软件，定期备份重要数据，不要打开来源不明的文件，不要点击不明链接，保持警惕。如果电脑不幸感染了勒索病毒，可以尝试使用一些数据恢复工具来恢复被加密的文件，同时立即断网，避免病毒进一步传播。

什么是比特币勒索病毒

       比特币勒索病毒，WannaCry，一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。

       该恶意软件会扫描电脑上的TCP 端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为至美元。

       年5月日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch 传播速度或更快。截止年5月日，WannaCry造成至少有个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。

       目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了个国家的勒索病毒。

        比特币病毒的概况

       年4月日，CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》，对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报（相关工具列表如下），并对有可能产生的大规模攻击进行了预警：

       工具名称主要用途ETERNALROMANCESMB 和NBT漏洞，对应MS-漏洞，针对和端口发起攻击，影响范围:Windows XP, , Vista, 7, Windows 8, , R2EMERALDTHREADSMB和NETBIOS漏洞，对应MS-漏洞，针对和端口，影响范围：Windows XP、Windows EDUCATEDSCHOLARSMB服务漏洞，对应MS-漏洞，针对端口ERRATICGOPHERSMBv1服务漏洞，针对端口，影响范围：Windows XP、 Windows server ，不影响windows Vista及之后的操作系统ETERNALBLUESMBv1、SMBv2漏洞，对应MS-，针对端口,影响范围：较广，从WindowsXP到Windows ETERNALSYNERGYSMBv3漏洞，对应MS-，针对端口，影响范围：Windows8、ServerETERNALCHAMPIonSMB v2漏洞，针对端口

       当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

       WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。（#注释：说明一下，“永恒之蓝”是NSA泄露的漏洞利用工具的名称，并不是该病毒的名称#。永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”，此次的勒索病毒WannaCry是利用该漏洞进行传播的，当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播，因此给系统打补丁是必须的。）

       年5月日，WannaCry蠕虫通过MS-漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于美元（约合人民币元）的比特币才可解锁。

       年5月日晚间，由一名英国研究员于无意间发现的WannaCry隐藏开关（Kill Switch）域名，意外的遏制了病毒的进一步大规模扩散。年5月日，监测发现，WannaCry 勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

        比特币的攻击特点

       WannaCry利用Windows操作系统端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。

       被该勒索软件入侵后，用户主机系统内的照片、、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。。

       攻击类型

       常用的Office文件（扩展名为.ppt、.doc、.docx、.xlsx、.sxi）

       并不常用，但是某些特定国家使用的office文件格式（.sxw、.odt、.hwp）

       压缩文档和媒体文件（.zip、.rar、.tar、.mp4、.mkv）

       电子邮件和邮件数据库（.eml、.msg、.ost、.pst、.deb）

       数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）

       开发者使用的源代码和项目文件（.php、.java、.cpp、.pas、.asm）

       密匙和证书（.key、.pfx、.pem、.p、.csr、.gpg、.aes）

       美术设计人员、艺术家和摄影师使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）

       虚拟机文件（.vmx、.vmdk、.vdi）

        比特币勒索病毒的波及范围

       国内

       年5月日晚，中国大陆部分高校学生反映电脑被病毒攻击，文档被加密。病毒疑似通过校园网传播。随后，山东大学、南昌大学、广西师范大学、东北财经大学等十几家高校发布通知，提醒师生注意防范。除了教育网、校园网以外，新浪微博上不少用户反馈，北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。

       中石油所属部分加油站运行受到波及。5月日，包括北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在当天凌晨突然断网，因断网无法刷银行卡及使用网络支付，只能使用现金，加油站加油业务正常运行。

       截至日时分，国家互联网应急中心已监测到约.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。

       年5月日，珠海市公积金中心下发了《关于5月日暂停办理住房公积金业务的紧急通知》，为有效应对Windows操作系统敲诈者病毒在互联网和政企专网大面积蔓延，对住房公积金业务数据和服务终端资料可能造成的安全威胁，珠海市住房公积金管理中心决定加固升级内外网络，暂停办理所有住房公积金业务。

       陕西部分地市的交通管理网络也受到了勒索病毒爆发的影响，暂停了业务办理。此外，部分地区因“系统维护”发布相关通知，暂停办理交管、出入境等业务。

       国外

       俄罗斯：内政部称约台Windows计算机遭到攻击，但表示这些计算机已经从该部门计算机网络上被隔离。

       英国：年5月日，全球多地爆发“WannaCry”勒索病毒，受影响的包括英国家医院（截止北京时间5月日5点）。

       朝鲜：在这大范围的攻击下逃过一劫，守住了一方净土。

       日本：日本警察厅当天表示在该国国内确认了2起，分别为某综合医院和个人电脑感染病毒，并未造成财产损失。尚不清楚日本的案例是否包含在这个国家中。

       西班牙：国家情报中心证实，西班牙多家公司遭受了“大规模”的网络黑客攻击。该国电信业巨头西班牙电信总部的多台电脑陷入瘫痪。

        比特币病毒的预防

       目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。

       临时解决方案：

       开启系统防火墙

       利用系统防火墙高级设置阻止向端口进行连接（该操作会影响使用端口的服务）

       打开系统自动更新，并检测更新进行安装

       Win7、Win8、Win的处理流程

       1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

       2、选择启动防火墙，并点击确定

       3、点击高级设置

       4、点击入站规则，新建规则

       5、选择端口，下一步

       6、特定本地端口，输入，下一步

       7、选择阻止连接，下一步

       8、配置文件，全选，下一步

       9、名称，可以任意输入，完成即可。

       XP系统的处理流程

       1、依次打开控制面板，安全中心，Windows防火墙，选择启用

       2、点击开始，运行，输入cmd，确定执行下面三条命令：net stop rdr 、net stop srv 、net stop netbt