防御高的服务器,如何看待席卷欧洲的Petya电脑勒索病毒?
近日,欧洲多个国家遭受Petya勒索病毒的攻击,这是近期全球范围内第二波大规模的勒索病毒爆发。该病毒远程加密电脑的磁盘,然后索要赎金。目前,乌克兰、法国、英国、俄罗斯等国都遭受该勒索病毒的攻击。
北京邮电大学网络空间安全学院芦效峰副教授带领的恶意软件分析实验室也取得了Petya病毒的样本,并在实验室自主研发的“智能恶意软件检测平台”上进行了实测,并和之前的勒索软件WannaCry进行了对比分析,发现了Petya的恶意软件行为特征。
WanaCry是一个3.4MB左右的.exe文件,而Petya为一个大小仅为353.9KB的.dll文件。这意味着Petya不能直接启动,必须通过其他程序调用。这和一些报道中指出的乌克兰专家称Petya病毒是通过电子邮件侵入电脑系统,邮件含有遭到病毒感染的Word和PDF格式附件相一致。这也提醒我们不要随便打开电子邮件中的可疑附件。
2. 从加密技术上看,Petya与WannaCry勒索软件显著不同WanaCry获取所有文件的路径,然后逐个文件进行加密,再生成新文件同时删除旧文件,从而进行勒索。Petya的敲诈信息显示其加密了整个磁盘,但这只是Peyta开发者使得障眼法。
WannaCry勒索病毒会对磁盘上的大量文件进行加密保存并删除原文件,那么我们就可以单从NtCreateFile、DeleteFile 、MoveFileWithProgress这三项API调用的数量的上来判断样本是否存在类似恶意行为。例如,WannaCry在沙箱中指定2分钟运行期间总共被记录了150079次API调用,其中NtCreateFile占了7.0%,DeleteFile占了4.8%。
Petya的行为方式则不一样,老Petya样本加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过让电脑无法启动实现勒索,磁盘中存储的文件并没有真正被加密。而新Petya 写入自己的MBR,设置计划任务进行重启,并利用永恒之蓝漏洞进行传播。
从上图可以发现,Petya样本使用NtCreateFile打开了在磁盘,然后使用SetFilePointEx设置了当前写入位置即文件指针的偏移量,接着用NtWriteFile开始写入其自定义的MBR。从写入的buffer内容来看,在这里Petya写入了假CHKDSK的信息以及勒索信息。当系统重启后,执行病毒的MBR,伪装成CHKDSK进行修复磁盘,这一步的时候其实磁盘上的文件并未完全被加密。
3. 具有反沙箱检测作为反沙箱的手段,恶意样本对VirtualBox的文件以及设备进行了检测。逃避沙箱检测是恶意件或病毒的一个显著特点。
4. 强制设置计划任务进行重启通过命令行,调用系统的schtasks来设置计划任务,在1个小时51分后重启计算机。Shutdown的-f 是强制运行要关闭的应用程序,-r 是关闭之后重新启动,-t则设置关机倒计时。而正常软件一般是经用户确认后重启。
5. 从磁盘中删除二进制文件恶意样本在磁盘中释放了一个二进制文件,而在执行之后就将其删除。该操作可以视为恶意软件自身保护行为。
6. 固定字符串分析我们对Petya做了固定字符串分析,分析显示其包含了一些极度具有勒索性质的文字内容,如“your important files are encrypted”,“All you need to do is submit the payment and purchase the decryption key”,”Send $300 worth of Bitcoin to following address”等。通过检测这些敏感的字符串,可以快速发现和识别类似的勒索软件。
7. 网络行为分析为了感染其他电脑,Petya根据本机的IP地址及所在子网,通过ARP协议查询局域网内主机。
和WannaCry类似,Petya利用了之前WannaCry利用的永恒之蓝(MS17-010)漏洞,通过445端口进行传播。下图显示了感染Petya病毒的电脑访问响应ARP主机的445端口(SMB)。
病毒尝试连接无响应的IP地址及端口。如上文中网络分析所示,样本尝试访问了192.168.56.1的445端口,而该端口并无响应,说明样本存在端口扫描行为。
是否付费就可以恢复文件?根据报道,目前为止,超过40名受害者向Petya的作者支付了超过1万美元的赎金,但其实他们无法恢复文件。有分析说,Petya可能没有想象中的那么简单,很可能是用于政治目的的网络武器。
安全措施1. 升级系统补丁到最新,修复永恒之蓝(ms17-010)漏洞。
2. 及时更新终端杀毒软件。
3. 对于未知邮件中的链接或附件不要打开,
4. 不要随意从网络下载可执行程序并直接运行。
5. 在非业务所需的机器上,可以禁止WMI服务和远程文件共享功能。
6. 通过专业的磁盘管理软件,如RestoreMBR提前备份磁盘的主引导记录MBR文件,用户如果发现系统异常重启,可以立即关机,随后开机在BIOS里设置U盘或光盘启动系统,然后使用Windows PE启动系统,再使用专用的磁盘管理软件恢复之前备份的MBR文件。如果之前没有备份MBR文件,则可以用该方法拷贝出硬盘里的数据,可以避免文件的损失。
棋牌游戏服务器被恶意DDOS?
棋牌游戏行业一直是DDOS攻击的重灾区,面对DDOS攻击,墨者安全建议:
1、架构优化
通过优化DNS的智能解析,可以避免DNS攻击的风险;使用SLB,通过负载均衡减缓CC攻击的影响;使用专有网络VPC,防止内网攻击;隐藏服务器真实IP地址。
2、服务器加固
确保服务器的系统文件是最新的版本,并及时更新系统补丁;过滤不必要的服务和端口;限制在防火墙外与网络文件共享;限制同时打开的SYN半连接数目;充分利用网络设备保护网络资源。
3、商用DDoS解决方案
前面两种方式只能对小流量攻击起到一定的缓解作用,针对超大流量的DDOS攻击或者复杂的游戏CC攻击,只能考虑采用专业的DDoS解决方案。墨者安全全网第一款指纹识别技术防火墙,TB级防护,动态负载保护,自动过滤清洗流量,保障游戏服务器的正常运行。
动动手指,点个赞点个关注再走呗。对网络技术,网络安全方面感兴趣的欢迎和我交流。暗黑破坏神2怎么做精神剑?
要找白色或者灰色的装备(只能是武器 头盔 衣服 盾牌),一般都选择“超强的XXX”,
注:因为带超强前缀的白色装备,会带用属性,比如说 增加伤害、增加防御、耐久等等。
精神剑 公式
Tal + Thul + Ort + Amn
7 + 10 + 9 + 11
+2 级所有技能
+25-35% 快速施放法术 (可变)
+55% 快速恢复打击
+250 防御力对远程攻击
+22 活力
+89-112 Mana (可变)
攻击者受到反伤害 14 (盾) | 每次命中偷取 7% 生命 (剑)
防冰 +35% (盾) | +3-14 冰伤害 (剑)
防毒 +35% (盾) | +75 毒伤害,效果持续 5 秒 (剑)
防电 +35% (盾) | +1-50 电伤害 (剑)
+3-8 魔法吸收 (可变)
《暗黑破坏神2》
是美国暴雪继《暗黑破坏神》之后,于2000年上市的一款动作类角色扮演游戏。玩家创建属于自己的角色,在游戏中成长,最终成为各自种族里的Master。游戏提供连线功能,除了惯有Ipx, MODEM,以及 Direct Link外,Blizzard 设立了一个Server,可供玩家通过INTERNET,和世界的其它地方的战友一同作战。《暗黑破坏神》游戏中,所有主角的动作操控,以及界面的设定,全部均可由一支鼠标负责,游戏画面以六十度倾斜的方式表现出来,游戏所有的场景全以即时的立体投影方式表现出来,除了有明暗的效果外,人物的移动效果也极为流畅,魔法的表现亦是一绝。游戏中还有数量极多的武器、防具和道具。
