勒索病毒來自哪里|調(diào)查顯示勒索病毒或來自朝鮮

發(fā)布時(shí)間：2024-02-27

wannacry(想哭)勒索病毒肆虐全球，目前已經(jīng)超過150個(gè)國(guó)家的windows設(shè)備遭到攻擊，勒索病毒將數(shù)據(jù)加密，一旦中招，數(shù)據(jù)將很難恢復(fù)，那么wannacry勒索病毒來自哪里呢？這是很多人非常關(guān)心的問題，大家都不知道黑客制造攻擊的目的是什么，最近有福布斯的消息，據(jù)稱病毒的幕后黑手可能來自朝鮮。
相關(guān)教程：
開機(jī)怎么防止被勒索病毒感染?360預(yù)防勒索病毒開機(jī)指南
如何預(yù)防windows勒索病毒？防止感染onion、wncry勒索病毒補(bǔ)丁下載
win7快速關(guān)閉135,137,138,139,445端口預(yù)防比特幣勒索病毒的方法
谷歌和卡巴斯基安全實(shí)驗(yàn)室等多個(gè)機(jī)構(gòu)經(jīng)過研究發(fā)現(xiàn)，幕后黑手可能來自朝鮮，線索隱藏在代碼中。
谷歌安全研究員neel mehta發(fā)布推文，將兩個(gè)惡意軟件樣本進(jìn)行對(duì)比。其一便是正在肆虐全球的wannacry勒索病毒，另一段樣本出自神秘黑客組織 \”拉撒路組\”(lazarus group)之手。有證據(jù)顯示，拉撒路組與2014年索尼黑客事件以及孟加拉國(guó)swift銀行網(wǎng)絡(luò)攻擊事件有關(guān)聯(lián)，兩起案件分別造成索尼多部未上映電影資源和商業(yè)信息遭泄露，以及孟加拉國(guó)中央銀行失竊8100萬美元。根據(jù)多家安全公司的分析，拉撒路組來自朝鮮。
卡巴斯基實(shí)驗(yàn)室和網(wǎng)絡(luò)安全公司proofpoint的研究員對(duì)mehta提供的對(duì)比進(jìn)行仔細(xì)調(diào)查。研究人員發(fā)現(xiàn)，wannacry中的一部分代碼與一個(gè)名叫contopee的惡意軟件100%一致，而后者正是拉撒組慣用的惡意軟件。兩個(gè)惡意軟件使用相同的隨機(jī)數(shù)生成0到75之間的隨機(jī)數(shù)，用于對(duì)劫持?jǐn)?shù)據(jù)的加密以及通過混淆避免安全工具的檢測(cè)。
卡巴斯基實(shí)驗(yàn)室稱發(fā)現(xiàn)同源代碼是查找 \”wannacry起源的最重要線索\”?？ò退够蜓芯亢头治鰣F(tuán)隊(duì)主管costin raiu對(duì)福布斯表示，mehta展示的惡意軟件幾乎與此前孟加拉國(guó)銀行攻擊中出現(xiàn)過的惡意代碼一模一樣。不過他也表示還需要更多研究才能下結(jié)論。
阿聯(lián)酋網(wǎng)絡(luò)安全公司創(chuàng)始人matthieu suiche認(rèn)同病毒可能與拉撒路組存在聯(lián)系，并指出犯罪目標(biāo)和手法的一致性。
這些代碼的獨(dú)特性也引人遐想。數(shù)據(jù)對(duì)比顯示，除了拉撒路組，再?zèng)]有其他任何組織使用過同樣的代碼。一位要求保持匿名的研究員稱，他將樣本在目前可以訪問的大型病毒庫(kù)中進(jìn)行對(duì)比，幾乎沒有匹配。這使得拉撒路組同本次勒索病毒的爆發(fā)之間存在關(guān)聯(lián)的可能性更大。
賽門鐵克關(guān)注拉撒路組多年。研究人員稱wannacry使用了拉撒路組慣用的web加密形式。賽門鐵克技術(shù)總監(jiān)vikram thakur自周五一來便對(duì)病毒進(jìn)行密切關(guān)注，指出攻擊者目的似乎僅是為了造成網(wǎng)絡(luò)混亂，而非獲得經(jīng)濟(jì)利益。
下結(jié)論為時(shí)過早
不過研究人員并不急于下結(jié)論，稱這些線索有可能是攻擊者事先埋下用以誤導(dǎo)調(diào)查。相同的代碼并不能確定來自同一個(gè)黑客，也有可能是攻擊者借用了拉撒路組的代碼并實(shí)施攻擊。安全專家指出，有大約2000個(gè)惡意軟件樣本在一些地下論壇上被秘密分享，網(wǎng)絡(luò)犯罪分子在這些論壇上分享黑客技術(shù)。
相關(guān)教程：k8h3d是什么病毒壞兔子勒索病毒如何防范勒索病毒