勒索病毒“想哭”席卷下,你的电脑还安全吗?

这大概是世界上成名最快的一款互联网程序,在短短24小时内,由于罕见的传播速度以及严重的破坏性,勒索病毒WannaCry已经成为全球关注的焦点。值得一提的是这次蠕虫病毒对中国的影响同样巨大,众多学校、办公司,网络安全问题再次受到关注。

爆发猛烈,传播迅速

病毒爆发时间表:

-2017年5月12日
WannaCry爆发,24小时内波及99个国家

-2017年5月13日
WannaCry隐藏开关(Kill Switch)域名被无意间发现,病毒被遏制

-2017年5月14日
WannaCry 2.0预警,Kill Switch被取消,该变种传播速度可能会更快

-2017年5月15日
全球性网络攻击使至少150个国家的20万受害者中招,危机加剧受害者数字仍在上升

数小时内,全球地图被WannaCry点亮

病毒爆发详情:

一场互联网领域的“生化危机”正在全球上演。令人不安的情况仍在继续:WannaCry病毒还在扩张自己的领地。

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁,波及99个国家。

在WannaCry攻城拔寨的传播过程中,5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。

获知此消息的云纵首席科学家及研发副总裁郑昀忍不住在微博感叹,“这个事件从头到尾都像是一部电影,开始的离奇,结束的诡异。”

但事情远未结束,现实证明Kill Switch的发现只是一个插曲。

5月14日,在停止开关被发现18小时后,国家网络与信息安全信息通报中心发布新变种预警:WannaCry 2.0即将来临;与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。

截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。

5月15日据CNBC报道,欧洲刑警组织总干事罗布·韦恩莱特称,本次全球性网络攻击使至少150个国家的20万受害者中招,随着人们周一上班,这一数字会继续增加。

新的危险正在步步逼近,而人们目前对WannaCry病毒本身所知依然有限。

WannaCry病毒

“wannacry”病毒是什么?

时间:2017年5月12日

方式:自我复制、主动传播、加密文件

经过分析,这是一起勒索软件与高危漏洞相结合的恶性蠕虫传播事件,其严重性不亚于当年的“冲击波”病毒。

勒索软件为最新的“wannacry”的家族,目前尚无法对加密后的文件进行解密,中招后只能重装系统或向黑客支付赎金解决。

此次“wannacry”勒索蠕虫疯狂传播的原因是借助了前不久泄露的Equation Group(方程式组织)的“EternalBlue(永恒之蓝)”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010 SMB协议远程代码执行漏洞,该漏洞可影响主流的绝大部分Windows(MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows XP,Windows Vista,Windows7,Windows8,Windows10,Windows2008,Windows2012)操作系统版本。不法分子通过扫描公网或者局域网内的开放了445文件共享端口的Windows用户,只要该用户开机上网,并无需任何操作,就能在该用户电脑主机中植入勒索软件。

病毒攻击行为和结果

遭受“WannaCry”病毒侵害的电脑,其文件将被加密锁死,并显示一个信息,称用户电脑系统内的档案已被加密,须向黑客支付价值约300美元甚至更多的电子货币“比特币”来赎回。若三天内未收到赎金,这笔钱将翻倍;若七天内还是没收到,就会把所有文件删除。 因此会导致大量数据丢失,造成重大损失。

WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。

至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿听信谎言,以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限。

因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。

传播途径和攻击方式

据分析追溯发现,该病毒分蠕虫部分及勒索病毒部分,前者用于传播和释放病毒,后者攻击用户加密文件。

其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播,具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。

据悉,蠕虫代码运行后先会连接域名:hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服务,在局域网与外网进行传播。

但是无论这个“神奇开关”是否开启,该病毒都会攻击用户,锁死文件。另外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变种病毒。

易受攻击用户群

目前看来,该病毒的受害者大都是行业机构和大型企业,互联网个人用户受感染报告很少。从操作系统和网络结构两个角度,来说明容易受到攻击的用户群。

首先,该病毒只攻击Windows系统的电脑,几乎所有的Windows系统如果没有打补丁,都会被攻击。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本,用户如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。

Windows10是最安全的,由于其系统是默认开启自动更新的,所以不会受该病毒影响。同时,Unix、Linux、Android等操作系统,也不会受到攻击。

同时,目前这个病毒通过共享端口传播同时在公网及内网进行传播,直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染,而通过路由拨号的个人和企业用户,则不会受到来自公网的直接攻击。

“WannaCry”病毒应急处置

已感染病毒

1、请立即隔离此终端,禁用所有有线及无线网卡或直接拔掉网线,防止病毒感染其他终端

2、不要删除或损坏被加密数据,待后续解决方案。

未感染病毒

请尽快按以下步骤加固终端,防止中毒

1、下载并运行以下免疫工具

2、更新windows补丁

3、近期预防建议

不要从陌生网站下载和运行可执行程序;

不要打开陌生邮件的附件;

不要使用陌生的U盘;

不要使用U盘的自动运行功能;

安装杀毒软件并更新病毒库;

全世界范围遭到攻击,中美俄成重灾区

俄罗斯成“重灾区”

据俄罗斯杀毒软公司卡巴斯基实验室称,在俄罗斯,这种病毒感染的电脑数量要比世界上任何其他地方都多。 俄罗斯内政部、铁路、银行和第二大手机运营商Megafon都被要求缴纳赎金。 俄罗斯内政部的一名发言人称,在该部门,有大约1000台使用微软Windows的电脑遭到了攻击,但是这些电脑目前已与其网络进行了隔离。 但是,这名发言人表示,内政部的重要服务器并未受到影响,因为这些服务器运行的是俄罗斯本土软件,包括在前苏联末期开发的名为Elbrus的操作系统。

德国的铁路

德国火车站用来显示列车到站和出发时间的电子屏幕受到了影响,但是列车仍然在正常运行。

韩国的电影院

韩国最大的影院公司CJ CGV称,它的一些连接50家电影院的广告服务器受到了影响。一名高管称,该公司已对此展开了调查。但是,它仍然在照常放映电影。韩国政府称,整体而言,该国目前已发现了9例勒索病毒感染的案子。

日本的企业

日本电脑紧急应对小组协调中心称,该国已有600家企业的2000台电脑受到影响。日立公司称,尽管它没有被要求缴纳赎金,但是它的电子邮箱运行迟缓,文件发送经常失败,因此它怀疑是勒索病毒在作怪。

印尼的医院

印尼通讯和信息部称,在首都雅加达,已有两家医院电脑上的病人相关文件被勒索病毒锁定。Dharmais肿瘤医院的病人无法在机器上自动取号排队,医务人员只好手写排队序号,这让病人们等待了好几个小时。

印度的警察局

印度安得拉邦警察局的电脑系统遭到了攻击。有大约18台电脑遭到劫持。孟买、海得拉巴、班加罗尔和金奈市的几家公司也受到了影响。《经济时报》称,印度可能特别容易遭到这种病毒的攻击,因为这个国家的很多组织和个人仍在使用过时的Windows版本,甚至还有很多人在使用盗版软件。

英国的医院

英国卫生保健系统受到的影响较大。由于无法访问其电脑,很多医院和门诊无法接诊病人。社交媒体上的照片显示,英国卫生局(NHS)的电脑屏幕上出现了这样的文字,“哎呦,你的文件被加密了!”在英格兰,有48个NHS受托基金机构报告称医院、外科手术室或药房出现问题。在苏格兰,有13家NHS机构也受到影响。在英国桑德兰城市东北部,一家日产汽车厂也受到了影响。

西班牙的电信公司

西班牙电信公司Telefonica称,它受到了勒索病毒的攻击。Telefonica的网络安全主管、前黑客切马-阿隆索(Chema Alonso)称,目前受影响的设备“已得到控制,正常进行恢复。”西班牙其他受到攻击的公司还包括电力公司Iberdrola和公用事业提供商Gas Natural。这些公司的员工们已得到通知,都关闭了电脑。

法国的雷诺公司

为了阻止病毒进一步扩散,汽车制造商雷诺已中止了其多个地区的生产活动,包括法国、斯洛文尼亚和罗马尼亚。周一,该公司称,它的90%的工厂已恢复生产。它的位于法国北部杜埃市的工厂将会在周二恢复正常。雷诺公司表示,它将尽快赶上生产进度,以免影响到它的消费者。

联邦快递公司

这家物流公司称,它“正在积极采取各种补救措施”,但是它并未说明它受到了多大的影响。

澳大利亚的中小型企业

澳大利亚官员称,迄今为止,只有三家中小型企业报告其电脑被锁定。在新西兰,商务部部长称,它正在调查几宗尚未被证实的网络攻击活动。

网络安全不容忽视,移动端尤甚!

面对病毒带来的种种危害,让人们更惶惶不安的是,为什么我什么都不做,哪怕就只是开机关机都能染上病毒?这背后的故事真是细思极,关于网络安全战的未来,才刚刚开始!虽然多数的普通群众是较低概率遇到本次的网络攻击的,但是下次如果是一个针对性更强的病毒,特别是在风险环境更大的移动网络领域,那该怎么办?所以,移动端网络安全更应该不被忽视。

其实就使用频率来讲手机甚至早已超过PC端,而成为大家的生活常态,除了是通讯工具以外,还是某个“体外器官”。比如网页浏览、订票、设置提醒、分享文件、即时通讯、视频电话,甚至手机银行。鉴于所有这些功能,手机面临很多网络威胁,由于其便携性,也容易遭受物理攻击。其中一些安全威胁包括专门为手机设计的恶意软件,比如蠕虫和间谍软件、未授权访问、网络钓鱼和盗窃。

安全服务商TrendMicro发布警告称,勒索病毒目前已经蔓延到了智能手机,特别是Android和进行过越狱操作的iOS系统的手机更容易中病毒。被入侵的手机将会自动锁屏,只有用户向黑客交付一定数额“赎金”之后才能正常使用手机。

其实,这种勒索病毒在三年前就在智能手机上爆发过一阵子,可能由于当时的智能手机还不像现在那么普及,大家在手机上的重要资料以及绑定的东西也不多,黑客获得的赎金很有限,所以将矛头转向了电脑,但现在的智能手机以及手机上的重要资料远远超过了以前,黑客断然不会放过这个机会。

结束语

网络安全无小事,没有网络安全就没有国家安全。勒索病毒肆虐,再次警示网络安全问题的严峻,我们仍然缺乏针对网络安全的有效预警和紧急防护机制。希望这次事件能够唤醒社会公众对于网络安全的关注,及时升级系统修补漏洞;更希望这次事件能够警醒社会各界,无论政府部门还是互联网企业,都能投入更大力量,紧密合作打击黑灰产业,守护网络安全。

分享到:

评论语

背景介绍

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。目前已经波及99个国家。