四海網(wǎng)

永恒之藍(lán)勒索病毒來自何處?如何防范WannaCry2.0病毒

2017-05-16 16:59:25來源:四海網(wǎng)綜合

12.jpg  

      “您的一些重要文件被我加密保存了。照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等”、“想要恢復(fù)全部文檔,需要支付等額價(jià)值300美元的比特幣”、“最好3天之內(nèi)付款,過了三天費(fèi)用就會翻倍”。

  近日,一種名為WannaCry勒索病毒(又被稱為“想哭”、“永恒之藍(lán)”病毒)從英國NHS醫(yī)院蔓延至全球。五個(gè)小時(shí)之內(nèi),包括美國、俄羅斯、中國以及整個(gè)歐洲在內(nèi)的100多個(gè)國家的電腦中招。據(jù)360威脅情報(bào)中心14日上午發(fā)布的數(shù)據(jù)顯示,截止到5月13日20點(diǎn),國內(nèi)有29372家機(jī)構(gòu)組織的數(shù)十萬臺機(jī)器感染,其中有教育科研機(jī)構(gòu)4341家,是此次事件的重災(zāi)區(qū)。

  WannaCry勒索病毒來自何處?

  騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全技術(shù)專家馬勁松介紹,此次勒索病毒“WannaCry”事件與以往相比最大的區(qū)別在于,勒索病毒結(jié)合了蠕蟲的方式進(jìn)行傳播,傳播方式采用了前不久NSA(美國國家安全局)被泄漏出來的MS17-010漏洞。

  MS17-010漏洞指的是,攻擊者利用該漏洞,向用戶機(jī)器的445端口發(fā)送精心設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包文,實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

  此次事件中,黑客利用該漏洞,通過在網(wǎng)絡(luò)上掃描開放的445端口,然后把ONION和WNCRY兩個(gè)家族為主的蠕蟲病毒植入被攻擊電腦,被控制的電腦又會去掃描其他電腦,最終以多米諾骨牌的方式不斷感染其他電腦。高校網(wǎng)絡(luò)環(huán)境大多沒有對445端口做防范處理,這也是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一。

  而ONION和WNCRY病毒的一大特征就是會勒索比特幣,勒索金額分別是3~5個(gè)比特幣和300~600美元,所以它們有勒索病毒、比特幣病毒這樣的稱呼。(以目前比特幣行情,1個(gè)比特幣相當(dāng)于人民幣1萬元左右。)由于在NSA泄漏的文件中,MS17-010漏洞利用的代碼被稱為“EternalBlue”,所以這次攻擊也被稱作“永恒之藍(lán)”。(“永恒之藍(lán)”有美國國家安全局核彈級網(wǎng)絡(luò)攻擊工具之稱。)

  再現(xiàn)變種,WannaCry2.0版面世

  5月14日,北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》。通知指出,有關(guān)部門監(jiān)測發(fā)現(xiàn),WannaCry 勒索蠕蟲出現(xiàn)了變種:WannaCry 2.0,與之前版本的不同是,這個(gè)變種取消了所謂的Kill Switch。

  “Kill Switch”是緊急開關(guān)的意思。此前,WannaCry勒索病毒發(fā)作之前,都會向某個(gè)域名發(fā)出請求,如果該域名已經(jīng)被人注冊了,就會退出停止傳播;如果不存在則繼續(xù)攻擊。

  而就在勒索病毒大規(guī)模爆發(fā)的時(shí)候,英國有一名安全人員通過對病毒樣本進(jìn)行分析,發(fā)現(xiàn)在代碼的一開始,有一個(gè)特殊的域名地址,而且還尚未被注冊。出于職業(yè)習(xí)慣,他花很少的錢注冊了這個(gè)域名。沒想到他這無心之舉,竟然觸發(fā)了病毒作者留下的緊急停止的開關(guān),從而阻止了WannaCry病毒的傳播。

  但現(xiàn)在WannaCry2.0取消了Kll Switch,這就意味著不能通過注冊某個(gè)域名來關(guān)閉變種勒索蠕蟲的傳播,因此傳播速度也可能會更快。

  如何防范WannaCry2.0病毒

  北京市三部門在《通知》中指出,WannaCry2.0的有關(guān)處置方法與之前版本相同:

  一、請立即組織內(nèi)網(wǎng)檢測,查找所有開放445 SMB服務(wù)端口的終端和服務(wù)器,一旦發(fā)現(xiàn)中毒機(jī)器,立即斷網(wǎng)處置,目前看來對硬盤格式化可清除病毒。

  二、目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞,請盡快為電腦安裝此補(bǔ)丁,網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對于XP、2003等微軟已不再提供安全更新的機(jī)器,建議升級操作系統(tǒng)版本,或關(guān)閉受到漏洞影響的端口,可以避免遭到勒索軟件等病毒的侵害。

  三、一旦發(fā)現(xiàn)中毒機(jī)器,立即斷網(wǎng)。

  四、啟用并打開“Windows防火墻”,進(jìn)入“高級設(shè)置”,在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。關(guān)閉UDP135、445、137、138、139端口,關(guān)閉網(wǎng)絡(luò)文件共享。

  五、嚴(yán)格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備。

  六、盡快備份自己電腦中的重要文件資料到存儲設(shè)備上。

  七、及時(shí)更新操作系統(tǒng)和應(yīng)用程序到最新的版本。

  八、加強(qiáng)電子郵件安全,有效的阻攔掉釣魚郵件,可以消除很多隱患。

  九、安裝正版操作系統(tǒng)、Office軟件等。

  但360首席安全工程師鄭文彬也表示,從某種意義上來說這種勒索病毒“可防不可解”。“這次病毒的加密能力非常強(qiáng),從原理上講非常難破解,除非我們能找到它的漏洞。但這件事可能花幾十年都是徒勞無功。”鄭文彬說,這次勒索病毒攻擊的是Windows8.1以下版本,所以Windows10系統(tǒng)和蘋果系統(tǒng)暫時(shí)是安全的。

  WannaCry會感染手機(jī)嗎?

  目前,WannaCry勒索病毒只攻擊windows系統(tǒng)的電腦,手機(jī)等終端不會被攻擊,包括Unix、Linux、Android等系統(tǒng)都不會受影響。

  不過,安全人士表示,從去年起,也有越來越多冒充正常App的勒索病毒出現(xiàn)在手機(jī)上,利用游戲或是視頻播放的方式,吸引用戶點(diǎn)擊后,讓手機(jī)中毒。

  所以,建議手機(jī)用戶不要從非官方渠道下載來路不明的App,或者是打開自己并不熟悉的郵件鏈接以及網(wǎng)頁。

聲明:本文由四海網(wǎng)用戶songjx原創(chuàng)/整理/投稿,本站收錄此文僅為傳遞更多信息,幫助用戶獲取更多知識之目的,內(nèi)容僅供參考學(xué)習(xí),文圖內(nèi)容如存在錯(cuò)誤或侵害您的權(quán)益,請與我們聯(lián)系,本站承諾2小時(shí)內(nèi)完成處置反饋工作。Tags: