永恒之藍(lán)勒索病毒來自何處？如何防范WannaCry2.0病毒

      “您的一些重要文件被我加密保存了。照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等”、“想要恢復(fù)全部文檔，需要支付等額價值300美元的比特幣”、“最好3天之內(nèi)付款，過了三天費用就會翻倍”。

　　近日，一種名為WannaCry勒索病毒(又被稱為“想哭”、“永恒之藍(lán)”病毒)從英國NHS醫(yī)院蔓延至全球。五個小時之內(nèi)，包括美國、俄羅斯、中國以及整個歐洲在內(nèi)的100多個國家的電腦中招。據(jù)360威脅情報中心14日上午發(fā)布的數(shù)據(jù)顯示，截止到5月13日20點，國內(nèi)有29372家機(jī)構(gòu)組織的數(shù)十萬臺機(jī)器感染，其中有教育科研機(jī)構(gòu)4341家，是此次事件的重災(zāi)區(qū)。

　　WannaCry勒索病毒來自何處?

　　騰訊安全聯(lián)合實驗室反病毒實驗室負(fù)責(zé)人、騰訊電腦管家安全技術(shù)專家馬勁松介紹，此次勒索病毒“WannaCry”事件與以往相比最大的區(qū)別在于，勒索病毒結(jié)合了蠕蟲的方式進(jìn)行傳播，傳播方式采用了前不久NSA(美國國家安全局)被泄漏出來的MS17-010漏洞。

　　MS17-010漏洞指的是，攻擊者利用該漏洞，向用戶機(jī)器的445端口發(fā)送精心設(shè)計的網(wǎng)絡(luò)數(shù)據(jù)包文，實現(xiàn)遠(yuǎn)程代碼執(zhí)行。

　　此次事件中，黑客利用該漏洞，通過在網(wǎng)絡(luò)上掃描開放的445端口，然后把ONION和WNCRY兩個家族為主的蠕蟲病毒植入被攻擊電腦，被控制的電腦又會去掃描其他電腦，最終以多米諾骨牌的方式不斷感染其他電腦。高校網(wǎng)絡(luò)環(huán)境大多沒有對445端口做防范處理，這也是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一。

　　而ONION和WNCRY病毒的一大特征就是會勒索比特幣，勒索金額分別是3～5個比特幣和300～600美元，所以它們有勒索病毒、比特幣病毒這樣的稱呼。(以目前比特幣行情，1個比特幣相當(dāng)于人民幣1萬元左右。)由于在NSA泄漏的文件中，MS17-010漏洞利用的代碼被稱為“EternalBlue”，所以這次攻擊也被稱作“永恒之藍(lán)”。(“永恒之藍(lán)”有美國國家安全局核彈級網(wǎng)絡(luò)攻擊工具之稱。)

　　再現(xiàn)變種，WannaCry2.0版面世

　　5月14日，北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》。通知指出，有關(guān)部門監(jiān)測發(fā)現(xiàn)，WannaCry 勒索蠕蟲出現(xiàn)了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了所謂的Kill Switch。

　　“Kill Switch”是緊急開關(guān)的意思。此前，WannaCry勒索病毒發(fā)作之前，都會向某個域名發(fā)出請求，如果該域名已經(jīng)被人注冊了，就會退出停止傳播;如果不存在則繼續(xù)攻擊。

　　而就在勒索病毒大規(guī)模爆發(fā)的時候，英國有一名安全人員通過對病毒樣本進(jìn)行分析，發(fā)現(xiàn)在代碼的一開始，有一個特殊的域名地址，而且還尚未被注冊。出于職業(yè)習(xí)慣，他花很少的錢注冊了這個域名。沒想到他這無心之舉，竟然觸發(fā)了病毒作者留下的緊急停止的開關(guān)，從而阻止了WannaCry病毒的傳播。

　　但現(xiàn)在WannaCry2.0取消了Kll Switch，這就意味著不能通過注冊某個域名來關(guān)閉變種勒索蠕蟲的傳播，因此傳播速度也可能會更快。

　　如何防范WannaCry2.0病毒

　　北京市三部門在《通知》中指出，WannaCry2.0的有關(guān)處置方法與之前版本相同:

　　一、請立即組織內(nèi)網(wǎng)檢測，查找所有開放445 SMB服務(wù)端口的終端和服務(wù)器，一旦發(fā)現(xiàn)中毒機(jī)器，立即斷網(wǎng)處置，目前看來對硬盤格式化可清除病毒。

　　二、目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請盡快為電腦安裝此補(bǔ)丁，網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對于XP、2003等微軟已不再提供安全更新的機(jī)器，建議升級操作系統(tǒng)版本，或關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。

　　三、一旦發(fā)現(xiàn)中毒機(jī)器，立即斷網(wǎng)。

　　四、啟用并打開“Windows防火墻”，進(jìn)入“高級設(shè)置”，在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。關(guān)閉UDP135、445、137、138、139端口，關(guān)閉網(wǎng)絡(luò)文件共享。

　　五、嚴(yán)格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備。

　　六、盡快備份自己電腦中的重要文件資料到存儲設(shè)備上。

　　七、及時更新操作系統(tǒng)和應(yīng)用程序到最新的版本。

　　八、加強(qiáng)電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。

　　九、安裝正版操作系統(tǒng)、Office軟件等。

　　但360首席安全工程師鄭文彬也表示，從某種意義上來說這種勒索病毒“可防不可解”。“這次病毒的加密能力非常強(qiáng)，從原理上講非常難破解，除非我們能找到它的漏洞。但這件事可能花幾十年都是徒勞無功。”鄭文彬說，這次勒索病毒攻擊的是Windows8.1以下版本，所以Windows10系統(tǒng)和蘋果系統(tǒng)暫時是安全的。

　　WannaCry會感染手機(jī)嗎?

　　目前，WannaCry勒索病毒只攻擊windows系統(tǒng)的電腦，手機(jī)等終端不會被攻擊，包括Unix、Linux、Android等系統(tǒng)都不會受影響。

　　不過，安全人士表示，從去年起，也有越來越多冒充正常App的勒索病毒出現(xiàn)在手機(jī)上，利用游戲或是視頻播放的方式，吸引用戶點擊后，讓手機(jī)中毒。

　　所以，建議手機(jī)用戶不要從非官方渠道下載來路不明的App，或者是打開自己并不熟悉的郵件鏈接以及網(wǎng)頁。