勒索病毒,勒索软件,勒索软件病毒

2017年5月12日晚上20时左右,全球爆发大规模勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。 

攻击次数高,勒索金额大

据了解,这次事件是不法分子通过改造之前泄露的 NSA 黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

这次的“永恒之蓝”勒索蠕虫,是 NSA 网络军火民用化的全球第一例。一个月前,第四批 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布,包含了涉及多个 Windows 系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为 5 万多元和 2000 多元。

安全专家还发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。

没有关闭的 445 端口“引狼入室”

据360企业安全方面5月13日早晨提供的一份公告显示,由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。

因此,该安全事件被多家安全机构风险定级为“危急”。

目前,尚未获得中国范围内具体 445 端口开放的机器数量。但是了解到,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。

目前大型企业、高校、政府网络安全管理方面可以赶快测定是否受到了影响:

扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS07-010补丁,如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。

个人可自行判定电脑是否打开了 445 端口。

不过,在对360企业安全资深专家汪列军的采访中了解到,目前 90 %未关闭的 445 端口集中在中国台湾和香港地区,大陆地区虽然占比很少,但基数很大。虽然,在2008年遭受类似的蠕虫攻击后,运营商已经封闭了大多数445端口,但是很多类似于教育网、大型企业内网等相对独立的网络没有自动关闭 445端口,所以影响范围很大。

汪列军判定,该攻击已经肆虐到了全世界上百个国家和地区,这种大规模的勒索攻击十分罕见,他昨晚甚至在通宵加班,紧急处理该问题。

多家安全公司都进行了紧急处理,在今晨5、6点左右开始对外发布紧急通知。

最恐怖的一点在于,对装载Win7及以上版本的操作系统的电脑而言,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,可以立即电脑安装此补丁。汪列军说,对个人电脑,可能可以自行学习及装载,但是对于大型组织机构而言,面对成百上千台机器,必须使用集中管理的客户端,尤其如果之前没有做好安全防护措施的大型组织管理机构,处理起来十分棘手。

之前提到,有两个勒索家族出现,汪列军认为,不排除该勒索蠕虫出现了多个变种。

不法分子是将此前公布的“永恒之蓝”攻击程序改装后进行的攻击。汪列军解析,可以理解为该NSA攻击工具内核没变,但是不法分子改变了其“载核”,加上了勒索攻击的一系列调动工具,由于该NSA攻击工具可以被公开下载,不排除可有多个不法分子改装该工具发动勒索袭击。

勒索病毒,勒索软件,勒索软件病毒来源于网络。
零度电脑_基础知识_最新消息