一場規(guī)??涨暗牟《竟羰录趧傔^去的這個周末突然出現(xiàn),全球150多個國家淪陷。中國也有近3萬家機構有計算機遭受影響,國內眾多高校也紛紛中招。黑客則通過鎖定電腦文件來勒索用戶交贖金,而且只收比特幣。
什么是“勒索”病毒?
據(jù)360安全中心分析,此次校園網(wǎng)勒索病毒是由NSA泄漏的“永恒之藍”黑客武器傳播的?!坝篮阒{”可遠程攻擊Windows的445端口(文件共享),如果系統(tǒng)沒有安裝今年3月的微軟補丁,無需用戶任何操作,只要開機上網(wǎng),“永恒之藍”就能在電腦里執(zhí)行任意代碼,植入勒索病毒等惡意程序。
目前,“永恒之藍”傳播的勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁盤文件會被篡改為相應的后綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復。這兩類勒索病毒,勒索金額分別是5個比特幣和300美元,折合人民幣分別為5萬多元和2000多元。
勒索病毒已經(jīng)出現(xiàn)新變種
14日,國家網(wǎng)絡與信息安全通報中心緊急通報:監(jiān)測發(fā)現(xiàn),在全球范圍內爆發(fā)的WannaCry勒索病毒出現(xiàn)了變種:WannaCry 2.0, 與之前版本的不同是,這個變種不能通過注冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。
對于變種病毒的防范方法,專家說,“變種之前和變種之后的防護方法其實大同小異,最重要的是針對用戶的電腦打補丁,把漏洞修補。政府和企業(yè)用戶,不僅僅要解決單臺電腦的問題,還要通過網(wǎng)絡策略的配置,來解決病毒的快速傳播問題。一旦一臺電腦中毒,要把病毒控制在一臺電腦當中做隔離,這時候就需要通過網(wǎng)絡的手段來控制病毒的快速傳播?!?/p>
突發(fā)全球爆發(fā)勒索病毒,對主機破壞嚴重
據(jù)國家互聯(lián)網(wǎng)應急中心介紹,“WannaCry”病毒屬于蠕蟲式勒索軟件,通過利用編號為MS17-010的Windows漏洞(被稱為“永恒之藍”)主動傳播感染受害者。截至14日10時30分,國家互聯(lián)網(wǎng)應急中心已監(jiān)測到約242.3萬個IP地址遭受“永恒之藍”漏洞攻擊;被該勒索軟件感染的IP地址數(shù)量近3.5萬個,其中中國境內IP約1.8萬個。
“被該勒索軟件入侵后,用戶主機系統(tǒng)內的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件都將被加密,加密文件的后綴名被統(tǒng)一修改為 .WNCRY ,并會在桌面彈出勒索對話框,要求受害者支付價值數(shù)百美元的比特幣到攻擊者的比特幣錢包,且贖金金額還會隨著時間的推移而增加。”國家互聯(lián)網(wǎng)應急中心博士、工程師韓志輝表示,目前,安全業(yè)界暫未能有效破除該勒索軟件的惡意加密行為,用戶主機一旦被勒索軟件滲透,只能通過專殺工具或重裝操作系統(tǒng)的方式來清除勒索軟件,但用戶重要數(shù)據(jù)文件不能完全恢復。
國家互聯(lián)網(wǎng)應急中心博士、高級工程師高勝表示,該勒索軟件對于企業(yè)局域網(wǎng)或內網(wǎng)的主機系統(tǒng)破壞性尤其嚴重?!坝捎诖罅績染W(wǎng)主機沒有及時更新補丁或使用XP系統(tǒng),因此一旦有一臺主機被感染,將造成網(wǎng)內大規(guī)模擴散?!?/p>
病毒出現(xiàn)2.0變種 微軟發(fā)布補丁修復漏洞
昨天下午,北京市網(wǎng)信辦、市公安局、市經(jīng)信委聯(lián)合發(fā)布通知稱,有關部門監(jiān)測發(fā)現(xiàn),WannaCry勒索蠕蟲出現(xiàn)變種WannaCry 2.0,建議立即進行關注和處置。
變種WannaCry 2.0與之前版本的不同是,這個變種取消了所謂的“Kill Switch”,不能通過注冊某個域名來關閉變種勒索蠕蟲的傳播。該變種的傳播速度可能會更快,該變種的有關處置方法與之前版本相同,建議立即進行關注和處置。
通知稱,目前微軟已發(fā)布補丁MS17-010修復了“永恒之藍”攻擊的系統(tǒng)漏洞,請盡快為電腦安裝此補丁;對于XP、2003等微軟已不再提供安全更新的機器,建議升級操作系統(tǒng)版本,或關閉受到漏洞影響的端口,可以避免遭到勒索軟件等病毒的侵害。
通知還建議,一旦發(fā)現(xiàn)中毒機器,立即斷網(wǎng)。嚴格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設備。盡快備份自己電腦中的重要文件資料到存儲設備上。及時更新操作系統(tǒng)和應用程序到最新的版本。
中石油加油站受波及 超8成恢復第三方支付
從上周六開始,全國多地的中石油加油站無法進行網(wǎng)絡支付,只能進行現(xiàn)金支付。中石油昨天確認,公司部分電腦受到比特幣勒索病毒爆發(fā)的影響。
昨天下午,中石油官方微博發(fā)布消息稱,5月12日22:30左右,因全球比特幣勒索病毒爆發(fā),公司所屬部分加油站正常運行受到波及。病毒導致加油站加油卡、銀行卡、第三方支付等網(wǎng)絡支付功能無法使用,加油及銷售等基本業(yè)務運行正常,加油卡賬戶資金安全不受影響。
5月13日1時,為確保用戶數(shù)據(jù)安全和防止病毒擴散,公司緊急中斷所有加油站上連網(wǎng)絡端口,并會同有關網(wǎng)絡安全專家連夜開展處置工作,全面排查風險,制定技術解決方案。
13日13時,根據(jù)現(xiàn)場驗證過的技術解決方案,開始逐站實施恢復工作。截至14日12時,公司80%以上加油站已經(jīng)恢復網(wǎng)絡連接,受病毒感染的加油站正在陸續(xù)恢復加油卡、銀行卡、第三方支付功能。
據(jù)悉,病毒是全國性的,疑似通過校園網(wǎng)傳播,十分迅速。目前賀州學院、桂林電子科技大學、桂林航天工業(yè)學院、寧波大學,浙江中醫(yī)藥大學、浙江工商大學、浙江理工大學、大連海事大學、山東大學等眾多高校都受到了病毒攻擊。
中石油2萬座加油站斷網(wǎng)
同樣受影響的還有中國石油加油站。14日,中國石油在其官網(wǎng)中發(fā)布公告稱,5月12日22點30分左右,因全球比特幣勒索病毒爆發(fā),公司所屬部分加油站正常運行受到波及。病毒導致加油站加油卡、銀行卡、第三方支付等網(wǎng)絡支付功能無法使用。不過,加油及銷售等基本業(yè)務運行正常,加油卡賬戶資金安全不受影響。
中國石油14日下午表示,根據(jù)現(xiàn)場驗證過的技術解決方案,開始逐站實施恢復工作。80%以上加油站已經(jīng)恢復網(wǎng)絡連接,受病毒感染的加油站正在陸續(xù)恢復加油卡、銀行卡、第三方支付功能。
清華提前1個月屏蔽Windows漏洞
昨天下午,記者從北京多所高校了解到,在勒索病毒爆發(fā)后,包括清華、北大、人大、北師大、語言大學、北航、北郵、北工大、北化工等都采取了緊急措施,學校校園網(wǎng)在網(wǎng)絡出口和各樓宇主要網(wǎng)絡設備上均部署了對應的防護策略,并提示學生為計算機安裝最新的安全補丁等。
清華大學相關部門5月13日發(fā)布通知稱,勒索病毒利用的漏洞正是4月份爆出的“永恒之藍”漏洞,由于清華4月15日緊急在校園網(wǎng)出口屏蔽了存在漏洞的多個Windows通信端口,最近的兩次全球大規(guī)模網(wǎng)絡安全疫情均未大面積危害清華網(wǎng)絡和校園網(wǎng)用戶。但由于本次爆發(fā)的勒索病毒正在以蠕蟲方式傳播,一旦有師生在校外感染此病毒,將可能導致疫情蔓延校內。為避免廣大師生遭受病毒危害,學校將繼續(xù)在校園網(wǎng)邊界加強防范。
人民大學網(wǎng)絡中心表示,已緊急關閉了相關端口,為學校網(wǎng)絡設置了第一道防線,目前校內未發(fā)生感染案例。
誰是病毒的幕后“元兇”?
歐洲刑警組織13日在聲明中表示,這波勒索病毒網(wǎng)絡攻擊在全球各地釀成嚴重的災情“前所未有”,他們將展開深入調查找出兇手。
韋恩萊特說,歐洲刑警組織和其他警察機構還不知道誰是幕后元兇,他們的第一個假設是這是刑事案子,目前正朝這個方向調查。
今年3月,“維基揭秘”網(wǎng)站披露了一批據(jù)稱是來自美國中情局的黑客工具,批評中情局對其黑客武器庫已經(jīng)失控,其中大部分工具“似乎正在前美國政府的黑客與承包商中未被授權地傳播”,存在“極大的擴散風險”。
教你如何免遭勒索病毒之害
1、下載NSA武器庫免疫工具: http://dl.360safe.com/nsa/nsatool.exe
2、使用防病毒程序,不斷更新軟件補丁。
3、對電子郵件、網(wǎng)站和應用保持警惕:在打開不知名的電子郵件或瀏覽他們不熟悉的網(wǎng)站時,應保持警惕,千萬不要下載未經(jīng)官方商店認證的應用。
4、注意個人手機安全,安裝手機殺毒軟件,從可靠安全的手機市場下載手機應用程序。
5、做好個人重要備份。個人的科研數(shù)據(jù)、工作文檔、照片等,根據(jù)其重要程度,定期備份到移動存儲介質、知名網(wǎng)盤或其他計算機中。
評論