2017年5月12日以来,基于Windows网络共享协议攻击传播的蠕虫恶意代码在全球范围内爆发;永恒的蓝色勒索蠕虫。5个小时内,包括美国、俄罗斯、整个欧洲在内的100多个国家,以及国内高校内网、大型企业内网、政府机构专网,被勒索支付高额赎金解密恢复的文件,重要数据损失严重。那么永恒之蓝勒索蠕虫是什么?开发商是谁?是怎么传播的?下面带大家详细了解一下。
勒索病毒详细介绍
这个“永恒之蓝”勒索蠕虫是全球首例NSA网络武器民用案例。一个月前,影子经纪人公布了第四批与NSA相关的网络攻击工具和文档,其中包括涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,包括“永恒之蓝”攻击程序。
在之前利用445端口进行蠕虫攻击的事件中,一些运营商已经在骨干网上禁用了445端口,但是教育网和大量企业内网没有这个限制,也没有及时安装补丁。仍然有大量的计算机暴露445端口并存在漏洞,导致这种“永恒之蓝”勒索蠕虫的泛滥。
资深安全专家表示,“孤立不等于安全。高校和企业孤立的专网,本身就是小规模的互联网,需要作为互联网来建设。”针对此次安全事件,强烈建议企业安全管理员在网络边界的防火墙上拦截对445端口的访问,将设备的检测规则升级到最新版本,同时设置对相应漏洞攻击的拦截,直到确认网络中的计算机安装了微软MS17-010补丁或关闭了服务器服务。
通过“永恒之蓝”勒索蠕虫事件,我们发现,目前国内一些大型企业客户的IT系统中,存在防火墙品牌不一致的问题,导致安全事件爆发时防火墙无法集中发布安全策略,直接影响企业对安全事件的应急响应速度。
勒索蠕虫的真实面目
5月12日,勒索蠕虫开始传播,从发现到大范围传播仅用了几个小时,其中高校成为重灾区。那么,这种病毒是一种什么病毒,是如何传播的,为什么会造成如此严重的后果?
这个勒索蠕虫是针对微软永恒之蓝的漏洞进行传播和攻击的。一旦电脑感染病毒,被感染的电脑会主动随机攻击局域网内的其他电脑。理论上,局域网内所有没有打补丁的电脑都会感染病毒。微软在今年3月发布了修复该漏洞的补丁。
网络安全专家孙晓军表示,这个病毒利用了一个漏洞,但是我们的用户没有打补丁的习惯,没有及时修复这个漏洞。这个病毒样本通过漏洞攻击了多台电脑。
据网络安全公司统计,截至5月13日晚8点,全国共有39730家机构被感染,其中教育科研机构4341家。高校成了这种蠕虫的重灾区。
这一次,病毒利用了445的一个重要端口。由于校园网中的ip直连,没有nat和防火墙阻挡对445端口的访问,所以校园网中未打补丁的机器直接暴露在病毒之下。
由于计算机蠕虫具有主动攻击的特点,每种蠕虫传播范围都很广。然而,5月12日爆发的蠕虫病毒与以往不同。入侵电脑后,会对电脑中的各种信息进行加密,如图片、文档、视频、压缩包等。并跳出弹出窗口。被告必须支付赎金才能解密电脑中的加密信息。
感染该蠕虫后,不到十秒钟,电脑中的用户文件全部被加密,无法打开。据网络安全专家介绍,用户电脑一旦感染这种勒索软件,目前还没有找到有效的方法解锁加密文件。专家不建议用户支付赎金来解锁。
加密文件会根据病毒指引支付赎金获得密钥,但根据目前的研究,成功的概率很低,整个互联网安全界都在积极探索是否有办法解开这个密钥。因为它使用了高强度的非对称加密算法,这个密钥空间非常大,即使暴力破解也需要非常长的时间,目前是无法接受的。
对于已经感染病毒的用户,专家建议先用安全软件查杀蠕虫,并保留加密的文件,等将来网络安全公司找到有效方法后再解锁。
勒索病毒是如何传播的?
这类病毒针对性强,主要传播方式是邮件。
勒索文件一旦被用户点击打开,就会利用黑客连接的CC服务器上传本地信息,下载加密的公钥和私钥。然后,将加密后的公钥和私钥写入注册表,遍历本地磁盘中的Office文档、图片等文件,对这些文件的格式进行篡改和加密;加密完成后,会在桌面等明显的地方生成勒索提示文件,引导用户支付赎金。
勒索文件一旦进入本地,就会自动运行,同时会删除勒索样本,避免查杀和分析。接下来,勒索软件利用本地的上网权限连接黑客的CC服务器,然后上传本地信息,下载加密的私钥和公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人几乎不可能解密。加密完成后会修改壁纸,在桌面等明显位置生成勒索提示文件,引导用户支付赎金。而且变种类型很快,对常规杀毒软件免疫。攻击样本主要是exe、js、wsf、vbe等,这对依赖特征检测的常规安全产品是一个极大的挑战。
一般勒索病毒攻击任何人,但有的是针对企业用户(如xtbl、wallet),有的是针对所有用户。
永恒之蓝勒索蠕虫的危害
中新网5月13日电今日全国多地中石油加油站无法进行加油网上支付,只能进行现金支付。中石油相关负责人表示,疑似受到病毒攻击,具体情况还在核实处置中。
据媒体报道,5月13日,北京、上海、重庆、成都等全国多个城市的部分中石油加油站。今天零点左右突然断网了。但由于断网,目前无法使用支付宝、微信等在线支付方式,只能使用现金。
中石油相关负责人表示,目前公司加油站的加油业务和现金支付业务运行正常,但第三方支付无法使用,疑似受到病毒攻击。具体情况还在核实处置中。
永恒之蓝勒索病毒爆发,国内高校成为重灾区。360安全监控与响应中心对此事的风险评级为“危急”。
高校是永恒之蓝的重灾区。有一天,你开开心心的打开电脑,感觉很正常,但是用电脑的时候突然卡了。没几秒钟,桌面背景就变了,弹出一个提示框,说你所有的文件都加密了,要付费。然后看你的文件,真的加密了。
勒索软件开发者是谁?
近日,一则关于勒索病毒变异的新闻引发关注。如今,网络黑客的商业化已经非常成熟。制枪(制造)、卖枪(贩卖)、取箱(购买实施者)、挂马(传播)、分销、变现,在“一条龙”的流程中环环相扣,每天在全球黑产网络中流通的交易额以亿元计算。
国内勒索软件的重灾区是校园网。相比之下,英国被袭击的医院一片混乱。据英国镜报等报道,受病毒影响的40家医院的所有IT系统、电话系统和病人管理系统目前都处于暂停状态。这意味着所有系统都是离线的,医院根本无法接听来电。等待紧急p
报道称,已经发生了超过4.5万次攻击,主要发生在俄罗斯,至少有10次赎金,每次约300美元,支付给黑客提供的比特币账户。
据30安全中心分析,校园网勒索病毒是由NSA泄露的“永恒之蓝”黑客武器传播的。“永恒之蓝”可以远程攻击Windows的445端口(文件共享)。如果系统没有安装今年3月的微软补丁,就不需要用户的任何操作。只要开机并连接互联网,不法分子就可以在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
因为国内一直有很多蠕虫病毒通过445端口传播,所以一些运营商对个人用户屏蔽了445端口。而教育网则没有这种限制,有大量445端口暴露的机器,因此成为不法分子使用NSA黑客武器的重灾区。
校园网勒索病毒事件监测数据显示,洋葱病毒最早出现在国内,平均每小时攻击200次左右,夜间峰值达到每小时1000次以上;WNCRY勒索病毒是5月12日下午新出现的一种全球性攻击,在中国的校园网内迅速蔓延,晚上高峰时每小时攻击约4000次。
到目前为止,还没有找到幕后开发者,攻击还在继续。
如何防范比特币勒索病毒
1.不给钱。赎金很贵,交了之后不一定能收回。
2.没有中毒的电脑会快速多次备份数据。如果已经中毒,重装系统前先降硬盘,再装操作系统。
3.安装了反勒索软件,但是只在病毒入侵前起作用,对于已经感染病毒的电脑,你却无能为力。重要文件还是要做好备份。不要访问可接受的网站,不要打开可疑的邮件和文件。
4.关闭计算机的端口135和445,包括TCP和UDP协议。
5.如果还是听不懂,就掐网。
看过勒索蠕虫是什么的人也看过: