5月12日起,Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,大量个人和企业、机构用户中招。
据中新社5月14日报道,目前安全机构暂未能有效破除该勒索软的恶意加密行为,用户只能进行预防,用户中毒后可以通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
与以往不同的是,这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的“永恒之蓝”0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播。
如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,黑客即可在电脑里执行任意代码,植入勒索病毒等恶意程序。
一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密,并勒索高额的比特币赎金,折合人民币2000-50000元不等。
从目前监控到的情况来看,全网已经有数万用户感染,QQ、微博等社交平台上也是哀鸿遍野,后续威胁也不容小觑。
敲诈勒索病毒+远程执行漏洞蠕虫传播的组合致使危险度剧增,对近期国内的网络安全形势一次的严峻考验。
【传播感染背景】
本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种,首先在英国、俄罗斯等多个国家爆发,有多家企业、医疗机构的系统中招,损失非常惨重。
安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。
从5月12日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。
全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击
24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10W+
本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁,漏洞编号MS17-010)。
和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机,传播感染速度非常快。
本次敲诈者蠕虫病毒变种通过“永恒之蓝”漏洞进行网络攻击
虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口,但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标。
对于企业来说尤其严重,一旦内部的关键服务器系统遭遇攻击,带来的损失不可估量。
从检测到反馈情况看,国内多个高校都集中爆发了感染传播事件,甚至包括机场航班信息、加油站等终端系统遭受影响,预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。
全国各地的高校内网的敲诈者蠕虫感染攻击爆发
某高校机房全部遭遇WNCRY敲诈者蠕虫攻击
国内某地加油站系统遭遇本次敲诈者蠕虫变种攻击
某机场航班信息终端同样遭遇了敲诈者蠕虫攻击
【敲诈蠕虫病毒感染现象】
中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。
WNCRY变种一般勒索价值300-600美金的比特币,Onion变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3万左右。
此类病毒一般使用RSA等非对称算法,没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。
从某种意义上来说,这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。
感染WNCRY勒索病毒的用户系统弹出比特币勒索窗口
用户文件资料被加密,后缀改为“wncry”,桌面被改为勒索恐吓
对部分变种的比特币支付地址进行追踪发现,目前已经有少量用户开始向病毒作者支付勒索赎金。
从下图中我们可以看到这个变种的病毒作者已经收到19个用户的比特币赎金,累计3.58个比特币,市值约人民币4万元。
某个敲诈者蠕虫的比特币支付信息追踪
【防御措施建议】
1.开机先拔掉网线
勒索病毒利用windows系统漏洞,通过445等端口主动传播,所以开机前先拔掉网线,以防不测。
2.开启360反勒索服务
打开360软件,点击开启反勒索服务:
3.连上网线,到微软官网下载最新“勒索病毒”补丁
微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞,同时针对停止支持的Windows XP、Windows Server 2003、Windows 8也发布了专门的修复补丁。
最新版的Windows 10 1703创意者更新已经不存在此漏洞,不需要补丁。
各系统补丁官方下载地址如下:
【KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
适用于Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安腾
【KB4012212】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
适用于Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位
【KB4012213】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
适用于Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位
【KB4012214】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
适用于Windows 8嵌入式、Windows Server 2012
【KB4012606】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
适用于Windows 10 RTM 32位/64位/LTSB
【KB4013198】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198
适用于Windows 10 1511十一月更新版32/64位
【KB4013429】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429
适用于Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位
基本上经过上面三步,就可以安心使用电脑了。
勒索病毒危害严重,一旦中招基本恢复无望,Windows XP、Windows Server 2003系统用户还可以关闭445端口,规避遭遇此次敲诈者蠕虫病毒的感染攻击。谨慎打开不明来源的网址和邮件,打开Office文档的时候禁用宏开启,网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道。养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件。