向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

道高一尺,魔高一丈!勒索病毒WannaCry变异2.0版来袭

时间:2017-05-15 作者:网络整理 阅读:
勒索软件虽不时肆虐网络,但一般而言只要小心钓鱼邮件,勿胡乱开启不明附件就能避免“中招”。然而,自周五起不少网络安全公司发现全球多个国家和地区的机构及个人电脑遭受名为“WanaCrypt0r 2.0”的勒索软件攻击感染。

有别于以往的攻击方式,据了解该勒索软件是直接透过系统漏洞进行攻击,除 Windows 10 及 Server 2016 外,近乎所有 Windows 系统及其服务器版本均受威胁。英国一名专家曾发现该病毒漏洞,暂时抑制了传播,但病毒马上变异出2.0版本,目前尚无有效解决方案,只能靠预防。
wannacry_06
中国高校教育网络成高发地w8KEETC-电子工程专辑

据防毒软件公司 Avast Software 最新公布的数字,目前已在全球 99 个国家侦测到超过 75,000 宗 “WanaCrypt0r 2.0”(又名 WannaCry) 的攻击个案,逾10万台电脑受害。而在 Kaspersky 安全研究及分析团队侦测到的 45,000 宗攻击个案中,俄罗斯、乌克兰、中国属前十位攻击分布最高的国家。
WanaCrypt0r-2.0-6
全球范围受影响的更不乏大型企业及政府机构,如英国国家卫生事务局 (NHS) 旗下多间医院及西班牙电信公司 Telefonica 等。在中国大陆,教育网络则成为重灾户,许多教育单位都业务停摆。
WanaCrypt0r-2.0-4
更惨的是,连政府单位也中招,包括北京、上海、江苏、天津等多地的出入境、派出所等政府单位,以及油站等终端机也疑似遭遇了病毒袭击。
WanaCrypt0r-2.0-3
综合 CNVD 技术组成员单位奇虎 360公司、安天公司等单位已获知的样本情况和分析结果,这次的勒索病毒会利用 445 Port和SMB服务漏洞 (MS17-010) 入侵,而大陆的校园网络也使用 445 Port,因此成为首当其冲的重灾户。许多学校的学生也都反映自己的电脑遭受病毒攻击,文件被加密,甚至写好的论文资料都打不开了。由于透过校园网络传播,影响十分广泛。
WanaCrypt0r-2.0-5
某高校机房数台电脑中招w8KEETC-电子工程专辑

当用户主机系统被该勒索软件工具入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。
WanaCrypt0r-2.0-1
周六(5月13日)在微博上陆续有用户反映,包括北京、上海、江苏、天津等多地的出入境、派出所等单位也疑似遭遇了病毒袭击。因此很多民众原本要到这些地方去办理业务的,全都变成在当地枯等。有人抱怨在大厅等候了半个小时,十一个接待窗口没有叫过一个号码。
WanaCrypt0r-2.0
至于为什么传出灾情的都是入出境管理局?猜测可能是因为周六大多数机关并没有开放的缘故。w8KEETC-电子工程专辑

去年黑客已发现该漏洞,但微软发的补丁你打了吗?w8KEETC-电子工程专辑

今次肆虐全球的“WanaCrypt0r”一如过往勒索软件的运作模式,当受害者的电脑遭受感染后,所有档案均被加密成副档名为 .WNCRY 的格式,无法正常开启读取资料。档案加密后亦会弹出相应界面指示受害者需在三天内交付价值 300 美元的 比特币(Bitcoin) 赎金,逾期加倍,若未能在七天内交付则再无法恢复档案。勒索软件的界面更包括简繁中文在内的 28 种不同语言,明显针对全球各地用户。w8KEETC-电子工程专辑

有别于过往透过钓鱼邮件感染的方式,不少受害者在网上回报指在正常使用电脑的情况下突然弹出相关勒索界面。据了解“WanaCrypt0r”是透过 Windows 系统内名为 EternalBlue 的 Windows SMB 远端执行程序码弱点进行攻击,成功利用弱点的攻击者有机会获得在目标服务器上执行程序码的能力。w8KEETC-电子工程专辑

然而,由于不少机构及个人用户未有定期安装 Windows 系统更新的习惯,导致今次“WanaCrypt0r”能快速感染多个国家及地区的电脑。安全专家亦呼吁机构和个人用户尽快安装微软官方发布的 MS17-010 安全更新,确保修补今次攻击中使用到的 SMB 服务器漏洞。不过值得留意的是,由于微软早已停止 Windows XP 系统的技术支持,因此相关更新未有提供。w8KEETC-电子工程专辑

去年黑客团队 Shadow Brokers 曾声称成功入侵美国国家安全局(NSA)旗下的秘密网络攻击组织 Equation Group,并发布各种攻击工具。当中就涉及众多尚未揭露的产品漏洞,被指可用于攻击、入侵除 Windows 10 及 Windows Server 2016 以外,Windows XP 至 Windows 8 及其各自对应的服务器版本系统,其中就包括 EternalBlue、EmeraldThread 等多个漏洞。而微软亦已于今年三月中发布针对 Windows SMB Server 的安全性更新 (MS17-010),修复相关安全漏洞。w8KEETC-电子工程专辑

应急处置措施w8KEETC-电子工程专辑

建议即时更新 Windows 已发布的安全更新,同时在内部网络区域、主机资产、资料备份方面做好如下工作:w8KEETC-电子工程专辑

(一)关闭 445 等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口;w8KEETC-电子工程专辑

(二)加强对 445 等端口(其他关联端口如: 135、137、139)的内部网络区域活动审查,即时发现非授权行为或潜在的攻击行为;w8KEETC-电子工程专辑

(三)由于微软对部分操作系统停止安全更新( MS17-010 安全更新),建议对 Window XP 和 Windows server 2003 主机进行检查(MS17-010 更新已不支持),使用替代操作系统。w8KEETC-电子工程专辑

(四)做好个人资料的备份。w8KEETC-电子工程专辑

安全专家曾找出解决方法,无奈病毒已变异w8KEETC-电子工程专辑

英国一位网络代号为“MalwareTech”的年轻资讯安全专家,在病毒爆发时正好在休假,因此决定用这段时间来研究一下这个病毒,结果意外发现软件的“中止开关”(killswitch)。w8KEETC-电子工程专辑

他借由从英国健保署肆虐软件样本准备进行研究,发现 WanaCrypt0r 2.0 会一直尝试存取某个像是随机在键盘打出来的一长串网址名称。当时他无法理解这串网址的意义,由于这个网址名称并未注册启用,好奇心与职业习惯下,他花了 8. 29 英镑把网域注册下来,一注册后他发现该网域出现成千上万的连线量,而且来自全世界各地。
wannacry_06-1
WanaCrypt0r-2.0-2
勒索软件的样本部分程序码。(Source:MalwareTech)w8KEETC-电子工程专辑

一开始他不清楚流量来自何方,随着对病毒码的进一步分析,各安全研究机构也开始注意到这个网址,而各方的勒索攻击也停了下来,他们才发现这似乎是紧急中止开关。w8KEETC-电子工程专辑

原来这个勒索软件启动后会先连到下面这一长串网址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
连线失败后才会执行档案加密,否则就放弃档案加密,并结束软件退出。也就是说,这一长串看似无意义的网址一旦注册生效,在各个感染勒索软件的主机上将能停止扩散。不过有资安专家表示,先前受感染的电脑档案仍有被加密勒索的风险,因为这软件是属于“潜伏”型的,会先行进后才“发作”,不过至少暂缓了进一步扩大的可能。w8KEETC-电子工程专辑

有网络安全专家透露,这可能是勒索病毒的作者留的一着“后路”, 希望在软件传播失控或需要抑止时的开关,透过注册这个网址来中止勒索软件的传播,以免连自己都难以收场。
wannacry_06-2
▲ 现在网址已被注册了,连线后会出现这个画面。w8KEETC-电子工程专辑

然而,道高一尺,魔高一丈!w8KEETC-电子工程专辑

勒索病毒WannaCry今日被发现出现变种WannaCry 2.0,取消了Kill Switch机制,使用者不能通过注册某个功能变数名称来关闭变种勒索病毒的传播,该变种传播速度可能会更快。w8KEETC-电子工程专辑

这场勒索风暴目前进账多少钱?w8KEETC-电子工程专辑

不过你可知道,这个大规模攻击全球的勒索病毒,至今为骇客们赚进多少银两?答案令人意外。w8KEETC-电子工程专辑

英国《卫报》(The Guardian)报导,比特币交易监控平台Elliptic创办人罗宾森(Tom Robinson)透露,这款恶意勒索软件有两种版本,一种出现在4月份,目前已确定与其相关的比特币地址,而团队也找出了和周五出现的版本有关的3个比特币地址。w8KEETC-电子工程专辑

罗宾森指出,根据数据资料,这三个地址至今仅收到8.2个比特币,价值约为1.4万美元(约人民币9.7万),加上和4月份版本有关的地址,约为2万美元(约人民币13.8万)。目前这些比特币仍存地址内没被提取,无法追查骇客行踪。先前有专家猜测,如此大规模的攻击行为,骇客到手的赎金可能逾10亿美元。w8KEETC-电子工程专辑

EETC wechat barcode


关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。
w8KEETC-电子工程专辑

w8KEETC-电子工程专辑

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
您可能感兴趣的文章
  • 华为余承东:华为P40或搭载鸿蒙系统,ARM的CPU我们也有备 麒麟990发布会后,余承东接受了海外媒体采访,回答了一些近期有关华为的问题。在手机是否会使用鸿蒙系统的问题上,他表示鸿蒙系统已经准备就绪,但我们不会先去使用它,因为还考虑到相关决定和合作。
  • 让微控制器来保障我们未来的安全! 微控制器几十年来一直是许多电子设备的基本大脑。但直到最近这些设备才被连接到外部世界,联网的微控制器极大地改变和扩展了其价值,但联网就意味着很容易受到黑客的攻击,那么,我们如何确保控制器的安全呢?“高度安全设备的七个特性”的主要作者Hunt提倡一种分层安全法。
  • 干货:华为“鸿蒙”所涉及的微内核究竟是什么? 关于微内核的定义,这里有一份简单的描述:内核运行在内核态,只包含基本的多任务调度功能;其他系统服务都运行在用户态,包括文件系统,网络协议栈,甚至内存管理,驱动都是一个个独立的用户态进程,并相互做内存隔离。应用需要使用系统服务时,都通过IPC发送消息来使用其他用户态服务。
  • 华为鸿蒙操作系统会遇到专利问题吗? 中国在很多年前一直都想做国产操作系统,但是最后都没有取得实质性成功,微软、苹果、Android系统处于近乎垄断的市场地位。这里面有技术、生态、市场等因素,但还有一个不可忽视的原因-专利。
  • 华为鸿蒙操作系统今日重磅发布 2019华为开发者大会于8月9日14点30分举行,传闻已久的鸿蒙操作系统在此大会上揭开了神秘面纱。华为消费者业务CEO余承东宣布:“如果安卓不能用,鸿蒙随时可用。”
  • 华为“鸿蒙”系统被曝在多国注册商标 在遭到美国政府制裁后,华为的自研操作系统一直备受关注。8日,专门报道华为新闻的“Huawei central”网站披露,华为已在全球几乎所有可能的知识产权组织提交了“HongMeng(鸿蒙)”商标申请。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告