說起最讓人頭大的病毒,不得不提近兩年風靡全球以Wannacry為代表的勒索病毒了。
作為網路安全從業人員,直至今日(2020年),我們仍會不時接到各類政企單位伺服器遭受此類病毒勒索的求助事件,前去緊急處理。
我們先來看看Wannacry簡介:
WannaCry(又叫Wanna Decryptor),一種“蠕蟲式”的勒索病毒軟體,大小3.3MB,由不法分子利用NSA(美國國家安全域性)洩露的危險漏洞“EternalBlue”(永恆之藍)進行傳播。
勒索病毒肆虐,儼然是一場全球性網際網路災難,給廣大電腦使用者造成了巨大損失。
最新統計資料顯示,100多個國家和地區超過10萬臺電腦遭到了勒索病毒攻擊、感染。勒索病毒是自熊貓燒香以來影響力最大的病毒之一。
WannaCry勒索病毒全球大爆發,至少150個國家、30萬名使用者中招,造成損失達80億美元,已經影響到金融,能源,醫療等眾多行業,造成嚴重的危機管理問題。
中國部分Windows作業系統使用者遭受感染,校園網使用者首當其衝,受害嚴重,大量實驗室資料和畢業設計被鎖定加密。部分大型企業的應用系統和資料庫檔案被加密後,無法正常工作,影響巨大。
攻擊特點
WannaCry利用Windows作業系統445埠存在的漏洞進行傳播,並具有自我複製、主動傳播的特性。
被該勒索軟體入侵後,使用者主機系統內的照片、圖片、文件、音訊、影片等幾乎所有型別的檔案都將被加密,加密檔案的字尾名被統一修改為.WNCRY,並會在桌面彈出勒索對話方塊,要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包,且贖金金額還會隨著時間的推移而增加。安全業界暫未能有效破除該勒索軟的惡意加密行為,使用者主機一旦被勒索軟體滲透,只能透過重灌作業系統的方式來解除勒索行為,但使用者重要資料檔案不能直接恢復。
傳播能力強
WannaCry主要利用了微軟“視窗”系統的漏洞,以獲得自動傳播的能力,能夠在數小時內感染一個系統內的全部電腦。勒索病毒被漏洞遠端執行後,會從資原始檔夾下釋放一個壓縮包,此壓縮包會在記憶體中透過密碼:WNcry@2ol7解密並釋放檔案。這些檔案包含了後續彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字型,還有輔助攻擊的兩個exe檔案。這些檔案會釋放到了本地目錄,並設定為隱藏。
(#註釋:說明一下,“永恆之藍”是NSA洩露的漏洞利用工具的名稱,並不是該病毒的名稱#。永恆之藍”是指NSA洩露的危險漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也透過“永恆之藍”這個漏洞傳播,因此給系統打補丁是必須的。)
2017年5月12日,WannaCry蠕蟲透過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導致電腦大量檔案被加密。受害者電腦被駭客鎖定後,病毒會提示支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。
2017年5月13日晚間,由一名英國研究員於無意間發現的WannaCry隱藏開關(Kill Switch)域名,意外的遏制了病毒的進一步大規模擴散。
2017年5月14日,監測發現,WannaCry 勒索病毒出現了變種:WannaCry 2.0, 與之前版本的不同是,這個變種取消了Kill Switch,不能透過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。請廣大網民儘快升級安裝Windows作業系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染
解決方案:
開啟系統防火牆
利用系統防火牆高階設定阻止向445埠進行連線(該操作會影響使用445埠的服務)
開啟系統自動更新,並檢測更新進行安裝
說起最讓人頭大的病毒,不得不提近兩年風靡全球以Wannacry為代表的勒索病毒了。
作為網路安全從業人員,直至今日(2020年),我們仍會不時接到各類政企單位伺服器遭受此類病毒勒索的求助事件,前去緊急處理。
我們先來看看Wannacry簡介:
WannaCry(又叫Wanna Decryptor),一種“蠕蟲式”的勒索病毒軟體,大小3.3MB,由不法分子利用NSA(美國國家安全域性)洩露的危險漏洞“EternalBlue”(永恆之藍)進行傳播。
勒索病毒肆虐,儼然是一場全球性網際網路災難,給廣大電腦使用者造成了巨大損失。
最新統計資料顯示,100多個國家和地區超過10萬臺電腦遭到了勒索病毒攻擊、感染。勒索病毒是自熊貓燒香以來影響力最大的病毒之一。
WannaCry勒索病毒全球大爆發,至少150個國家、30萬名使用者中招,造成損失達80億美元,已經影響到金融,能源,醫療等眾多行業,造成嚴重的危機管理問題。
中國部分Windows作業系統使用者遭受感染,校園網使用者首當其衝,受害嚴重,大量實驗室資料和畢業設計被鎖定加密。部分大型企業的應用系統和資料庫檔案被加密後,無法正常工作,影響巨大。
攻擊特點
WannaCry利用Windows作業系統445埠存在的漏洞進行傳播,並具有自我複製、主動傳播的特性。
被該勒索軟體入侵後,使用者主機系統內的照片、圖片、文件、音訊、影片等幾乎所有型別的檔案都將被加密,加密檔案的字尾名被統一修改為.WNCRY,並會在桌面彈出勒索對話方塊,要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包,且贖金金額還會隨著時間的推移而增加。安全業界暫未能有效破除該勒索軟的惡意加密行為,使用者主機一旦被勒索軟體滲透,只能透過重灌作業系統的方式來解除勒索行為,但使用者重要資料檔案不能直接恢復。
傳播能力強
WannaCry主要利用了微軟“視窗”系統的漏洞,以獲得自動傳播的能力,能夠在數小時內感染一個系統內的全部電腦。勒索病毒被漏洞遠端執行後,會從資原始檔夾下釋放一個壓縮包,此壓縮包會在記憶體中透過密碼:WNcry@2ol7解密並釋放檔案。這些檔案包含了後續彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字型,還有輔助攻擊的兩個exe檔案。這些檔案會釋放到了本地目錄,並設定為隱藏。
(#註釋:說明一下,“永恆之藍”是NSA洩露的漏洞利用工具的名稱,並不是該病毒的名稱#。永恆之藍”是指NSA洩露的危險漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也透過“永恆之藍”這個漏洞傳播,因此給系統打補丁是必須的。)
2017年5月12日,WannaCry蠕蟲透過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導致電腦大量檔案被加密。受害者電腦被駭客鎖定後,病毒會提示支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。
2017年5月13日晚間,由一名英國研究員於無意間發現的WannaCry隱藏開關(Kill Switch)域名,意外的遏制了病毒的進一步大規模擴散。
2017年5月14日,監測發現,WannaCry 勒索病毒出現了變種:WannaCry 2.0, 與之前版本的不同是,這個變種取消了Kill Switch,不能透過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。請廣大網民儘快升級安裝Windows作業系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染
解決方案:
開啟系統防火牆
利用系統防火牆高階設定阻止向445埠進行連線(該操作會影響使用445埠的服務)
開啟系統自動更新,並檢測更新進行安裝