联系电话
网络安全

全球勒索病毒大爆发 春燕网络详细支招应对

点击:3369    日期:2017-05-14 20:08:23

关键词: 勒索病毒 春燕网络

从5月12日起,Onion、WNCRY两类敲诈者病毒变种在全国大范围内出现爆发态势,与以往不同的是,此类新变种添加了NSA黑客工具包中的“永恒之蓝”0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播,没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染,所以目前感染用户主要集中在企业、高校等内网环境下。一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密并勒索高额的比特币赎金(折合人民币2000~50000不等)。

从目前监控到的情况来看,全网已经有数万用户感染,QQ、微博等社交平台上也是哀鸿遍野,所以本次敲诈者病毒传播感染的后续威胁不容小觑。敲诈勒索病毒+远程执行漏洞的蠕虫式传播,这样的组合极大增强了本次病毒安全威胁的程度,对近期国内的网络安全形势都是一次严峻考验。

[传播感染背景]

本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种,本次感染事件首先在英国、俄罗斯等多个国家爆发,新闻报道有多家企业、医疗机构的系统中招,损失非常惨重。安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。从5月12日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。

全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击

24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10w+

本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁,漏洞编号:MS17-010)。和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机,传播感染速度非常快。

本次敲诈者蠕虫病毒变种通过“永恒之蓝”漏洞进行网络攻击

虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口,但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标,对于企业来说尤其严重,一旦内部的关键服务器系统遭遇攻击,带来的损失不可估量。从我们检测到反馈情况看,国内多个高校都集中爆发了感染传播事件,甚至包括机场航班信息、加油站等终端系统遭受影响,预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。

全国各地的高校内网的敲诈者蠕虫感染攻击爆发

【敲诈蠕虫病毒感染现象】

  中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。WNCRY变种一般勒索价值300~600美金的比特币,而onion变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3万左右。此类病毒一般使用RSA等非对称算法,没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。从某种意义上来说这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。

感染WNCRY勒索病毒的用户系统弹出比特币勒索窗口

用户文件资料被加密,后缀改为“wncry”,桌面被改为勒索恐吓

安全厂商对部分变种的比特币支付地址进行追踪,发现目前已经有少量用户开始向病毒作者支付勒索赎金,从下图中我们可以看到这个变种的病毒作者已经收到19个用户的比特币赎金,累计3.58个比特币,市值约人民币4万元。

【防御措施建议】

1.安装杀毒软件,保持安全防御功能开启,即可拦截此次的敲诈者蠕虫攻击。

某毒霸查杀WNCRY敲诈者蠕虫病毒

霸敲诈者病毒防御拦截WNCRY病毒加密用户文件

2.及时更新升级系统,微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞,建议用户尽快升级安装。

  此次利用漏洞影响以下版本的操作系统:

  Windows XP/Windows 2000/Windows 2003 (微软已经提供安全补丁升级服务,未装补丁的用户建议关闭445端口)

  Windows Vista/Windows Server 2008/WindowsServer 2008 R2

  Windows 7/Windows 8/Windows 10

  Windows Server 2012/Windows Server 2012 R2/Windows Server 2016

补丁下载地址: https://technet.microsoft.com/zh-cn/library/security/MS17-010(建议根据系统版本下载安装对应的补丁升级包)

微软MS17-010补丁列表

开启系统防火墙保护

3.使用XP和2003版本系统的用户可以选择关闭445端口,规避遭遇此次敲诈者蠕虫病毒的感染攻击。可以参考以下操作步骤。

1)开启系统防火墙保护。控制面板 ―> 安全中心 ―> Windows防火墙 ―> 启用。

2)关闭系统445端口。

a)WIN+R 输入cmd,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启。

如上图假如445端口开启,依次输入以下命令进行关闭:

net stop rdr / net stop srv / net stop netbt

成功后的效果如下:

4.谨慎打开不明来源的网址和邮件,打开office文档的时候禁用宏开启,网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道。

5.养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件。本次敲诈者蠕虫爆发事件中,国内很多高校和企业都遭遇攻击,很多关键重要资料都被病毒加密勒索,希望广大用户由此提高重要文件备份的安全意识。


米易县春燕网络有限责任公司是一家集计算机应用软件开发、网站建设、网站开发、网络推广营销、微信公众号、易信公众号等开发、营销推广服务的网络公司;欢迎广大需要建设企业网站,进行网络营销推广在客户联系我们。