分享

勒索病毒疫情席卷全球,它为何如此凶猛?丨头条

 龙叔文馆 2017-05-15



(专家:谈剑峰,上海市信息安全行业协会会长、中国中小企业协会副会长、全国信息安全标准化技术委员会专家、知名网络安全专家,科普中国微平台原创首发) 


投资界巨擘巴菲特在2017年股东大会上表示:人类面临的最大威胁是网络攻击,发生核战争的可能性要低于生化武器与网络攻击。

 

话音未落,2017年5月12日晚上20时,WannaCry蠕虫席卷全球,这是一起大规模勒索软件感染事件,并在持续。据BBC报道,截至当前,全球超过150个国家至少20万名用户中招。目前至少有美国、英国、中国、俄罗斯、西班牙、意大利、越南等上百个国家和地区受到严重影响。英国数十家医院被攻击,中国教育网内多所大学纷纷中招,不少毕业生的毕业设计文件被锁。在国内,很多的企业内网甚至是专网也未能幸免。医疗、企业、电力、能源、银行、交通等多个行业均遭受不同程度的影响。


世界各地感染WannaCry的实时监控图,图片来自网络

 

WannaCry勒索蠕虫感染的电脑将被锁定,包括照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件被加密,被加密后的文件后缀名改为“.WNCRY”,勒索软件运用了高强度的加密算法使得目前难以破解,暴力破解需要极高的运算量,基本不可能成功解密。受害者目前只能乖乖付钱消灾。攻击者甚至叫嚣,如果在规定时间不付钱,金额翻倍,甚至删除文件。

 

被勒索软件感染的电脑截屏,攻击者索要300美元来解锁,图片来自网络

 

莫慌,这到底是怎么回事?用最简单的话解释,就是电脑没有及时安装补丁更新,被漏洞利用程序攻击,成功后,攻击者将电脑上的文件加密,弹出勒索页面,索要赎金。进而,攻击者会植入远程控制木马、虚拟货币挖矿等恶意程序。

 

WannaCry蠕虫是什么?

我们仔细地讲讲来龙去脉吧。WannaCry也被称为WannaCrypt/WannaCrypt0r,目前还没有统一的中文名称,目前很多媒体按照字面翻译为“想哭”。此病毒文件的大小3.3MB,是一款蠕虫勒索式恶意软件。除 Windows 10系统外,所有未及时安装 MS17-010 补丁的 Windows 系统都可能被攻击。WannaCry 通过 MS17-010 漏洞进行快速感染和扩散,使用 RSA+AES 加密算法对文件进行加密。也就是说,一旦某个电脑被感染,同一网络内存在漏洞的主机都会被它主动攻击,因此受感染的主机数量飞速增长。同时,WannaCry 包含28个国家语言,可谓细致。

 

WannaCry 支持全球化语言,图片来自网络

 

问题的根源在于 Windows 系统的 MS17-010 漏洞。2017年3月14日,微软发布安全公告 MS17-010,Microsoft Windows SMB 服务器安全更新 (4013389),等级为严重。漏洞说明是:如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。

 

4月,黑客组织 Shadow Brokers 对外公布了从美国国家安全局(NSA)盗取的多个 Windows 攻击工具。WannaCry 勒索蠕虫攻击代码部分即基于这些攻击工具库中的EtenalBlue(永恒之蓝)。

 

如果3月份的安全公告和4月份的攻击工具泄漏还没有被引起重视的话,仅仅1个月后,基于EtenalBlue(永恒之蓝)的勒索蠕虫肆虐,不再存在于预测和想象里,而是真实的发生在我们身边,严重影响了工作与生活。

 

利用Windows系统远程安全漏洞进行传播,WannaCry 会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,就能在存在漏洞的计算机或服务器中植入恶意程序。当侵入组织或机构内部时,它会不停的探测脆弱的电脑设备,并感染它们,因此受感染的主机数量飞速增长。


 图片来自网络

 

目光回到多年前的冲击波病毒

让我们把目光回到多年之前,2003年8月,冲击波病毒(W32.Blaster.Worm)肆虐全球,病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机,找到后利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。

 

当时,为了控制蠕虫病毒的扩散,部分运营商在主干网络上封禁了445端口,但是当前教育网及大量企业内网并没有此安全策略的部署与端口限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,因此导致了此次勒索蠕虫病毒的严重泛滥。

 

鉴于 WannaCry 勒索蠕虫的肆虐,微软公司决定为已经不再提供更新支持的 XP、Windows Server 2003 发布了补丁,下载地址:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/,并发布了《勒索病毒 Ransom:Win32/WannaCrypt 防范及修复指南》。


在分析和处置 WannaCry 勒索蠕虫病毒时,发生了一个意外的事情。英国安全研究人员 MalwareTech 在分析病毒代码时发现了一个很长的域名 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,而此域名并未被注册。当他注册了此域名后,才发现这个域名看起来像是病毒作者给自己留的一个紧急停止开关,防止事情失去控制。每一个感染了病毒的机器,在发作之前都会事先访问一下这个域名,如果这个域名不存在,就继续传播。如果访问成功,就停止传播。无意之间,这位研究人员阻止了蠕虫病毒进一步大范围爆发的可能。

 

但是不容松懈的是,WannaCry 勒索蠕虫持续感染状况不会马上停止,未来几周会更具挑战。随着工作日更多的电脑开机,将会出现更多的感染。而逐渐出现的改进型无关键开关的病毒变种、改进型更换 payload 的病毒变种,也会对安全防范和处理提出新的挑战。


    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多