新型「蠕蟲」式勒索軟體攻擊分析及處置工作建議
文章推薦指數: 80 %
5月12日20時許,英國、義大利、俄羅斯等全球100多個國家爆發比特幣勒索病毒攻擊,我國教育網用戶的大批高校也出現感染情況,眾多師生的電腦文件被病毒加密,只有支付贖金才能恢復,目前已有多個行業單位報告感染事件。
▲受到攻擊的電腦介面
鑒於該情況,公安機關立即組織專家進行分析處置,及時發布預警。
有關情況通報如下:
一、初步分析情況
1、此次勒索病毒是由NSA泄漏的「永恆之藍」黑客武器傳播的。
「永恆之藍」可遠程攻擊Windows的445埠(文件共享),如果系統沒有安裝今年3月的微軟補丁,無需用戶任何操作,只要開機上網,「永恆之藍」就能在電腦里執行任意代碼,植入勒索病毒等惡意程序。
▲受到永恆之藍密集攻擊的區域
▲我國傳播情況
2、此次利用的SMB漏洞影響以下未自動更新的作業系統:Windows XP/Windows 2000/Windows 2003/Windows Vista/Windows 7/Windows 8/Windows 10/Windows Server 2008/WindowsServer 2008 R2 Windows Server 2012/Windows Server 2012
R2/Windows Server 2016等全版本作業系統。
▲2014年4月8日,微軟正式對Windows XP系統停止提供安全補丁更新
3、由於國內曾多次出現利用445埠傳播的蠕蟲病毒,部分運營商對個人用戶封掉了445埠。
由於教育網和部分專用網絡並無此限制,存在大量暴露著445埠的機器,因此成為不法分子使用NSA黑客武器攻擊的重災區。
▲多所高校發布預警
4、「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁碟文件會被篡改為相應的後綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復。
這兩類勒索病毒,勒索金額分別是5個比特幣和300美元,摺合人民幣分別為5萬多元和2000多元。
▲目前,比特幣單價在1萬元人民幣上下
5、目前,國內首先出現的是ONION病毒,平均每小時攻擊約200次,夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊,並在中國的校園網迅速擴散,夜間高峰期每小時攻擊約4000次。
6、ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播,形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒,專門選擇高性能伺服器挖礦牟利,對普通電腦則會加密文件敲詐錢財,最大化地壓榨受害機器的經濟價值。
▲比特幣挖礦工廠
二、有關處置建議
1、相關單位立即組織內網檢測,查找所有開放445 SMB服務埠的終端和伺服器,一旦發現中毒機器,立即斷網處置,目前看來對硬碟格式化可清除病毒。
2、目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞,請儘快為電腦安裝此補丁,網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;
對於XP、2003等微軟已不再提供安全更新的機器,建議升級作業系統版本,或使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞,並關閉受到漏洞影響的埠,可以避免遭到勒索軟體等病毒的侵害。
免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe。
3、一旦發現中毒機器,立即斷網。
4、啟用並打開「Windows防火牆」,進入「高級設置」,在入站規則里禁用「文件和印表機共享」相關規則。
關閉UDP135、445、137、138、139埠,關閉網絡文件共享。
▲40秒學會關閉電腦445埠(來源:梨視頻)
5、嚴格禁止使用U盤、移動硬碟等可執行擺渡攻擊的設備。
6、儘快備份自己電腦中的重要文件資料到存儲設備上。
7、及時更新作業系統和應用程式到最新的版本。
8、加強電子郵件安全,有效的阻攔掉釣魚郵件,可以消除很多隱患。
9、安裝正版作業系統、Office軟體等。
網安觀察 | 如何應對來勢洶洶的「比特幣勒索」病毒?
昨日開始,全球90多個國家出現勒索病毒攻擊,根據第三方監測,中國校園網也成為重災區,包括清華、北大、山東大學等在內的全國各地眾多院校出現病毒感染情況,大量學生畢業論文等重要資料被病毒加密,據稱需...
比特幣病毒已停止傳播(附關閉危險埠方法),原因是一個空域名
北京時間2017年5月12日20時左右,全球爆發大規模ONION勒索軟體感染事件,我國大量行業企業內網大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。據BBC報導,今...
「永恆之藍」病毒席捲99個國家,趕快看看你的電腦中毒了沒
5月12日根據美聯社、英國標準晚報等多家媒體報導,一種名為WannaCry(永恆之藍)的電腦勒索病毒正在全球蔓延,99個國家受到病毒感染。最嚴重的地區集中在美國、歐洲、澳洲等地區,目前也已由國外...
紅色警報!啥是「勒索」病毒,如何解救,全攻略在此!
周末被「病毒」和「勒索」給刷屏,關鍵是,勒索的贖金要求竟是比特幣!要知道,比特幣通過近期大漲,當前一個比特幣的價格已經超過10000元人民幣!國家網絡與信息安全信息通報中心緊急發布了最新通知,W...
關於WannaCry勒索病毒,你需要知道的8個問題
從5月12日起,網際網路世界遭遇一種名為WannaCry(想哭)的勒索病毒攻擊,這波攻擊來勢洶洶,席捲了全球150多個國家,數千家企業和機構、超過30萬台設備受到影響。美國白宮官員博賽特5月15...