全球勒索病毒大爆發,金山毒霸詳細支招應對
文章推薦指數: 80 %
從5月12日起,毒霸安全中心監測到Onion、WNCRY兩類敲詐者病毒變種在全國大範圍內出現爆發態勢,與以往不同的是,此類新變種添加了NSA黑客工具包中的「永恆之藍」0day漏洞利用,通過445埠(文件共享)在內網進行蠕蟲式感染傳播,沒有安裝安全軟體或及時更新系統補丁的其他內網用戶就極有可能被動感染,所以目前感染用戶主要集中在企業、高校等內網環境下。
一旦感染該蠕蟲病毒變種,系統重要資料文件就會被加密並勒索高額的比特幣贖金(摺合人民幣2000~50000不等)。
從目前監控到的情況來看,全網已經有數萬用戶感染,QQ、微博等社交平台上也是哀鴻遍野,所以本次敲詐者病毒傳播感染的後續威脅不容小覷。
敲詐勒索病毒+遠程執行漏洞的蠕蟲式傳播,這樣的組合極大增強了本次病毒安全威脅的程度,對近期國內的網絡安全形勢都是一次嚴峻考驗。
在監測到本次敲詐者蠕蟲傳播威脅事件後的第一時間,我們的安全團隊也迅速跟進,目前金山毒霸可以防禦查殺本次的敲詐者蠕蟲變種。
下面給出我們針對本次敲詐者蠕蟲的安全防禦方案、傳播分析、以及其他安全建議,盡力讓用戶規避或減少遭遇敲詐勒索的風險。
[傳播感染背景]
本輪敲詐者蠕蟲病毒傳播主要包括Onion、WNCRY兩大家族變種,本次感染事件首先在英國、俄羅斯等多個國家爆發,新聞報導有多家企業、醫療機構的系統中招,損失非常慘重。
安全機構全球監測已經發現目前多達74個國家遭遇本次敲詐者蠕蟲攻擊。
從5月12日開始,國內的感染傳播量也開始急劇增加,在多個高校和企業內部集中爆發並且愈演愈烈。
本次感染急劇爆發的主要原因在於其傳播過程中使用了前段時間泄漏的美國國家安全局(NSA)黑客工具包中的「永恆之藍」漏洞(微軟3月份已經發布補丁,漏洞編號:MS17-010)。
和歷史上的「震盪波」、「衝擊波」等大規模蠕蟲感染類似,本次傳播攻擊利用的「永恆之藍」漏洞可以通過445埠直接遠程攻擊目標主機,傳播感染速度非常快。
雖然國內部分網絡運營商已經屏蔽掉個人用戶的445網絡埠,但是在教育網、部分運行商的大區域網、校園企業內網依舊存在大量暴漏的攻擊目標,對於企業來說尤其嚴重,一旦內部的關鍵伺服器系統遭遇攻擊,帶來的損失不可估量。
從我們檢測到反饋情況看,國內多個高校都集中爆發了感染傳播事件,甚至包括機場航班信息、加油站等終端系統遭受影響,預計近期由本次敲詐者蠕蟲病毒造成的影響會進一步加劇。
【敲詐蠕蟲病毒感染現象】
中招系統中的文檔、圖片、壓縮包、影音等常見文件都會被病毒加密,然後向用戶勒索高額比特幣贖金。
WNCRY變種一般勒索價值300~600美金的比特幣,而onion變種甚至要求用戶支付3個比特幣,以目前的比特幣行情,摺合人民幣在3萬左右。
此類病毒一般使用RSA等非對稱算法,沒有私鑰就無法解密文件。
WNCRY敲詐者病毒要求用戶在3天內付款,否則解密費用翻倍,並且一周內未付款將刪除密鑰導致無法恢復。
從某種意義上來說這種敲詐者病毒「可防不可解」,需要安全廠商和用戶共同加強安全防禦措施和意識。
我們對部分變種的比特幣支付地址進行追蹤,發現目前已經有少量用戶開始向病毒作者支付勒索贖金,從下圖中我們可以看到這個變種的病毒作者已經收到19個用戶的比特幣贖金,累計3.58個比特幣,市值約人民幣4萬元。
【防禦措施建議】
1. 安裝殺毒軟體,保持安全防禦功能開啟。
推薦下載安裝金山毒霸,我們安全團隊已經在第一時間真對該敲詐者蠕蟲病毒加強了查殺防禦措施。
保持毒霸防禦開啟,即可攔截此次的敲詐者蠕蟲攻擊。
(毒霸下載地址: http://www.duba.net/)
2. 及時更新升級系統,微軟在3月份已經針對NSA泄漏的漏洞發布了MS17-010升級補丁,包括本次被敲詐者蠕蟲病毒利用的「永恆之藍」漏洞,建議用戶儘快升級安裝。
此次利用漏洞影響以下版本的作業系統:
Windows XP/Windows 2000/Windows 2003 (微軟已經不再提供安全補丁升級服務,建議關閉445埠)
Windows Vista/Windows Server 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
補丁下載地址: https://technet.microsoft.com/zh-cn/library/security/MS17-010(建議根據系統版本下載安裝對應的補丁升級包)
3. 使用XP和2003版本系統的用戶可以選擇關閉445埠,規避遭遇此次敲詐者蠕蟲病毒的感染攻擊。
可以參考以下操作步驟。
1) 開啟系統防火牆保護。
控制面板 —> 安全中心 —> Windows防火牆 —> 啟用。
2) 關閉系統445埠。
a)WIN+R 輸入cmd,打開命令行操作窗口,輸入命令「netstat -an」,檢測445埠是否開啟。
b)如上圖假如445埠開啟,依次輸入以下命令進行關閉:
net stop rdr / net stop srv / net stop netbt
成功後的效果如下:
4. 謹慎打開不明來源的網址和郵件,打開office文檔的時候禁用宏開啟,網絡掛馬和釣魚郵件一直是國內外勒索病毒傳播的重要渠道。
5. 養成良好的備份習慣,及時使用網盤或移動硬碟備份個人重要文件。
本次敲詐者蠕蟲爆發事件中,國內很多高校和企業都遭遇攻擊,很多關鍵重要資料都被病毒加密勒索,希望廣大用戶由此提高重要文件備份的安全意識。
全球比特幣勒索病毒來襲!防禦全攻略送上!
一覺醒來,相信很多人都聽到了這個爆炸的消息,英國、義大利、俄羅斯等全球多個國家爆發勒索病毒攻擊,中國大批高校也出現感染情況,眾多師生的電腦文件被病毒加密,只有支付贖金才能恢復。記得電腦大面積中...
Windows勒索病毒恐怖蔓延!正確解決辦法來了
5月12日,一款Windows敲詐勒索病毒大規模爆發,在全國大範圍蔓延,感染用戶主要集中在企業、高校等內網環境。中招系統文檔、圖片資料等常見文件都會被病毒加密,然後向用戶勒索高額比特幣贖金,並且...
全新勒索病毒在歐洲爆發 中國已受到攻擊 這樣做可攔截
還記得可怕的「WannaCry」勒索病毒嗎?新一輪的電腦病毒又來了!據悉,該病毒和勒索病毒相似傳播速度還更快......這兩天,歐洲正遭到新一輪的未知病毒的衝擊,英國、烏克蘭、俄羅斯等都受到了不...
防範勒索病毒?必須看這個
近日,多所高校發布關於連接校園網的電腦大面積中「勒索」病毒的消息,這種病毒致使許多高校畢業生的畢業論文(設計)被鎖,支付贖金後才能解密。全球許多國家的醫院及科研機構等也都遭受了攻擊。國內高校是這...
Petya全新勒索病毒爆發 五招教你輕鬆解決
首先,需要認識這個Windows勒索病毒,是針對Windows平台的,其他的如安卓系統,蘋果系統是沒有事的,可以先斷網,然後將數據備份到優盤, 移動硬碟或者非Windows系統的手機上。所以,保...
比特幣勒索病毒各系統微軟官方漏洞修復補丁下載地址 勒索病毒補丁一覽
5月12日晚,「比特幣勒索」病毒在全球範圍內爆發。被攻擊者的電腦文件會被黑客鎖定,而只有向黑客支付一定的贖金之後才能解鎖。目前,統計數據顯示,國內已經有超過2.8萬家機構中招,主要集中在企業、高...
關於「勒索病毒」你必須要知道的11個問題!
和訊科技 5月12號,網絡安全領域,一款新型勒索病毒「Wanna Cry」肆虐全球。該病毒橫行全球上百國家,其中,歐洲、中國和美國成為重災區,中國多所大學以及醫療機構遭到攻擊。關於此次勒索病毒,...
揭秘|勒索病毒WannaCry一夜「橫掃」全球99國始末
編者按 5月12日晚,一款名為「WannaCry」的勒索病毒在全球進行大規模攻擊,目前已知有99個國家受害,據報英國醫療系統、快遞公司FedEx、俄羅斯第2大電信公司Megafon都是這輪攻擊的...
ONION勒索軟體病毒攻擊多所高校,手把手教你如何防範
【彭湃科技】5月12日晚20點左右,國內部分高校學生反映電腦被病毒攻擊,文檔被加密,攻擊者稱需支付比特幣解鎖。攻擊者利用Windows系統默認開放的445埠在高校校園網內進行傳播,不需要用戶進行...