-
永恆之藍
鎖定
永恆之藍是指2017年4月14日晚,黑客團體Shadow Brokers(影子經紀人)公佈一大批網絡攻擊工具,其中包含“永恆之藍”工具,“永恆之藍”利用Windows系統的SMB漏洞可以獲取系統最高權限。5月12日,不法分子通過改造“永恆之藍”製作了wannacry勒索病毒,
英國、
俄羅斯、整個
歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件。
- 中文名
-
永恆之藍
- 屬 性
-
軟件
- 特 性
-
病毒
- 時 間
-
2017年4月14日
永恆之藍事件經過
2017年5月12日起,全球範圍內爆發基於Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼,這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恆之藍”攻擊程序發起的網絡攻擊事件。五個小時內,包括英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失。
被襲擊的設備被鎖定,並索要300美元比特幣贖金。要求儘快支付勒索贖金,否則將刪除文件,甚至提出半年後如果還沒支付的窮人可以參加免費解鎖的活動。原來以為這只是個小範圍的惡作劇式的勒索軟件,沒想到該勒索軟件大面積爆發,許多高校學生中招,愈演愈烈。
[1]
永恆之藍攻擊方式
惡意代碼會掃描開放445文件共享端口的
Windows機器,無需用户任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
本次黑客使用的是Petya勒索病毒的變種Petwarp,攻擊時仍然使用了永恆之藍勒索漏洞,並會獲取系統用户名與密碼進行內網傳播。
本次爆發使用了已知OFFICE漏洞、永恆之藍SMB漏洞、局域網感染等網絡自我複製技術,使得病毒可以在短時間內呈爆發態勢。同時,該病毒與普通勒索病毒不同,其不會對電腦中的每個文件都進行加密,而是通過加密
硬盤驅動器主文件表(MFT),使
主引導記錄(MBR)不可操作,通過佔用物理磁盤上的文件名,大小和位置的信息來限制對完整系統的訪問,從而讓電腦無法啓動,相較普通勒索病毒對系統更具破壞性。
[2]
永恆之藍事件影響
烏克蘭、俄羅斯、西班牙、法國、英國等多國均遭遇到襲擊,包括政府、銀行、電力系統、通訊系統、能源企業、機場等重要基礎設施都被波及,律師事務所DLA Piper的多個美國辦事處也受到影響。中國亦有跨境企業的歐洲分部中招。
[1]
永恆之藍病毒防範
微軟已於2017 年 發佈MS17-010補丁,修復了“永恆之藍”攻擊的系統漏洞,一定要及時更新Windows系統補丁;務必不要輕易打開doc、rtf等後綴的附件;內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼,未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作,可以下載“永恆之藍”漏洞修復工具進行漏洞修復。
[2]
- 參考資料
-
-
1.
Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools. International Business Times UK. April 9, 2017
-
2.
'NSA malware' released by Shadow Brokers hacker group. BBC News. April 10, 2017
