-
WannaCry
鎖定
WannaCry(又叫Wanna Decryptor),一種“蠕蟲式”的勒索病毒軟件,大小3.3MB,由不法分子利用NSA(National Security Agency,美國國家安全局)泄露的危險漏洞“EternalBlue”(永恆之藍)進行傳播
[1]
。勒索病毒肆虐,儼然是一場全球性互聯網災難,給廣大電腦用户造成了巨大損失。最新統計數據顯示,100多個國家和地區超過10萬台電腦遭到了勒索病毒攻擊、感染。
[2]
勒索病毒是自熊貓燒香以來影響力最大的病毒之一。WannaCry勒索病毒全球大爆發,至少150個國家、30萬名用户中招,造成損失達80億美元,已經影響到金融,能源,醫療等眾多行業,造成嚴重的危機管理問題。中國部分Windows操作系統用户遭受感染,校園網用户首當其衝,受害嚴重,大量實驗室數據和畢業設計被鎖定加密。部分大型企業的應用系統和數據庫文件被加密後,無法正常工作,影響巨大。
[3]
- 中文名
- 永恆之藍
- 外文名
- WannaCry
- 別 名
- Wanna Decryptor
- 爆發時間
- 2017年5月12日
- 關聯病毒
- 熊貓燒香
- 影響領域
- 金融,能源,醫療等
WannaCry病毒概況
2017年4月16日,CNCERT主辦的CNVD發佈《關於加強防範Windows操作系統和相關軟件漏洞攻擊風險的情況公告》,對影子紀經人“Shadow Brokers”披露的多款涉及Windows操作系統SMB服務的漏洞攻擊工具情況進行了通報(相關工具列表如下),並對有可能產生的大規模攻擊進行了預警:
工具名稱 | 主要用途 |
ETERNALROMANCE | SMB 和NBT漏洞,對應MS17-010漏洞,針對139和445端口發起攻擊,影響範圍:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 |
EMERALDTHREAD | SMB和NETBIOS漏洞,對應MS10-061漏洞,針對139和445端口,影響範圍:Windows XP、Windows 2003 |
EDUCATEDSCHOLAR | SMB服務漏洞,對應MS09-050漏洞,針對445端口 |
ERRATICGOPHER | SMBv1服務漏洞,針對445端口,影響範圍:Windows XP、 Windows server 2003,不影響windows Vista及之後的操作系統 |
ETERNALBLUE | SMBv1、SMBv2漏洞,對應MS17-010,針對445端口,影響範圍:較廣,從WindowsXP到Windows 2012 |
ETERNALSYNERGY | SMBv3漏洞,對應MS17-010,針對445端口,影響範圍:Windows8、Server2012 |
ETERNALCHAMPION | SMB v2漏洞,針對445端口 |
當用户主機系統被該勒索軟件入侵後,彈出如下勒索對話框,提示勒索目的並向用户索要比特幣。而對於用户主機上的重要文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,都被加密的文件後綴名被統一修改為“.WNCRY”。安全業界暫未能有效破除該勒索軟的惡意加密行為,用户主機一旦被勒索軟件滲透,只能通過重裝操作系統的方式來解除勒索行為,但用户重要數據文件不能直接恢復
[4]
。
WannyCry病毒界面
WannaCry主要利用了微軟“視窗”系統的漏洞,以獲得自動傳播的能力,能夠在數小時內感染一個系統內的全部電腦。勒索病毒被漏洞遠程執行後,會從資源文件夾下釋放一個壓縮包,此壓縮包會在內存中通過密碼:WNcry@2ol7解密並釋放文件。這些文件包含了後續彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字體,還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄,並設置為隱藏。(#註釋:説明一下,“永恆之藍”是NSA泄露的漏洞利用工具的名稱,並不是該病毒的名稱#。永恆之藍”是指NSA泄露的危險漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也通過“永恆之藍”這個漏洞傳播,因此給系統打補丁是必須的。
[5]
)
2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導致電腦大量文件被加密。受害者電腦被黑客鎖定後,病毒會提示支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。
2017年5月13日晚間,由一名英國研究員於無意間發現的WannaCry隱藏開關(Kill Switch)域名,意外的遏制了病毒的進一步大規模擴散。
2017年5月14日,監測發現,WannaCry 勒索病毒出現了變種:WannaCry 2.0, 與之前版本的不同是,這個變種取消了Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。請廣大網民儘快升級安裝Windows操作系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染
[6]
。
WannaCry攻擊特點
WannaCry利用Windows操作系統445端口存在的漏洞進行傳播,並具有自我複製、主動傳播的特性。
被該勒索軟件入侵後,用户主機系統內的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密,加密文件的後綴名被統一修改為.WNCRY,並會在桌面彈出勒索對話框,要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包,且贖金金額還會隨着時間的推移而增加。
[7]
。
WannaCry攻擊類型
常用的Office文件(擴展名為.ppt、.doc、.docx、.xlsx、.sxi)
並不常用,但是某些特定國家使用的office文件格式(.sxw、.odt、.hwp)
壓縮文檔和媒體文件(.zip、.rar、.tar、.mp4、.mkv)
電子郵件和郵件數據庫(.eml、.msg、.ost、.pst、.deb)
數據庫文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)
開發者使用的源代碼和項目文件(.php、.java、.cpp、.asp、.asm)
密匙和證書(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)
美術設計人員、藝術家和攝影師使用的文件(.vsd、.odg、.raw、.nef、.svg、.psd)
虛擬機文件(.vmx、.vmdk、.vdi)
WannaCry阻止方法
安全業界暫未能有效破除該勒索軟件的惡意加密行為。網絡安全專家建議,用户要斷網開機,即先拔掉網線再開機,這樣基本可以避免被勒索軟件感染。開機後應儘快想辦法打上安全補丁,或安裝各家網絡安全公司針對此事推出的防禦工具,才可以聯網。建議儘快備份電腦中的重要文件資料到移動硬盤、U 盤,備份完後脱機保存該磁盤,同時對於不明鏈接、文件和郵件要提高警惕,加強防範。
臨時解決方案:
- 開啓系統防火牆
- 利用系統防火牆高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)
- 打開系統自動更新,並檢測更新進行安裝
Win7、Win8、Win10的處理流程
1、打開控制面板-系統與安全-Windows防火牆,點擊左側啓動或關閉Windows防火牆。
2、選擇啓動防火牆,並點擊確定
3、點擊高級設置
4、點擊入站規則,新建規則
5、選擇端口,下一步
6、特定本地端口,輸入445,下一步
7、選擇阻止連接,下一步
8、配置文件,全選,下一步
9、名稱,可以任意輸入,完成即可。
XP系統的處理流程
1、依次打開控制面板,安全中心,Windows防火牆,選擇啓用
WannaCry調查處理
雖然下黑手者還找不到,但其所用的工具,卻明確無誤地指向了一個機構——NSA(National Security Agency),美國國家安全局。這一機構又稱國家保密局,隸屬於美國國防部,是美國政府機構中最大的情報部門,專門負責收集和分析外國及本國通訊資料。黑客所使用的“永恆之藍”,就是NSA針對微軟MS17-010漏洞所開發的網絡武器。
NSA本身手裏握有大量開發好的網絡武器,但在2013年6月,“永恆之藍”等十幾個武器被黑客組織“影子經紀人”(ShadowBreakers)竊取。
2017年3月,微軟已經放出針對這一漏洞的補丁,但是一是由於一些用户沒有及時打補丁的習慣,二是全球仍然有許多用户在使用已經停止更新服務的WindowsXP等較低版本,無法獲取補丁,因此在全球造成大範圍傳播。加上“蠕蟲”不斷掃描的特點,很容易便在國際互聯網和校園、企業、政府機構的內網不間斷進行重複感染
[1]
。
WannaCry波及範圍
WannaCry國內
2017年5月12日晚,中國大陸部分高校學生反映電腦被病毒攻擊,文檔被加密。病毒疑似通過校園網傳播。隨後,山東大學、南昌大學、廣西師範大學、東北財經大學等十幾家高校發佈通知,提醒師生注意防範。除了教育網、校園網以外,新浪微博上不少用户反饋,北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊。
[9]
中石油所屬部分加油站運行受到波及。5月13日,包括北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在當天凌晨突然斷網,因斷網無法刷銀行卡及使用網絡支付,只能使用現金,加油站加油業務正常運行。
[10]
截至14日10時30分,國家互聯網應急中心已監測到約242.3萬個IP地址遭受“永恆之藍”漏洞攻擊;被該勒索軟件感染的IP地址數量近3.5萬個,其中中國境內IP約1.8萬個。
2017年5月15日,珠海市公積金中心下發了《關於5月15日暫停辦理住房公積金業務的緊急通知》,為有效應對Windows操作系統敲詐者病毒在互聯網和政企專網大面積蔓延,對住房公積金業務數據和服務終端資料可能造成的安全威脅,珠海市住房公積金管理中心決定加固升級內外網絡,暫停辦理所有住房公積金業務。
[11]
2018年8月3日,台積電遭遇到勒索病毒Wanna Cry入侵,導致台積電廠區全線停擺。主詞條:台積電病毒門
[13]
2022年,温州市一家超市收銀台的儲值卡電腦管理系統遭“比特幣勒索病毒”攻擊,無法使用,商家被要求支付比特幣後才能恢復。1月12日從温州市公安局鹿城區分局瞭解到,警方已以非法侵入計算機信息系統受案立案。
[16]
WannaCry國外
俄羅斯:內政部稱約1000台Windows計算機遭到攻擊,但表示這些計算機已經從該部門計算機網絡上被隔離。
朝鮮:在這大範圍的攻擊下逃過一劫,守住了一方淨土。
日本:日本警察廳當天表示在該國國內確認了2起,分別為某綜合醫院和個人電腦感染病毒,並未造成財產損失。尚不清楚日本的案例是否包含在這150個國家中。
西班牙:國家情報中心證實,西班牙多家公司遭受了“大規模”的網絡黑客攻擊。該國電信業巨頭西班牙電信總部的多台電腦陷入癱瘓。
- 參考資料
-
- 1. “勒索病毒”幕後工具指向美國國安局 .鳳凰網[引用日期2017-05-16]
- 2. 勒索病毒肆虐的警示 .人民政協網[引用日期2017-05-24]
- 3. 勒索病毒全球爆發,你的備份方式安全嗎? .中關村在線[引用日期2017-05-24]
- 4. 關於防範Windows操作系統勒索軟件Wannacry的情況通報 .國家計算機網絡應急技術處理協調中心[引用日期2017-05-15]
- 5. 關於勒索病毒WannaCry的9個真相:小白如何防禦? .新浪網[引用日期2017-05-15]
- 6. 勒索病毒現變種:取消Kill Switch 傳播速度或更快 .網易[引用日期2017-05-15]
- 7. 關於一種蠕蟲式勒索病毒的風險提示 .國家計算機網絡應急技術處理協調中心[引用日期2017-05-15]
- 8. 安天發佈措施緊急應對新型勒索軟件“wannacry” .新浪[引用日期2017-05-13]
- 9. 全球爆發電腦勒索病毒 中國多所大學校園網被攻擊 .騰訊[引用日期2017-05-13]
- 10. 勒索病毒爆發波及中石油:2萬座加油站斷網 35小時恢復八成 .每日財經[引用日期2017-05-15]
- 11. 勒索病毒蔓延 珠海公積金加固升級網絡緊急停辦 .網易[引用日期2017-05-15]
- 12. 多地公安系統受病毒影響 暫停辦理出入境等業務 .鳳凰網[引用日期2017-05-15]
- 13. 台積電遇勒索病毒“想哭” .人民網[引用日期2018-08-14]
- 14. 緊急應對新型“蠕蟲”式勒索軟件“wannacry”全球爆發 .西安網.2017-05-13[引用日期2017-05-13]
- 15. 英國多家醫院遭網絡攻擊 醫院:病情不急不要來 .新浪[引用日期2017-05-13]
- 16. 温州一超市遭“比特幣勒索病毒”攻擊,儲值系統癱瘓 .上官[引用日期2022-01-12]
- 收起
