5月12日起,onion、wncry兩類敲詐者病毒變種在全國乃至全世界大範圍内出現爆發态勢,大量個人和企業、機構使用者中招。
與以往不同的是,這次的新變種病毒添加了nsa(美國國家安全局)黑客工具包中的“永恒之藍”0day漏洞利用,通過445端口(檔案共享)在内網進行蠕蟲式感染傳播。
沒有安裝安全軟體或及時更新系統更新檔的其他内網使用者極有可能被動感染,是以目前感染使用者主要集中在企業、高校等内網環境下。
一旦感染該蠕蟲病毒變種,系統重要資料檔案就會被加密,并勒索高額的比特币贖金,折合人民币2000-50000元不等。
從目前監控到的情況來看,全網已經有數萬使用者感染,qq、微網誌等社交平台上也是哀鴻遍野,後續威脅也不容小觑。
敲詐勒索病毒+遠端執行漏洞蠕蟲傳播的組合緻使危險度劇增,對近期國内的網絡安全形勢一次的嚴峻考驗。
事發後,微軟和各大安全公司都第一時間跟進,更新旗下安全軟體。金山毒霸也特别針對本次敲詐者蠕蟲,給出了詳細的安全防禦方案、傳播分析,以及其他安全建議。
我們也彙總了所有windows系統版本的更新檔,請大家務必盡快安裝更新。
【傳播感染背景】
本輪敲詐者蠕蟲病毒傳播主要包括onion、wncry兩大家族變種,首先在英國、俄羅斯等多個國家爆發,有多家企業、醫療機構的系統中招,損失非常慘重。
安全機構全球監測已經發現目前多達74個國家遭遇本次敲詐者蠕蟲攻擊。
從5月12日開始,國内的感染傳播量也開始急劇增加,在多個高校和企業内部集中爆發并且愈演愈烈。
全球74個國家遭遇onion、wncry敲詐者蠕蟲感染攻擊
24小時内監測到的wncry敲詐者蠕蟲攻擊次數超過10w+
本次感染急劇爆發的主要原因在于其傳播過程中使用了前段時間洩漏的美國國家安全局(nsa)黑客工具包中的“永恒之藍”漏洞(微軟3月份已經釋出更新檔,漏洞編号ms17-010)。
和曆史上的“震蕩波”、“沖擊波”等大規模蠕蟲感染類似,本次傳播攻擊利用的“永恒之藍”漏洞可以通過445端口直接遠端攻擊目标主機,傳播感染速度非常快。
本次敲詐者蠕蟲病毒變種通過“永恒之藍”漏洞進行網絡攻擊
雖然國内部分網絡營運商已經屏蔽掉個人使用者的445網絡端口,但是在教育網、部分運作商的大區域網路、校園企業内網依舊存在大量暴漏的攻擊目标。
對于企業來說尤其嚴重,一旦内部的關鍵伺服器系統遭遇攻擊,帶來的損失不可估量。
從檢測到回報情況看,國内多個高校都集中爆發了感染傳播事件,甚至包括機場航班資訊、加油站等終端系統遭受影響,預計近期由本次敲詐者蠕蟲病毒造成的影響會進一步加劇。
【敲詐蠕蟲病毒感染現象】
中招系統中的文檔、圖檔、壓縮包、影音等常見檔案都會被病毒加密,然後向使用者勒索高額比特币贖金。
wncry變種一般勒索價值300-600美金的比特币,onion變種甚至要求使用者支付3個比特币,以目前的比特币行情,折合人民币在3萬左右。
此類病毒一般使用rsa等非對稱算法,沒有私鑰就無法解密檔案。wncry敲詐者病毒要求使用者在3天内付款,否則解密費用翻倍,并且一周内未付款将删除密鑰導緻無法恢複。
從某種意義上來說,這種敲詐者病毒“可防不可解”,需要安全廠商和使用者共同加強安全防禦措施和意識。
使用者檔案資料被加密,字尾改為“wncry”,桌面被改為勒索恐吓
對部分變種的比特币支付位址進行追蹤發現,目前已經有少量使用者開始向病毒作者支付勒索贖金。
從下圖中我們可以看到這個變種的病毒作者已經收到19個使用者的比特币贖金,累計3.58個比特币,市值約人民币4萬元。
某個敲詐者蠕蟲的比特币支付資訊追蹤
【防禦措施建議】
金山毒霸清除wncry敲詐者蠕蟲病毒
救命必看!windows勒索病毒最全攻略、更新檔下載下傳
金山毒霸敲詐者病毒防禦攔截wncry病毒加密使用者檔案
2、打開windows update自動更新,及時更新系統。
微軟在3月份已經針對nsa洩漏的漏洞釋出了ms17-010更新更新檔,包括本次被敲詐者蠕蟲病毒利用的“永恒之藍”漏洞,同時針對停止支援的windows xp、windows server 2003、windows 8也釋出了專門的修複更新檔。
最新版的windows 10 1703創意者更新已經不存在此漏洞,不需要更新檔。
各系統更新檔官方下載下傳位址如下:
适用于windows xp 32位/64位/嵌入式、windows vista 32/64位、windows server 2003 sp2 32位/64位、windows 8 32位/64位、windows server 2008 32位/64位/安騰
适用于windows 7 32位/64位/嵌入式、windows server 2008 r2 32位/64位
适用于windows 8.1 32位/64位、windows server 2012 r2 32位/64位
适用于windows 8嵌入式、windows server 2012
适用于windows 10 rtm 32位/64位/ltsb
适用于windows 10 1511十一月更新版32/64位
适用于windows 10 1607周年更新版32/64位、windows server 2016 32/64位
開啟系統防火牆保護
(2)、關閉系統445端口。
(a)、快捷鍵win+r啟動運作視窗,輸入cmd并執行,打開指令行操作視窗,輸入指令“netstat -an”,檢測445端口是否開啟。
(b)、如上圖假如445端口開啟,依次輸入以下指令進行關閉:
net stop rdr / net stop srv / net stop netbt
功後的效果如下:
4、謹慎打開不明來源的網址和郵件,打開office文檔的時候禁用宏開啟,網絡挂馬和釣魚郵件一直是國内外勒索病毒傳播的重要管道。
釣魚郵件文檔中暗藏勒索者病毒,誘導使用者開啟宏運作病毒
5、養成良好的備份習慣,及時使用網盤或移動硬碟備份個人重要檔案。
本次敲詐者蠕蟲爆發事件中,國内很多高校和企業都遭遇攻擊,很多關鍵重要資料都被病毒加密勒索,希望廣大使用者由此提高重要檔案備份的安全意識。