想哭!一個被稱為“WannaCry”(也有稱WannaCrypt)的勒索病毒近期在全球范圍內(nèi)肆虐��。這個傳說中屬于“網(wǎng)絡(luò)戰(zhàn)武器”的病毒��,到底是怎么回事?
什么是WannaCrypt勒索病毒?
北京時間2017年5月12日晚上22點30分左右��,全英國上下16家醫(yī)院遭到大范圍網(wǎng)絡(luò)攻擊��,醫(yī)院的內(nèi)網(wǎng)被攻陷���,導(dǎo)致這16家機構(gòu)基本中斷了與外界聯(lián)系,內(nèi)部醫(yī)療系統(tǒng)幾乎停止運轉(zhuǎn)��,很快又有更多醫(yī)院的電腦遭到攻擊��,這場網(wǎng)絡(luò)攻擊迅速席卷全球�����。
這場網(wǎng)絡(luò)攻擊的罪魁禍?zhǔn)拙褪且环N叫WannaCrypt的勒索病毒,該病毒是由不法分子通過改造“永恒之藍”網(wǎng)絡(luò)攻擊工具而制作��。
勒索病毒本身并不是什么新概念,勒索軟件Ransomware最早出現(xiàn)在1989年�����,是由Joseph Popp編寫的叫"AIDS Trojan"(艾滋病特洛伊木馬)的惡意軟件。在1996年���,哥倫比亞大學(xué)和IBM的安全專家撰寫了一個叫Cryptovirology的文件���,明確概述了勒索軟件Ransomware的概念:利用惡意代碼干擾中毒者的正常使用��,只有交錢才能恢復(fù)正常。
哪些地方的系統(tǒng)成為病毒重災(zāi)區(qū)���?
因為NSA的永恒之藍漏洞太強大了���,除了更新了的Windows 10系統(tǒng)(版本1703)之外的其它Windows系統(tǒng)都可能受到漏洞影響。
目前已知的受影響的系統(tǒng)有: Windows Vista�����、Windows 7�����、Windows 8.1、Windows Server 2008(含R2)��、Windows 2012(含R2)、Windows2016���、已脫離服務(wù)周期的Windows XP���、Windows Server 2003��、Windows 8以及關(guān)閉自動更新的win10用戶���。
英國醫(yī)院成為病毒入侵重災(zāi)區(qū)的一個重要原因�����,就在于系統(tǒng)的落后�����,英國醫(yī)院的IT系統(tǒng)一直沒有及時更新,仍然在使用Windows XP系統(tǒng),而Windows XP系統(tǒng)在2014年4月之后就沒有發(fā)布更新的安全補丁了��。
除了英國��,意大利��、德國、俄羅斯���、西班牙等國家都大范圍爆發(fā)勒索病毒���。
意大利的大學(xué)機房被攻擊
5月12日僅一夜之間,全世界就有超過99個國家遭到攻擊��,共計七萬多起��。
我們國家的內(nèi)網(wǎng)受損害也很嚴(yán)重,尤其是高校的校園網(wǎng)�����,很多單位都在內(nèi)網(wǎng)和外網(wǎng)之間部署了防火墻進行網(wǎng)絡(luò)控制�����,但內(nèi)網(wǎng)的安全反而多多少少有些被忽視�����,因為內(nèi)網(wǎng)機器相互訪問的需求,再加上網(wǎng)絡(luò)管理人員忽略了內(nèi)網(wǎng)本身的安全控制���,在不少企業(yè)的內(nèi)網(wǎng)里�����,絕大多數(shù)端口甚至是完全開放的狀態(tài)��。這種情況下,電腦間的網(wǎng)絡(luò)連接毫無限制���,也就給了蠕蟲病毒以傳播機會�����。
WannaCry爆發(fā)一周年:醫(yī)療行業(yè)或成WannaCry 的變種病毒重點攻擊對象
距離去年5月12日勒索病毒爆發(fā)已經(jīng)一周年了��。一年前��,一個叫“WannaCry”的勒索病毒突然大規(guī)模爆發(fā)�����,席卷全球150多個國家�����,造成高達80億美元的經(jīng)濟損失���。2018年以來,勒索變種仍然層出不窮���,攻擊方式不斷升級,并開始從發(fā)達城市向偏遠地區(qū)擴散,大批企業(yè)用戶紛紛中招,其中不乏政府��、高校���、醫(yī)院等公共基礎(chǔ)設(shè)施���。
國內(nèi)越來越多的醫(yī)院正成為黑客攻擊的靶子:2017年5月,“永恒之藍”勒索軟件對成都市傳染病醫(yī)院等部分醫(yī)院造成影響��;2018年2月��,湖南省某醫(yī)院遭受勒索病毒攻擊,服務(wù)器所有數(shù)據(jù)文件被強行加密��;同一時間��,上海某公立醫(yī)院系統(tǒng)被黑���,黑客勒索價值2億元的以太幣��;2018年4月�����,杭州某醫(yī)院受到勒索病毒攻擊。
勒索病毒已發(fā)展成為威脅網(wǎng)絡(luò)安全的重大毒瘤��,嚴(yán)重威脅著企業(yè)和個人用戶的文檔和數(shù)據(jù)安全��,一旦中招���,不但會受到經(jīng)濟損失,還會嚴(yán)重影響醫(yī)院正常工作�����,造成十分惡劣的影響���。據(jù)媒體報道,2018年2月24日��,某醫(yī)院遭受勒索病毒攻擊時,服務(wù)器所有數(shù)據(jù)文件被強行加密�����,導(dǎo)致醫(yī)院系統(tǒng)癱瘓�����,取號、辦卡�����、掛號���、收費�����、診療等業(yè)務(wù)均受到影響。此時正值流感高發(fā)季�����,醫(yī)院大廳人滿為患。據(jù)悉該院多臺服務(wù)器感染勒索病毒���,數(shù)據(jù)庫文件、業(yè)務(wù)文件均被病毒加密破壞�����,攻擊者要求院方必須在六小時內(nèi)為每臺感染終端支付1個比特幣贖金,約合每臺終端解鎖需要支付人民幣66000余元��。
與其他機構(gòu)相比,醫(yī)院的信息系統(tǒng)比較特殊�����,如其中的醫(yī)學(xué)記錄�����、數(shù)據(jù)��、病患資料以及預(yù)約信息等��,都屬于需要緊急使用的信息,被勒索病毒加密后���,會造成比較大的影響,所以勢必會想盡辦法以最快速度恢復(fù)數(shù)據(jù)��,比如,馬上交贖金���。醫(yī)院信息系統(tǒng)遭遇勒索、發(fā)生故障��,無論是哪種突發(fā)狀況���,都將直接影響到患者正常就醫(yī),甚至?xí)P(guān)系到病患的生命安全���。因此���,在血淚教訓(xùn)面前���,快速獲得應(yīng)對勒索病毒攻擊的解決方案尤為重要���。
病毒變種分析
本次捕獲的WannaCry變種跟之前風(fēng)靡全球的對主機進行勒索的WannaCry
具體的變化:
1���、KillSwitch開關(guān)不再有效
之前的Wannacry病毒擁有KillSwitch域名開關(guān),當(dāng)病毒可以訪問該域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)時�����,病毒終止運行和傳播���,不會對主機造成任何破會��。變種病毒雖然也會連接改KillSwitch域名�����,但并不會因訪問到該域名而終止運行。由于該變種病毒不再受KillSwitch影響���,但是可能會像當(dāng)年的飛客蠕蟲一樣�����,感染量較大。
2���、勒索程序運行失效,可造成系統(tǒng)藍屏崩潰
WannaCry之前的版本釋放勒索程序?qū)χ鳈C進行勒索�����,變種后程序在主流Windows平臺下運行失敗,無法進行勒索操作�����。但如果內(nèi)網(wǎng)中多個主機感染了該種病毒���,病毒之間會利用“永恒之藍”漏洞進行互相攻擊。由于該變種病毒使用了堆噴射技術(shù)進行漏洞利用��,并不穩(wěn)定�����,存在小概率出現(xiàn)漏洞利用失敗���。在漏銅利用失敗的情況下,會造成被攻擊主機藍屏的現(xiàn)象。
病毒影響
變種病毒傳播方式跟之前一樣��,也是通過 MS17-010 中的“永恒之藍”漏洞進行傳播。病毒傳播過程中���,漏洞利用成功時主機受感染�����,漏洞利用失敗則造成主機藍屏��,藍屏信息顯示 srv.sys 驅(qū)動出現(xiàn)問題�����,srv.sys 正是存在“永恒之藍”漏洞的驅(qū)動文件���。
該變種病毒單臺主機被感染特征不明顯�����,容易引發(fā)內(nèi)網(wǎng)傳播�����,擴大影響范圍���,需小心防范��。
如何應(yīng)對WannaCrypt勒索病毒���?
1、微軟官方在 3 月份已發(fā)布補丁 MS17-010 修復(fù)了“永恒之藍”病毒所利用的 SMB 漏洞��,請前往官網(wǎng)下載安裝��。經(jīng)過前段時間 WannaCry 勒索病毒事件已打過補丁的用戶將不受影響�����,無需再次升級補丁。補丁地址:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、暫時無法進行升級的用戶��,可臨時禁止使用 SMB 服務(wù)的 445 端口�����,禁用方法:
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
3���、深信服防火墻早在一個月前就已發(fā)布針對微軟 SMB 漏洞的攻擊防護��,用戶升級到 20170415 及其以上版本即可防御此漏洞的攻擊���。
4、深信服千里目安全實驗室在捕獲 WannaCry 變種樣本后緊急開發(fā)專殺工具�����,計算機在中病毒后�����,可以使用專殺工具進行查殺���。建議先封閉本地主機的445端口���,或者打完補丁后重啟主機��,再進行專殺確保專殺干凈���。專殺工具下載地址:
http://sec.sangfor.com.cn/download?file=WannaCryKiller.exe
5�����、劃重點��,電腦上的文件一定要備份��,并且勤備份��。注意不要備份在本機和網(wǎng)絡(luò)硬盤上�����,備份盤也不要一直插在電腦上��;
6、安裝反勒索防護工具���,不要訪問可疑網(wǎng)站、不要打開可疑的電子郵件和文件���,如果發(fā)現(xiàn)被感染,也不要支付贖金���;
