本周五,一次迄今为止最大规模的勒索病毒网络攻击席卷全球。据卡巴斯基统计,在过去的十几个小时里,全球共有74个国家的至少4.5万电脑中招。而反病毒软件厂商Avast的报告称,至少7.5万台计算机被感染。勒索病毒“WanaCrypt0r 2.0”也已在99个国家被发现。
据英国金融时报和纽约时报披露,病毒发行者正是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue,把今年2月的一款勒索病毒升级。被感染的Windows用户必须在7天内交纳赎金,否则电脑数据将被全部删除且无法修复。
英国的医疗网络受到集中攻击,而在中国,教育网络成为重灾区。目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击。
以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。
5月12日晚上20点左右,国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。
受影响的高校目前包括广西的贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学和山东大学等。
360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
那这个病毒是什么?是不是真的那么恐怖?
这次的“永恒之蓝”勒索蠕虫,是NSA 网络军火民用化的全球第一例。一个月前,第四批NSA 相关网络攻击工具及文档被Shadow Brokers 组织公布,包含了涉及多个Windows 系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。
恶意代码会扫描开放445 文件共享端口的Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。
不过这个病毒只是针对高校校内网、大型企业内网和政府机构专网,这些网络的用户只要开机就会中毒。个人用户暂时不会受到影响。
这两个家族(ONION和WNCRY)的勒索病毒以获取赎金为目的,勒索金额分别是5个比特币和300美元,折合人民币分别为5 万多元和2000 多元。
如果不支付这笔赎金会怎样?磁盘文件会被病毒加密,加密使用了高强度的加密算法对难以破解,被攻击者除了支付高额赎金外,没有办法进行强制破解,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。
微软怎么应对?
微软公司声明表示,这款勒索病毒的文件名是Ransom:Win32.WannaCrypt。微软已于3月14日提供了系统安全升级补丁,目的就是用来防范这一款病毒袭击。现已运行微软免费杀毒软件和更新了安全包的用户都没有危险。
本周五,微软更新了Windows中的两个安全工具——Windows Defender防病毒软件和Windows Security Essentials——以此来寻找系统中的WanaCrypt0r勒索软件。
微软最新的更新是针对Windows 10系统用户进行的强制更新;对于XP、2003等微软已不再提供安全更新的机器,推荐使用“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
这次起源于美国的网络病毒爆发,对于中国来说是继熊猫病毒之后最大规模的一次网络病毒攻击。
前美国中央情报局(CIA)雇员、美国国家安全局(NSA)的美籍技术承包人爱德华·斯诺登(EDWARD SNOWDEN)曾在2013年泄露了美国监视计划的细节。本周五,他指责美国国安局没有阻止蔓延全球的网络攻击。
“尽管警告不断,(美国国安局)建立了可以攻击西方软件的危险工具。”斯诺登说,“今天我们知道了其中的代价。”他表示,国会应该就此事向国家安全局问询,确认国安局是否知道其他软件的漏洞,进而以这种方式被利用。他补充说:“如果(美国国安局)在发现漏洞后,就私下披露英国国家医疗服务体系的安全缺陷,像现在这样的情况,就不会发生。”
计算机安全专家格雷厄姆·克莱利(GRAHAM CLULEY)表示:“美国情报机构在微软软件中发现了微软的一个安全漏洞,他们的做法并不正派,把这个漏洞保留给了自己,并利用这一漏洞来进行间谍行为。然后他们自己也遭了殃。而在这一点上,微软认为,‘天啊,我们需要修补这个漏洞’。”
安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。
归根到底,这次网络病毒的爆发,根本上还是出于对金钱利益的追求,从这点来说,这次网络病毒攻击并不可怕,特别是普通个人用户和Windows 10系统的用户。
在接受凤凰科技的采访时,微软建议广大电脑用户升级到Windows 10,Windows 10用户每次开机的升级更新建议,点击“Yes”;重要的资料和数据,随时备份。
本文转自d1net(转载)
