新型“蠕虫”式勒索病毒爆发,国家网络与信息安全中心紧急通报
5月13日下午,国家网络与信息安全信息通报中心紧急通报:12日20时左右,新型“蠕虫”式勒索病毒爆发,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染,我国部分Windows系列操作系统用户已经遭到感染。这起大规模信息安全攻击也波及国内多所高校,攻击者利用系统默认开放的445端口(文件共享端口)在高校校园网内进行传播,不需要用户进行任何操作即可进行感染。感染后设备上的所有文件都将会被加密,攻击者声称用户需要支付约价值5万元比特币才可以解锁。
中大华师:未遭病毒攻击
国内高校是这次攻击的重灾区,不少大学生的毕业论文、毕业设计等重要资料已经宣告“沦陷”。部分高校已发布预警信息。
据报道,杭州下沙高教园区校园网被黑。杭州师范大学、浙江工商大学、宁波大学、浙江中医药大学、浙江理工大学等都有学生反映遭遇病毒攻击。据专业人士分析,由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网是受攻击的重灾区。
13日,中山大学、华南师范大学等广东高校迅速对校内师生发出技术警告和指引,降低勒索病毒对校园网用户的影响。中山大学官方微博称,中国高等教育学会教育信息化分会网络安全工作组12日已接到多所学校报告,反映大量学校电脑感染勒索病毒。中大网络与信息技术中心表示,他们原有的安全策略已禁止外网访问部分共享端口,其中包括此次遭袭的主要路径445端口。为降低安全风险,中大禁止了校园网络汇聚交换路由设备445端口的连接。
华师表示,目前尚无校内师生电脑遭到病毒攻击,同时建议师生检测系统漏洞,关闭受到漏洞影响的端口,网络中心也将统一做技术缓解防范措施,以降低该勒索软件对校园网用户的影响。
快打补丁:微软已有相关发布
据360安全中心分析,此次勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。
针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”,能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。
“放毒”目的:索要“赎金”获利
目前尚不清楚黑客发起攻击的目的,但勒索病毒能够让袭击者迅速通过攻击获利,是网络窃贼最喜欢的攻击方式之一。360安全专家表示,这种病毒对电脑文件的破坏是可逆的,黑客可以还原,但需要“赎金”。
遭到攻击的电脑上都会出现一个比特币的“赎金”对话框。这种虚拟货币在网络犯罪分子当中很受欢迎,因为它是分散的、不受管制的,而且几乎难以追踪。就算索要一个比特币,看起来数量少,可是攻击范围一旦遍布全球,金额将非常巨大。另一方面,比特币自诞生以来价格不断上涨,现在的价格相比几年前已翻数倍,本周甚至一度超过1800美元,国内一个比特币也炒到了一万多元人民币。
针对该病毒,猎豹移动安全专家李铁军表示,这个病毒是勒索病毒,它结合了蠕虫病毒的攻击方式,在全球范围内造成了巨大破坏:“病毒加密的文件除了攻击者,其他人没办法解密,能防不可治。”
如何防范: 关闭高危端口
计算机安全专家建议:立即关闭Windows系统的445端口:打开控制面板——网络和共享中心——更改适配器设置——右键点击正在使用的网卡然后点击属性——取消勾选Microsoft网络文件和打印机共享——确定——重启系统。同时,尽快升级系统安装补丁,Windows 2003和XP没有官方补丁,用户可打开并启用Windows防火墙,进入“高级设置”,禁用“文件和打印机共享”设置;或启用个人防火墙关闭445以及135、137、138、139等高风险端口。已感染病毒机器请立即断网,避免进一步传播感染。此外,应尽快备份电脑里的重要资料。
本文转自d1net(转载)
