勒索软件被专家暂时阻止,但是隐患犹在

本文涉及的产品
.cn 域名,1个 12个月
简介:

WannaCry(又称为WanaCrypt0r 2.0)是一款电脑勒索病毒,通过电子邮件传播。该病毒会加密用户的数据,然后要求用户付款作为解锁数据的交换。从2017年5月12日开始,该病毒攻击了包括西班牙、英国、意大利、俄罗斯、中国在内的众多国家。据《卫报》报道,在西班牙,包括电信公司Telefónica在内的许多大公司都被感染。在英国,国民健康服务体系(NHS)因为受到攻击而运营中断,X光检查无法进行,检查结果和病历无法访问。

但是,病毒传播突然停止了,因为网络安全研究人员@malwaretechblog在Darien Huss(来自安全公司Proofpoint)的帮助下无意间发现并激活了恶意软件中的Kill Switch。他在接受采访时说:

我中午和朋友出去吃饭,在大约3点回来的时候,我看到网上突然出现了大量有关NHS和多个UK组织遭到攻击的新闻。我大致了解了一下,然后找到了一个恶意软件样本,我发现它正在连接一个特定的域名,那个域名并没有被注册。所以,我是无意间发现的,我那会并不知道它在做什么。

为了防止创建者想要阻止病毒传播,Kill Switch被硬编码在恶意软件中。其中包括一个非常长的、没有意义的域名,恶意软件会向它发送请求,如果请求返回,则表明域名是活的,Kill Switch就会发挥作用,而恶意软件就会停止传播。一经注册,该域名每秒就登记成千上万的连接。

按照MalwareTech的说法,他之所以购买这个域名,是因为他的公司追踪僵尸网络,通过注册这些域名,他们可以深入了解僵尸网络如何扩散。他说,“我的初衷只是监控其传播,看看我们后续是否可以做点相关的工作。但我们竟然通过注册这个域名阻止了传播。”但他很快就意识到“我们还需要阻止其他的攻击方法”。他计划继续持有该URL,和他的同事一起收集IP,并发送给执法机关,由他们通知被感染的受害者,因为并不是所有被感染的人都知道自己被感染了。同时,他建议人们升级系统,并补充说:

这事还没完。攻击者会意识到我们如何阻止了它的传播,他们会修改代码,然后重新开始。务必启用Windows升级功能,升级然后重启。

来自Proofpoint的Ryan Kalember表示,@malwaretechblog注册这个域名太晚了,没能帮助欧洲和亚洲,因为许多组织已经被感染了。Kill Switch并不能帮助那些已经被勒索软件感染的计算机。但是,他让美国人有更多的时间在被感染之前升级他们的系统,提高防护能力。另外,可能会有包含不同Kill Switch的恶意软件变种继续传播。

针对WannaCrypt攻击,微软专门发布了一份用户指南。该指南详细说明了个人和企业应该采取的防护步骤。此外,为了保护仅有用户支持服务的Windows平台(其中包括Windows XP、Windows 8和Windows Server 2003),他们向这些平台的用户提供了安全升级补丁。按照微软的说法,运行Windows 10的用户目前还不是攻击目标。

3月份的时候,微软发布了一个安全升级补丁,用于消除这些攻击利用的漏洞。已经启用Windows升级功能的用户可以抵御针对这个漏洞的攻击。微软建议,那些没有应用安全升级补丁的组织应该立即部署Microsoft Security Bulletin MS17-010。对于使用Windows Defender的用户,微软发布了一个可以检测到Ransom:Win32/WannaCrypt威胁的补丁。另外,微软提醒用户:

攻击类型可能会随时间进化,因此,任何额外的深度防护策略都会提供额外的防护。(例如,为了进一步抵御SMBv1攻击,用户应该考虑阻断他们网络中的遗留协议)。

……

已经观察到的部分攻击使用了常见的钓鱼式攻击策略,包括恶意附件。用户在打开来自不受信任或未知来源的文档时要保持警惕。对于Office 365用户,我们会继续监控和升级,以抵御这类威胁。

本文转自d1net(转载)

相关文章
|
1月前
|
安全 数据安全/隐私保护
公司应该知道的勒索软件攻击趋势和恢复策略
公司应该知道的勒索软件攻击趋势和恢复策略
|
安全 网络安全
企业需要优先修补与勒索软件相关的漏洞
企业需要优先修补与勒索软件相关的漏洞
128 0
|
安全
如何高效防范勒索软件?这五个对策很重要
本文讲的是如何高效防范勒索软件?这五个对策很重要,现阶段防御勒索软件的策略最为重要的一点就在于需要去领先于标准备份以及实时更新的病毒定义,并且不但要采取深度防御的全面安全策略来避免缴纳赎金还要能够试图去检测它。
1788 0
|
安全 数据安全/隐私保护 Windows
Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件
本文讲的是Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件,2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致许多企业遭受攻击。
1274 0