找回密碼
 立即注冊

QQ登錄

只需一步,快速開始

  • QQ空間
  • 回復
  • 收藏
5月12日起,Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大范圍內出現爆發態勢,大量個人和企業、機構用戶中招。
與以往不同的是,這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恒之藍”0day漏洞利用,通過445端口(文件共享)在內網進行蠕蟲式感染傳播。
沒有安裝安全軟件或及時更新系統補丁的其他內網用戶極有可能被動感染,所以目前感染用戶主要集中在企業、高校等內網環境下。
一旦感染該蠕蟲病毒變種,系統重要資料文件就會被加密,并勒索高額的比特幣贖金,折合人民幣2000-50000元不等。
從目前監控到的情況來看,全網已經有數萬用戶感染,QQ、微博等社交平臺上也是哀鴻遍野,后續威脅也不容小覷。
敲詐勒索病毒+遠程執行漏洞蠕蟲傳播的組合致使危險度劇增,對近期國內的網絡安全形勢一次的嚴峻考驗。
事發后,微軟和各大安全公司都第一時間跟進,更新旗下安全軟件。金山毒霸也特別針對本次敲詐者蠕蟲,給出了詳細的安全防御方案、傳播分析,以及其他安全建議。
我們也匯總了所有Windows系統版本的補丁,請大家務必盡快安裝更新。
【傳播感染背景】
本輪敲詐者蠕蟲病毒傳播主要包括Onion、WNCRY兩大家族變種,首先在英國、俄羅斯等多個國家爆發,有多家企業、醫療機構的系統中招,損失非常慘重。
安全機構全球監測已經發現目前多達74個國家遭遇本次敲詐者蠕蟲攻擊。
從5月12日開始,國內的感染傳播量也開始急劇增加,在多個高校和企業內部集中爆發并且愈演愈烈。



全球74個國家遭遇Onion、WNCRY敲詐者蠕蟲感染攻擊



24小時內監測到的WNCRY敲詐者蠕蟲攻擊次數超過10W+

本次感染急劇爆發的主要原因在于其傳播過程中使用了前段時間泄漏的美國國家安全局(NSA)黑客工具包中的“永恒之藍”漏洞(微軟3月份已經發布補丁,漏洞編號MS17-010)。
和歷史上的“震蕩波”、“沖擊波”等大規模蠕蟲感染類似,本次傳播攻擊利用的“永恒之藍”漏洞可以通過445端口直接遠程攻擊目標主機,傳播感染速度非常快。

本次敲詐者蠕蟲病毒變種通過“永恒之藍”漏洞進行網絡攻擊

雖然國內部分網絡運營商已經屏蔽掉個人用戶的445網絡端口,但是在教育網、部分運行商的大局域網、校園企業內網依舊存在大量暴漏的攻擊目標。
對于企業來說尤其嚴重,一旦內部的關鍵服務器系統遭遇攻擊,帶來的損失不可估量。
從檢測到反饋情況看,國內多個高校都集中爆發了感染傳播事件,甚至包括機場航班信息、加油站等終端系統遭受影響,預計近期由本次敲詐者蠕蟲病毒造成的影響會進一步加劇。

全國各地的高校內網的敲詐者蠕蟲感染攻擊爆發

某高校機房全部遭遇WNCRY敲詐者蠕蟲攻擊

國內某地加油站系統遭遇本次敲詐者蠕蟲變種攻擊

某機場航班信息終端同樣遭遇了敲詐者蠕蟲攻擊
【敲詐蠕蟲病毒感染現象】
中招系統中的文檔、圖片、壓縮包、影音等常見文件都會被病毒加密,然后向用戶勒索高額比特幣贖金。
WNCRY變種一般勒索價值300-600美金的比特幣,Onion變種甚至要求用戶支付3個比特幣,以目前的比特幣行情,折合人民幣在3萬左右。
此類病毒一般使用RSA等非對稱算法,沒有私鑰就無法解密文件。WNCRY敲詐者病毒要求用戶在3天內付款,否則解密費用翻倍,并且一周內未付款將刪除密鑰導致無法恢復。
從某種意義上來說,這種敲詐者病毒“可防不可解”,需要安全廠商和用戶共同加強安全防御措施和意識。

感染WNCRY勒索病毒的用戶系統彈出比特幣勒索窗口


用戶文件資料被加密,后綴改為“wncry”,桌面被改為勒索恐嚇
對部分變種的比特幣支付地址進行追蹤發現,目前已經有少量用戶開始向病毒作者支付勒索贖金。
從下圖中我們可以看到這個變種的病毒作者已經收到19個用戶的比特幣贖金,累計3.58個比特幣,市值約人民幣4萬元。

某個敲詐者蠕蟲的比特幣支付信息追蹤
【防御措施建議】
1、打開Windows Update自動更新,及時升級系統。
微軟在3月份已經針對NSA泄漏的漏洞發布了MS17-010升級補丁,包括本次被敲詐者蠕蟲病毒利用的“永恒之藍”漏洞,同時針對停止支持的Windows XP、Windows Server 2003、Windows 8也發布了專門的修復補丁
最新版的Windows 10 1703創意者更新已經不存在此漏洞,不需要補丁。
各系統補丁官方下載地址如下:
適用于Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安騰
適用于Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位
適用于Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位
適用于Windows 8嵌入式、Windows Server 2012
適用于Windows 10 RTM 32位/64位/LTSB
適用于Windows 10 1511十一月更新版32/64位
適用于Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位

3、Windows XP、Windows Server 2003系統用戶還可以關閉445端口,規避遭遇此次敲詐者蠕蟲病毒的感染攻擊。
步驟如下:
(1)、開啟系統防火墻保護。控制面板->安全中心->Windows防火墻->啟用。

開啟系統防火墻保護
(2)、關閉系統445端口。
(a)、快捷鍵WIN+R啟動運行窗口,輸入cmd并執行,打開命令行操作窗口,輸入命令“netstat -an”,檢測445端口是否開啟。

(b)、如上圖假如445端口開啟,依次輸入以下命令進行關閉:
net stop rdr  / net stop srv / net stop netbt
功后的效果如下:

4、謹慎打開不明來源的網址和郵件,打開Office文檔的時候禁用宏開啟,網絡掛馬和釣魚郵件一直是國內外勒索病毒傳播的重要渠道。

釣魚郵件文檔中暗藏勒索者病毒,誘導用戶開啟宏運行病毒


5、養成良好的備份習慣,及時使用網盤或移動硬盤備份個人重要文件。
本次敲詐者蠕蟲爆發事件中,國內很多高校和企業都遭遇攻擊,很多關鍵重要資料都被病毒加密勒索,希望廣大用戶由此提高重要文件備份的安全意識。

青蘋果系統官網:www.wypirm.com.cn
發表評論
登錄后參與評論 / 立即注冊

最新點評

倒序瀏覽
老大,請教下:可不可以用360或電腦管家等自動掃描出來的漏洞來打補丁呀?掃描出來漏洞對應補丁會有您提供的相關補丁嗎?謝謝!辛苦了!
我要點評 使用道具 舉報
支持支持支持!
我要點評 使用道具 舉報
用戶反饋
QQ群

福彩3d出号走势图 北京快3助手下载 河北快三开奖顺序 广西11选5规则 多乐彩遗漏 什么软件玩直播赚钱吗 山西新11选5开奖 双色球复式2017137 正规棋牌平台排行榜 双色球蓝球高%比公式 棒球规则英文(简洁) 皇后成长计划2怎样赚钱 天津十一选五和值走势图