金山安全中心：永恒之蓝病毒是一次勒索+远程执行漏洞的蠕虫式传播病毒 - 动点科技
金山安全中心：永恒之蓝病毒是一次勒索+远程执行漏洞的蠕虫式传播病毒
昨日起，一种 Onion、WNCRY 两类敲诈者病毒变种在全国大范围内出现爆发态势。感染已迅速扩至全球范围内，企业和医疗机构可能蒙受的损失以及后患引人关注。
本轮敲诈者蠕虫病毒传播主要包括 Onion、WNCRY 两大家族变种，本次感染事件首先在英国、俄罗斯等多个国家爆发，新闻报道有多家企业、医疗机构的系统中招，损失非常惨重。安全机构全球监测已经发现目前多达 74 个国家遭遇本次敲诈者蠕虫攻击。从 5 月 12 日开始，国内的感染传播量也开始急剧增加，在多个高校和企业内部集中爆发并且愈演愈烈。
本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局 (NSA) 黑客工具包中的“永恒之蓝”漏洞 (微软 3 月份已经发布补丁，漏洞号:MS17-010)。和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似，本次传播攻击利用的“永恒之蓝”漏洞可以通过 445 端口直接远程攻击目标主机，传播感染速度非常快。
虽然国内部分网络运营商已经屏蔽掉个人用户的 445 网络端口，但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标，对于企业来说尤其严重，一旦内部的关键服务器系统遭遇攻击，带来的损失不可估量。
图为全球范围内目前早已病毒入侵状况
图为航空机场告示牌收到病毒感染
部分加油站设施同样没能幸免
从目前检测到反馈情况看，国内多个高校都集中爆发了感染传播事件，甚至包括机场航班信息、加油站等终端系统遭受影响，预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。
中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密，然后向用户勒索高额比特币赎金。WNCRY 变种一般勒索价值 300~600 美金的比特币，而 onion 变种甚至要求用户支付 3 个比特币，以目前的比特币行情，折合人民币在 3 万左右。此类病毒一般使用 RSA 等非对称算法，没有私钥就无法解密文件。WNCRY 敲诈者病毒要求用户在 3 天内付款，否则解密费用翻倍，并且一周内未付款将删除密钥导致无法恢复。从某种意义上来说这种敲诈者病毒“可防不可解”，需要安全厂商和用户共同加强安全防御措施和意识。
与以往不同的是，此类新变种添加了 NSA 黑客工具包中的“永恒之蓝”0day 漏洞利用，通过 445 端口 (文件共享) 在内网进行蠕虫式感染传播，没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染, 所以目前感染用户主要集中在企业、高校等内网环境下。一旦感染该蠕虫病毒变种，系统重要资料文件就会被加密并勒索高额的比特币赎金 (折合人民币
目前全网已经有数万用户感染，QQ、微博等社交平台上也是哀鸿遍野，所以本次敲诈者病毒传播感染的后续威胁不容小觑。敲诈勒索病毒+远程执行漏洞的蠕虫式传播，这样的组合极大增强了本次病毒安全威胁的程度，对近期国内的网络安全形势都是一次严峻考验。
下面给出针对本次敲诈者蠕虫的安全防御方案、传播分析、以及其他安全建议，尽力让用户规避或减少遭遇敲诈勒索的风险——专家建议易感电脑群应该立即采取以下步骤——
1、安装安全杀毒软件，保持安全防御功能开启，推荐下载安装金山毒霸，我们已经在第一时间对该蠕虫病毒进行查杀防御。
2、升级系统补丁，打开控制面板，启动 Windows 自动更新，安装操作系统补丁。针对这次勒索病毒传播，还可以直接访问以下地址，下载安装针对 NSA 泄漏漏洞的安全补丁。/zh-cn/library/security/MS17-010
3、谨慎打开不明邮件文档，禁用 office 宏，钓鱼邮件是勒索病毒传播的一个重要渠道。
4、关闭用户共享和 445 端口。
5、及时备份个人重要文件。
6、安装金山毒霸，我们安全团队已经在第一时间真对该敲诈者蠕虫病毒加强了查杀防御措施。保持毒霸防御开启，即可拦截此次的敲诈者蠕虫攻击。
目前已经有少量用户开始向病毒作者支付勒索赎金，据悉病毒作者已经收到 19 个用户的比特币赎金，累计 3.58 个比特币，市值约人民币 4 万元。
上一篇下一篇
世上无难事 只要肯扒门缝
接洽热线——
TechNode TV
坚果 Pro 2 到底值不值得入手？听听两个老玩家的灵魂辩论
如果你的产品足够锐意创新，欢迎
这家公司最近推出了智能保险官AIMI，让人工智能落地保险行业。
开启微信，扫一扫
输入您的邮箱地址：
开启微信，扫一扫当前位置 & &
& 别以为结束了！“想哭”勒索蠕虫越发嚣张
别以为结束了！“想哭”勒索蠕虫越发嚣张
20:40:06&&出处：&&作者：实习小苏
编辑：上方文Q &&)
让小伙伴们也看看：
阅读更多：
好文共享：
文章观点支持
文章价值打分
当前文章打分0 分，共有0人打分
[05-27][05-27][05-27][05-26][05-26][05-26][05-25][05-25][05-24][05-23]
登录驱动之家
没有帐号？
用合作网站帐户直接登录自5月12日起，在全球大范围内爆发的勒索病毒&WannaCry&对我国互联网络也构成了严重安全威胁。中央网信办网络安全协调局负责人15日表示，该勒索病毒仍在传播，但速度已明显放缓。黑客如此大规模公然向全球计算机用户直接勒索，史无前例，堪称向全世界发出恐吓。全球网络空间安全治理的警钟已经鸣起。
勒索病毒大规模爆发
12日晚，由于受到勒索病毒波及，中石油部分加油站出现了加油卡、银行卡、第三方支付等网络支付无法使用的状况。
记者从国家互联网应急中心获悉，这种名为&WannaCry&的病毒属于蠕虫式勒索软件，通过利用编号为MS17-010的Windows漏洞(被称为&永恒之蓝&)主动传播感染受害者。
&北京时间日20时左右，该勒索病毒在全球范围内大规模爆发，受到影响的国家达上百个。&国家互联网应急中心博士、工程师韩志辉说。
截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受&永恒之蓝&漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。另监测发现5471个IP连接&Wannacry&蠕虫病毒的内置域名及IP，表明可能已感染该病毒，IP主要分布在中国内地的广东、浙江、北京和上海等地。
国内大量行业企业内网感染
被该勒索软件入侵后，用户主机系统内的文件会被恶意加密，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。
&一旦中招，用户主机系统内的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为&.WNCRY&。&猎豹移动安全专家李铁军说，由于该病毒使用RSA非对称算法，没有私钥就无法解密文件。
韩志辉表示，目前网络安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统或使用专杀工具的方式来清除勒索软件，但若用户重要数据文件没有备份，则很难完全直接恢复。
监测发现，国内大量行业企业内网遭到感染，包括教育、企业、医疗、电力、能源、银行、交通等多个行业受到不同程度的影响。
国家互联网应急中心博士、高级工程师高胜表示，该勒索软件对于企业局域网或内网的主机系统破坏性尤其严重。&由于大量内网主机没有及时更新补丁或使用XP系统，因此一旦有一台主机被感染，将造成网内大规模扩散。&高胜说，我们已接到或看到了多个社会重要信息系统受攻击瘫痪的情况。
勒索病毒源自美武器库 美国埋的雷应它来排
在整个事件中，美国国家安全局(NSA)难逃干系。网络攻击所用的黑客工具&永恒之蓝&，就是来源于早期NSA泄露的网络武器库。可以毫不夸张地说，本次事件是美国网络空间战略酿造的重大后果之一。美国占据全球网络空间绝对优势地位，一直以全球网络空间安全卫道士著称。尤其在奥巴马任期，最大的成就就是建立针对中国、俄罗斯等国具有进攻性的网络威慑战略。但是，美国在这场网络军备竞赛中的一马当先，并没有真正改善全球网络空间安全。
本次事件进一步说明，美国网络安全战略的方向性错误。无论是针对伊朗核设施的&震网&行动，还是斯诺登披露的&棱镜&计划，加上最近大规模泄露的网络武器库，这些都告诉我们，美国政府可能在错误的方向上走得太远了。热衷于全球监控，研发各种网络武器，不断将网络问题政治化、军事化，破坏了国与国之间的信任与合作，恰恰是帮了倒忙，极大提升了包括美国在内的全球范围遭遇攻击的危险性。随着人类日常生活越来越依赖于网络，已经失控的美国安全局和中情局网络武器库，正沦为不法分子事实上的&网络军火&，成为全球公害之源。
这场全球性的&网络核危机&生动地诠释了全球网络空间的新态势，重新定义了全球网络犯罪的生态链。而这一切可能只是开始。在这场不对称的战争中，国家行为体越发显得势单力薄。在与无所不在的非国家行为体的博弈与对抗中，唯有各国展开前所未有的合作，才有可能使局面出现转机。
病毒传播一度被意外拦阻
来自英国的消息似乎为战胜勒索病毒带来了一丝希望。
英国媒体13日报道，一名22岁的英国网络工程师12日晚注意到，这一勒索病毒正不断尝试进入一个极其特殊、尚不存在的网址，于是他顺手花8.5英镑(约合75元人民币)注册了这个域名，试图借此网址获取勒索病毒的相关数据。
令人不可思议的是，此后勒索病毒在全球的进一步蔓延竟然得到了阻拦。
这名工程师和同事分析，这个奇怪的网址很可能是勒索病毒开发者为避免被网络安全人员捕获所设定的&检查站&，而注册网址的行为无意触发了程序自带的&自杀开关&。
也就是说，勒索病毒在每次发作前都要访问这个不存在的网址，如果网址继续不存在，说明勒索病毒尚未引起安全人员注意，可以继续在网络上畅行无阻;而一旦网址存在，意味着病毒有被拦截并分析的可能。
在这种情况下，为避免被网络安全人员获得更多数据甚至反过来加以控制，勒索病毒会停止传播。
勒索病毒已经出现新变种
意外拦阻勒索病毒的英国网络工程师和一些网络安全专家都表示，这种方法目前只是暂时阻止了勒索病毒的进一步发作和传播，但帮不了那些勒索病毒已经发作的用户，也并非彻底破解这种勒索病毒。
他们推测，新版本的勒索病毒很可能不带这种&自杀开关&而卷土重来。这种推测果然很快成为现实。
昨天国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。
北京市委网信办、北京市公安局、北京市经信委也联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。
该通知要求各单位立即组织内网检测，一旦发现中毒机器，立即断网处置，严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。《通知》称，目前看来对硬盘格式化可清除病毒。
欧盟刑警组织下属的欧洲网络犯罪中心13日表示，此次勒索病毒攻击的规模之大前所未有，需要通过复杂的国际调查寻找犯罪嫌疑人，欧盟刑警组织已和多国合作对此次攻击展开调查。
本次事件影响范围广泛，向广大用户提出处理建议：
1. 关闭漏洞端口，安装系统补丁
a) 可以采用一些免疫工具进行自动化的补丁安装和端口屏蔽，比如电脑管家勒索病毒免疫工具
b) 手动关闭端口，下载安装补丁
ii. 利用防火墙添加规则屏蔽端口
1. 开始菜单-打开控制面板-选择Windows防火墙
2. 如果防火墙没有开启，点击&启动或关闭 Windows防火墙&启用防火墙后点击& 确定&
3. 点击& 高级设置&，然后左侧点击&入站规则&，再点击右侧& 新建规则&
4. 在打开窗口选择选择要创建的规则类型为&端口&，并点击下一步
5. 在&特定本地端口&处填入445并点击&下一步&，选择&阻止连接&，然后一直下一步，并给规则随意命名后点击完成即可。
注：不同系统可能有些差异，不过操作类似
1. 选择需要操作机器所属的安全组，点击&编辑规则&
2. 直接点击快捷配置按钮&封堵安全漏洞&就可以自动添加规则
3. 该快捷按钮将会添加&137、139、445&三个端口的屏蔽规则，如果只想添加本次所影响的445端口，可以在保存前进行调整(如非业务需要，不建议调整)
2. 备份数据，安装安全软件，开启防护
a) 对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份
b) 部分电脑带有系统还原功能，可以在未遭受攻击之前设置系统还原点，这样即使遭受攻击之后可以还原系统，找回被加密的原文件，不过还原点时间到遭受攻击期间的文件和设置将会丢失
c) 目前，大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等，可以安装这些安全软件，如腾讯电脑管家，开启实时防护，避免遭受攻击
d) 可以采用一些文件防护工具，进行文件的备份、防护。
3. 建立灭活域名实现免疫
根据对已有样本分析，勒索软件存在触发机制，如果可以成功访问，则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册，可以正常访问。
a) 普通用户在可以联网状态下，保证对该网址的可访问，则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒)
b) 企业用户可以通过在内网搭建Web Server，然后通过内网DNS的方式将域名解析到Web Server IP的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况。
【微信扫一扫，分享给好友】
近日，一篇标题为《一位92年女生致周鸿祎：别再盯着我们看了》的微信文章让360旗下直播平台水滴直播再遭质疑。文中作者用探访的方式，对众多被360监控摄像头“直播...
正在合投项目
投资风向标
【微投订阅号】
实时获取最新投资咨询，每周投资动态，最新投资趋势关于应对“永恒之蓝”勒索蠕虫病毒攻击紧急处置的紧急通知
】 浏览:602次
关于应对“永恒之蓝”勒索蠕虫病毒攻击紧急处置的紧急通知&
根据上级有关部门的通报，2017年5月12日20时左右，全球爆发大规模基于Windows网络共享协议进行攻击传播的蠕虫病毒，在感染情况下，磁盘文件会被加密并被勒索。据公安部门通报，教育行业遭受攻击情况严重。为控制病毒感染扩散，确保教育行业不发生连片式的网络安全事件，现就应对措施紧急通知如下：&
一、进行边界设置工作。在边界出口设备禁止外网对内部135/137/138/139/445端口的连接；在园区网络核心主干交换路由设备禁止对135/137/138/139/445端口的连接。&
二、开展漏洞扫描与修复工作。下载并运行360公司免疫工具，下载链接： /other/onionwormimmune。对已感染病毒的计算机下并运行360公司专杀工具，下载链接： /other/onionwormkiller 。&
三、排查系统更新情况。排查Windows个人计算机和服务器系统更新是否有效并已更新相关系统补丁，确保系统安全。&
四、排查病毒感染情况。对本单位设备（包括公共设备）感染情况进行排查，发现问题立即采取隔离等应急措施，将影响降到最低。&
& & & & & & &&&无棣县教育局教育装备中心&
& & & & & & & & & & & & & &&&2017年5月14日&
您看到此篇文章时的感受是：
【】【】【】
【】【】【】}