勒索病毒席卷全球,為何如此兇猛?

2017-05-16|HiShop
導(dǎo)讀Hi商學(xué)院訊。投資界巨擘巴菲特在2017年股東大會上表示:人類面臨的最大威脅是網(wǎng)絡(luò)攻擊,發(fā)生核戰(zhàn)爭的可能性要低于生化武器與網(wǎng)絡(luò)攻擊。 話音未落,2017年5月12日晚上20時,WannaCry蠕...

  Hi商學(xué)院訊。投資界巨擘巴菲特在2017年股東大會上表示:人類面臨的最大威脅是網(wǎng)絡(luò)攻擊,發(fā)生核戰(zhàn)爭的可能性要低于生化武器與網(wǎng)絡(luò)攻擊。

  話音未落,2017年5月12日晚上20時,WannaCry蠕蟲席卷全球,這是一起大規(guī)模勒索軟件感染事件,并在持續(xù)。據(jù)BBC報道,截至當(dāng)前,全球超過150個國家至少20萬名用戶中招。目前至少有美國、英國、中國、俄羅斯、西班牙、意大利、越南等上百個國家和地區(qū)受到嚴(yán)重影響。英國數(shù)十家醫(yī)院被攻擊,中國教育網(wǎng)內(nèi)多所大學(xué)紛紛中招,不少畢業(yè)生的畢業(yè)設(shè)計文件被鎖。在國內(nèi),很多的企業(yè)內(nèi)網(wǎng)甚至是專網(wǎng)也未能幸免。醫(yī)療、企業(yè)、電力、能源、銀行、交通等多個行業(yè)均遭受不同程度的影響。

勒索病毒席卷全球,為何如此兇猛?

  世界各地感染W(wǎng)annaCry的實時監(jiān)控圖,圖片來自網(wǎng)絡(luò)

  WannaCry勒索蠕蟲感染的電腦將被鎖定,包括照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等多種類型的文件被加密,被加密后的文件后綴名改為“.WNCRY”,勒索軟件運用了高強(qiáng)度的加密算法使得目前難以破解,暴力破解需要極高的運算量,基本不可能成功解密。受害者目前只能乖乖付錢消災(zāi)。攻擊者甚至叫囂,如果在規(guī)定時間不付錢,金額翻倍,甚至刪除文件。

勒索病毒席卷全球,為何如此兇猛?

  被勒索軟件感染的電腦截屏,攻擊者索要300美元來解鎖,圖片來自網(wǎng)絡(luò)

  莫慌,這到底是怎么回事?用最簡單的話解釋,就是電腦沒有及時安裝補丁更新,被漏洞利用程序攻擊,成功后,攻擊者將電腦上的文件加密,彈出勒索頁面,索要贖金。進(jìn)而,攻擊者會植入遠(yuǎn)程控制木馬、虛擬貨幣挖礦等惡意程序。

  WannaCry蠕蟲是什么?

  我們仔細(xì)地講講來龍去脈吧。WannaCry也被稱為WannaCrypt/WannaCrypt0r,目前還沒有統(tǒng)一的中文名稱,目前很多媒體按照字面翻譯為“想哭”。此病毒文件的大小3.3MB,是一款蠕蟲勒索式惡意軟件。除Windows 10系統(tǒng)外,所有未及時安裝MS17-010 補丁的Windows 系統(tǒng)都可能被攻擊。WannaCry 通過MS17-010 漏洞進(jìn)行快速感染和擴(kuò)散,使用RSA+AES 加密算法對文件進(jìn)行加密。也就是說,一旦某個電腦被感染,同一網(wǎng)絡(luò)內(nèi)存在漏洞的主機(jī)都會被它主動攻擊,因此受感染的主機(jī)數(shù)量飛速增長。同時,WannaCry 包含28個國家語言,可謂細(xì)致。

勒索病毒席卷全球,為何如此兇猛?

  WannaCry 支持全球化語言,圖片來自網(wǎng)絡(luò)

  問題的根源在于Windows 系統(tǒng)的MS17-010 漏洞。2017年3月14日,微軟發(fā)布安全公告MS17-010,Microsoft Windows SMB 服務(wù)器安全更新(4013389),等級為嚴(yán)重。漏洞說明是:如果攻擊者向Windows SMBv1 服務(wù)器發(fā)送特殊設(shè)計的消息,那么其中最嚴(yán)重的漏洞可能允許遠(yuǎn)程執(zhí)行代碼。

  4月,黑客組織Shadow Brokers 對外公布了從美國國家安全局(NSA)盜取的多個Windows 攻擊工具。WannaCry 勒索蠕蟲攻擊代碼部分即基于這些攻擊工具庫中的EtenalBlue(永恒之藍(lán))。

  如果3月份的安全公告和4月份的攻擊工具泄漏還沒有被引起重視的話,僅僅1個月后,基于EtenalBlue(永恒之藍(lán))的勒索蠕蟲肆虐,不再存在于預(yù)測和想象里,而是真實的發(fā)生在我們身邊,嚴(yán)重影響了工作與生活。

  利用Windows系統(tǒng)遠(yuǎn)程安全漏洞進(jìn)行傳播,WannaCry 會掃描開放445文件共享端口的Windows機(jī)器,無需用戶任何操作,只要開機(jī)上網(wǎng),就能在存在漏洞的計算機(jī)或服務(wù)器中植入惡意程序。當(dāng)侵入組織或機(jī)構(gòu)內(nèi)部時,它會不停的探測脆弱的電腦設(shè)備,并感染它們,因此受感染的主機(jī)數(shù)量飛速增長。

勒索病毒席卷全球,為何如此兇猛?

  圖片來自網(wǎng)絡(luò)

  目光回到多年前的沖擊波病毒

  讓我們把目光回到多年之前,2003年8月,沖擊波病毒(W32.Blaster.Worm)肆虐全球,病毒運行時會不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2000或XP的計算機(jī),找到后利用DCOM/RPC緩沖區(qū)漏洞攻擊該系統(tǒng),一旦攻擊成功,病毒體將會被傳送到對方計算機(jī)中進(jìn)行感染,使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。另外,該病毒還會對系統(tǒng)升級網(wǎng)站進(jìn)行拒絕服務(wù)攻擊,導(dǎo)致該網(wǎng)站堵塞,使用戶無法通過該網(wǎng)站升級系統(tǒng)。

  當(dāng)時,為了控制蠕蟲病毒的擴(kuò)散,部分運營商在主干網(wǎng)絡(luò)上封禁了445端口,但是當(dāng)前教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)并沒有此安全策略的部署與端口限制而且并未及時安裝補丁,仍然存在大量暴露445端口且存在漏洞的電腦,因此導(dǎo)致了此次勒索蠕蟲病毒的嚴(yán)重泛濫。

  鑒于WannaCry 勒索蠕蟲的肆虐,微軟公司決定為已經(jīng)不再提供更新支持的XP、Windows Server 2003 發(fā)布了補丁,下載地址:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/,并發(fā)布了《勒索病毒Ransom:Win32/WannaCrypt防范及修復(fù)指南》。

  在分析和處置WannaCry 勒索蠕蟲病毒時,發(fā)生了一個意外的事情。英國安全研究人員MalwareTech 在分析病毒代碼時發(fā)現(xiàn)了一個很長的域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,而此域名并未被注冊。當(dāng)他注冊了此域名后,才發(fā)現(xiàn)這個域名看起來像是病毒作者給自己留的一個緊急停止開關(guān),防止事情失去控制。每一個感染了病毒的機(jī)器,在發(fā)作之前都會事先訪問一下這個域名,如果這個域名不存在,就繼續(xù)傳播。如果訪問成功,就停止傳播。無意之間,這位研究人員阻止了蠕蟲病毒進(jìn)一步大范圍爆發(fā)的可能。

  但是不容松懈的是,WannaCry 勒索蠕蟲持續(xù)感染狀況不會馬上停止,未來幾周會更具挑戰(zhàn)。隨著工作日更多的電腦開機(jī),將會出現(xiàn)更多的感染。而逐漸出現(xiàn)的改進(jìn)型無關(guān)鍵開關(guān)的病毒變種、改進(jìn)型更換payload 的病毒變種,也會對安全防范和處理提出新的挑戰(zhàn)。

勒索病毒席卷全球,為何如此兇猛?

  圖片來自網(wǎng)絡(luò)

  為什么那么多電腦沒及時安裝補丁?

  每次重大的安全事件,都會給人們一些嚴(yán)厲的警示,也推動了安全的進(jìn)步。我們都知道,計算機(jī)系統(tǒng)保持更新是多么的重要,但是為什么還有那么多的電腦沒有及時安裝補丁呢?主要是以下幾種原因:

  1

  業(yè)務(wù)系統(tǒng)太古老,無法兼容最新的操作系統(tǒng),只能使用陳舊的操作系統(tǒng),如Windows XP、Windows Server 2003,而微軟公司已經(jīng)不再對這些陳舊的操作系統(tǒng)提供補丁更新支持。也就是說,如果不對這些陳舊的操作系統(tǒng)進(jìn)行全面的安全防護(hù),不將業(yè)務(wù)系統(tǒng)更新部署到最新的操作系統(tǒng)上,今天會被WannaCry 蠕蟲攻擊,明天可能就會被另外的蠕蟲病毒攻擊。。

  2

  懶惰和得過且過的態(tài)度是安全的最大敵人,安全保護(hù)是一項嚴(yán)謹(jǐn)、勤奮的工作,任何的疏忽和大意都會造成嚴(yán)重的損失。等到不得不乖乖給勒索者交錢時,才會想到不應(yīng)該。

  3

  認(rèn)為打補丁會對穩(wěn)定性造成影響。給操作系統(tǒng)打補丁是一種變更操作,會對原環(huán)境造成影響,但經(jīng)過嚴(yán)格測試的補丁和在測試環(huán)境中的驗證,都能消除這些疑慮。以穩(wěn)定為名忽視安全,是最得不償失的。

  很多人出于安全習(xí)慣的考慮,在計算機(jī)上安裝了各種第三方安全助手,這些安全助手往往綜合了多種自動化操作,給用戶帶來了便捷。但使用這些第三方安全助手一定注意:微軟公司在3月份已經(jīng)對Win 7 以上版本推送了補丁更新。但第三方安全助手會關(guān)閉Windows 自動更新。所以從某種程度上來說,需要改變認(rèn)識,第三方安全助手并不是最終的安全保障。

勒索病毒席卷全球,為何如此兇猛?

  圖片來自網(wǎng)絡(luò)

  備份,對抗勒索惡意軟件才有效

  對抗勒索惡意軟件最有效的辦法是備份、備份、備份,一定要定期在不同的存儲介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個人數(shù)據(jù),一定不能懶惰,一定不能有僥幸心理(預(yù)防勒索病毒的方法)。

  勒索惡意軟件給國內(nèi)網(wǎng)絡(luò)安全也帶來了新的挑戰(zhàn)。在過去的多年里,國內(nèi)很多組織和機(jī)構(gòu)把安全的重點放在了網(wǎng)站是否被篡改、網(wǎng)站是否被拒絕服務(wù)攻擊等“見得著”的方面,而對于數(shù)據(jù)被竊取、高級持續(xù)性威脅不夠重視。對于針對終端計算機(jī)進(jìn)行的勒索程序,僅僅在網(wǎng)絡(luò)層攔截是不足的,需要網(wǎng)絡(luò)層與端點設(shè)備的聯(lián)動才能有效防御。在此次勒索蠕蟲事件中,很多的專有終端也被攻陷和感染,如ATM 機(jī)、閘機(jī)等,這暴露了專用終端安全防護(hù)的不足,需要進(jìn)行全面的安全防護(hù)。

  同時,此次勒索蠕蟲病毒事件中大量的受害用戶是隔離內(nèi)網(wǎng)。很多人樂觀的認(rèn)為隔離內(nèi)網(wǎng)是安全的,但事實是內(nèi)部網(wǎng)絡(luò)安全疏漏較多,防御不足,很容易從內(nèi)部發(fā)起攻擊。內(nèi)網(wǎng)的資產(chǎn)和數(shù)據(jù)價值更大,發(fā)生事件后影響將非常嚴(yán)重!

  隨著6月1日《網(wǎng)絡(luò)安全法》的實施,安全將提到非常重要的高度。習(xí)總書記在4.19網(wǎng)絡(luò)安全與信息化工作座談會上已經(jīng)告誡我們“網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化,那種依靠裝幾個安全設(shè)備和安全軟件就想永保安全的想法已不合時宜,需要樹立動態(tài)、綜合的防護(hù)理念”。何況還有很多并沒有安裝安全設(shè)備、安全軟件的計算機(jī)在承載著事關(guān)國際民生的業(yè)務(wù)。我們一定要提高安全認(rèn)識,保持安全警覺,從一次次的安全事件中吸取教訓(xùn),承擔(dān)起安全職責(zé),擔(dān)負(fù)起安全責(zé)任,建設(shè)”主動保護(hù)、持續(xù)監(jiān)測、積極防御、快速響應(yīng)“的安全態(tài)勢感知體系,才能化被動為主動,提高國家的信息化安全水平。

【本站聲明】 1、本網(wǎng)站發(fā)布的該篇文章,目的在于分享電商知識及傳遞、交流相關(guān)電商信息,以便您學(xué)習(xí)或了解電商知識,請您不要用于其他用途; 2、該篇文章中所涉及的商標(biāo)、標(biāo)識的商品/服務(wù)并非來源于本網(wǎng)站,更非本網(wǎng)站提供,與本網(wǎng)站無關(guān),系他人的商品或服務(wù),本網(wǎng)站對于該類商標(biāo)、標(biāo)識不擁有任何權(quán)利; 3、本網(wǎng)站不對該篇文章中所涉及的商標(biāo)、標(biāo)識的商品/服務(wù)作任何明示或暗示的保證或擔(dān)保; 4、本網(wǎng)站不對文章中所涉及的內(nèi)容真實性、準(zhǔn)確性、可靠性負(fù)責(zé),僅系客觀性描述,如您需要了解該類商品/服務(wù)詳細(xì)的資訊,請您直接與該類商品/服務(wù)的提供者聯(lián)系。
重磅推薦:淘寶學(xué)院目錄

第一部分:極速推

第三部分:微詳情

第四部分:百億補貼

第五部分:淘金幣

第六部分:天天特賣

第七部分:淘寶直播

第八部分:淘寶特價版

第九部分:相關(guān)推薦