wannacry 蠕蟲勒索軟體“永恆之藍”席捲全球100多個國家,已經感染了勒索病毒“永恆之藍”的主機該怎麼處理?
這個週末,對於網路安全圈來說可以用“血雨腥風”來形容。北京時間5月12日開始,全球範圍內爆發了基於Windows網路共享協議進行攻擊傳播的“永恆之藍”勒索病毒。
美國、俄羅斯以及整個歐洲在內的100多個國家,及國內眾多大型企事業單位內網和政府機構專網中招,電腦磁碟上的檔案被加密,使用者被勒索支付高額贖金才能解密恢復檔案。
由於病毒使用的是高強度的RSA和AES加密演算法,目前還無法破解。
換句話說,使用者一旦中招,基本無解。
該勒索軟體是一個名稱為“wannacry”的新家族。該勒索軟體迅速感染全球大量主機的原因是利用了基於445埠傳播擴散的SMB漏洞MS17-010,微軟在今年3月份釋出了該漏洞的補丁。
2017年4月14日黑客組織Shadow Brokers(影子經紀人)公佈的Equation Group(方程式組織)使用的“網路軍火”中包含了該漏洞的利用程式,而該勒索軟體的攻擊者或攻擊組織在借鑑了該“網路軍火”後進行了這次全球性的大規模攻擊事件。
2017年5月14日一名ID為@SpamTech的Twitter使用者釋出訊息稱,勒索病毒是由其團隊一名成員開發的。並表示團隊已經攻下了NHS的電腦和主要的工程系統執行模組。
什麼是勒索軟體?很多使用者還不是很清楚,懸鏡小編先給大家科普下勒索軟體。
勒索軟體是一種通過郵件、網頁、移動介質等多種方式進行傳播,並在受害者執行後加密受害者電腦上的檔案(例如:word、excel、圖片等)索取一定贖金的惡意程式 —— 勒索的贖金可能是真貨幣,也可能是類似比特幣這樣的虛擬貨幣 —— 直到受害者支付贖金後才會獲得解密程式。
而勒索軟體實際上也並非是什麼新鮮玩意。
在有據可查的歷史中,1989年就出現勒索病毒,這款病毒偽裝成AIDS教育程式通過軟盤傳播(哦~可能很多年輕人並不知道軟盤是什麼 ……)。
而那個既不能網上匯款更不存在虛擬貨幣的年代裡,想要解密你的電腦就只能通過郵政匯款來支付贖金,否則將無法使用電腦(沒錯,是鎖住電腦)。
而當時,這個病毒被裝入2萬張軟盤中,發往90個國家。
作業系統影響範圍
此次勒索軟體利用了NSA黑客武器庫洩漏的“永恆之藍”工具進行網路感染,影響範圍如下:
桌面版本作業系統:
Windows 2000
Windows XP
Windows Vista
Windows7
Windows8
Windows8.1
Windows10
伺服器版本作業系統:
Windows Server 2000
Windows Server 2003
Windows Server 2008
Windows Server 2012
Windows Server 2016
什麼樣的網路容易遭受感染?
勒索病毒“永恆之藍”是利用Windows作業系統 MS17-010漏洞進行感染的,只要系統存在相關漏洞,並能夠被其他主機訪問到均有可能受到感染。
目前來看,暴露在公網上的445埠受感染的機率最高,而且一旦被感染後也可以自我感染其他公網主機或者自身所在內網中,其次是辦公內網中,辦公網路安全防護複雜,極易造成嚴重的大面積感染情況,再次是伺服器區域,而且該區域一旦被感染後損失最大,相關應用、資料等均在此區域,一旦被加密後果不堪設想,內部的專網受感染情況較低。
以上幾種網路環境均需要全面的安全防護,一旦感染被加密後都會影響到個人、單位、企業的正常運轉。
已經感染了勒索病毒“永恆之藍”的主機該怎麼處理?
已經感染了勒索病毒“永恆之藍”的主機必須第一時間進行網路隔離處理,防止感染其他主機。
直接辦法就是拔掉網線。同時對系統中的資料損失進行分析,拷貝殘留的有價值資料,拷貝完成後對所用的儲存介質進行全面防毒處理,並留存相關主機系統。
如果要繼續使用已經被感染的裝置,懸鏡安全實驗室建議要對相關係統進行全面重灌,格式化相關硬碟,並重建MBR引導扇區,安裝純淨作業系統,做好全面安全防護處理後方可連線網路。
對於未感染裝置如何安全防護?
未感染的裝置請務必做到第一時間斷網處理,防止在加固處理過程中被感染。然後通過主機防火牆加固、漏洞修復方式逐步進行安全防護。
另外,據安全人員表示,這還沒完,攻擊者可能還會發起第二波WannaCry攻擊,新一波的變異WannaCry程式將不會內建“緊急開關”(kill switch)了,到時這種WannaCry升級版的傳播感染態勢將不可預計。
值得注意的是企業內網將是本次事件影響的重災區。很多企業運維人員都認為內網是最安全的,其實不然,內網也成為黑客主要攻擊的物件之一,一旦突破內網防線,帶給企業破壞力、損失將是巨大的。
安普諾旗下懸鏡安全實驗室專門負責前沿安全技術研究和為企業客戶提供專業的安全服務和安全諮詢,主要包括基於深度學習的Web威脅檢測引擎研究、惡意樣本分析、高階滲透測試服務、主機安全巡檢服務、應急響應服務、伺服器防黑加固服務等方面的安全工作。
安全產品主要包括懸鏡伺服器衛士、雲脈Web威脅深度檢測引擎、雲諾Web威脅智慧預警平臺、雲鑑漏洞掃描平臺等。
針對企業內網問題可以做到態勢感知,發現漏洞並給出有效的解決方案。
希望人們儘快利用這段時間及時修復補丁,採取相關預防措施。