勒索病毒新一轮全球传播 防范与遏制指南
Hi商学院6月29日消息,与勒索病毒WannaCry类似的新一轮网络攻击正在欧洲蔓延。微软公司、网络安全分析师和乌克兰警方表示,新一轮影响全球的病毒袭击事件的源头,来自一家乌克兰的会计软件生产商M.E.Doc。周二爆发的新一轮网络袭击首先从乌克兰政府部门的网络系统开始,随后俄罗斯石油公司、英国广告商WPP和切尔诺贝利核电站等机构均报告称遭到袭击。受其影响最深的丹麦航运巨头马士基集团在进行了全面评估后,不得不选择关闭了整个网络系统。
黑客要求受害者支付价值300美元的比特币,但为了知道谁付款了,黑客还指示受害者通过邮件发送比特币钱包ID和“个人安装密匙”。解锁密匙由勒索病毒随机产生,并由数字和字母组成。因此要解锁文件需要黑客提供特定的密匙。但现在这个过程不可能完成。黑客使用的德国这家电邮公司Posteo称,决定封杀黑客的账号。这让受害者无法解锁文件。
根据计算机安全公司赛门铁克的研究人员称,与五月份的WannaCry攻击一样,新的这一轮攻击同样使用美国国家安全局(National Security Agency)的黑客工具Eternal Blue(永恒之蓝),并辅之以其他两种传播方法来加速病毒的传播。美国国家安全局尚未承认其工具被用于WannaCry或其他攻击,但计算机安全专家正在要求该机构帮助全世界其他机构和公司创造的可以遏制病毒传播的工具。
6月28日,针对这一情况,北京市委网信办、北京市公安局和北京市经济和信息化委员会联合发布防范和遏制新型病毒攻击指南。
1、微软已经发布了系统补丁 MS17-010 用以修复被攻击的系统漏洞,请大家尽快安装此安全补丁。
2、关闭 445、135、137、138、139 端口,关闭网络文件共享。
3、及时安装Windows、Office公布的安全漏洞补丁。
4、加强电子邮件安全管理,不要轻易点击不明附件,尤其是rtf、doc等格式的附件。
5、使用Windows Defender, System Center Endpoint Protection, and Forefront Endpoint Protection的用户请确保您本地终端防护升级不晚于下列版本号:Threat definition version:1.247.197.0 Version created on:12:04:25 PM:Tuesday, June 27 2017 Last Update: 12:04:25 PM : Tuesday, June 27 2017
6、使用第三方安全厂商产品请与厂家联系并核实升级。
——————附:勒索病毒发展态势——————
在5月上旬,中央网信办就增发布:勒索病毒还在传播 但速度已放缓
5月12日起,一款勒索软件在全球较大范围内传播,感染了包括医院、教育、能源、通信、制造业等以及政府部门在内的多个领域,我国一些行业和政府部门的计算机也受到了感染,造成了一定影响。截至到5月13日20点,国内有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招。该勒索软件还在传播,目前无法破解,但传播速度已经明显放缓。
5月15日,记者就“蠕虫”式勒索软件攻击事件采访了中央网信办网络安全协调局负责人。他表示,几天来应对该勒索软件的实践表明,对广大用户而言最有效的应对措施是要安装安全防护软件,及时升级安全补丁,即使是与互联网不直接相连的内网计算机也应考虑安装和升级安全补丁。作为单位的系统管理技术人员,还可以采取关闭该勒索软件使用的端口和网络服务等措施。
此次勒索软件较大范围传播是近年来少有的,再一次给人们敲响了警钟。互联网等信息技术的快速发展,在给人们带来巨大福祉的同时,也带来了前所未有的网络安全挑战。该负责人建议,各方面都要高度重视网络安全问题,及时安装安全防护软件,及时升级操作系统和各种应用的安全补丁,设置高安全强度口令并定期更换,不要下载安装来路不明的应用软件,对特别重要的数据采取备份措施等。
全球Windows勒索软件感染图:中国、欧洲最严重
一次迄今为止最大规模的勒索病毒网络攻击席卷全球,这种勒索病毒名为WannaCry(及其变种),全球各地的大量组织机构遭受了它的攻击。受害者电脑会被黑客锁定,提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。电脑提示用户在规定期限内支付300美元赎金,便可恢复电脑资料;每耽搁数小时,赎金额度就会上涨一些。
病毒已经造成150多个国家的至少20万人受害,其中不乏大型企业用户。受感染地区主要集中在中国中部和东南沿海地区,欧洲大陆、美国五大湖地区。从图上可以看出,中国地区、欧洲大陆地区受到的感染情况应该是最为严重,同时,全球只要是有互联网基础的地区,几乎都不同程度遭到攻击。
勒索病毒出现变种 微软:已提供紧急更新
北京时间5月13日,一名“意外的英雄”已发现,花了几美元去注册隐藏在WannaCry中的一个域名。对于已被勒索病毒感染的计算机,这一删除开关无法起到帮助。@malwaretechblog注册该域名的时间已经太晚,无法给欧洲和亚洲带来太大帮助。在这些地区,许多机构都受到了影响。不过,这给美国用户争取到了时间,使他们可以紧急给系统打补丁,避免感染病毒。接着网上出现了病毒变种: WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的 Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。5 月 15 日凌晨,微软再次针对比特币勒索病毒发起第二波补丁措施,微软在其微博公告中表明:为了更好的保护所有的 Windows 用户,我们已经采取了非常的方式,特别为使用更早期软件用户,包括 Windows XP、Windows 8 和 Windows Server 2003 提供了紧急安全补丁更新。
勒索病毒攻击者已获4.2万余美元赎金 使用美国国安局的黑客工具
据俄罗斯卫星网5月15日援引英国《泰晤士报》报道,波及全球数十国的勒索病毒网络攻击实施者现已收到4.2万余美元赎金,但这些汇款仍在银行账户未被取走。据外媒报道,该病毒的始作俑者为美国联邦调查局(FBI)最高网络罪犯赏金通缉犯俄罗斯籍黑客波格契夫,目前仍未归案。木马最开始支付比特币的时候没有使用匿名网络导致服务器暴露,病毒作者身份随之被查出。自波格契夫身份暴露后,“比特币敲诈者”家族木马的设计愈发狡猾,比特币支付环节改在TOR(洋葱网)上进行,这使得警方对波格契夫的抓捕更为困难。
业界人士普遍认为,这次大规模网络攻击采用的,是美国国家安全局开发的黑客工具。这些黑客工具源自美国国安局的网络武器库,在上个月刚刚遭到泄漏。不少网络专家和电脑安全公司批评,美国政府将大部分的网络项目开支用于研发黑客攻击武器,而非自卫机制,一旦网络武器库遭到泄密,势必殃及全球。
