「我還會回來的!" 這波勒索剛過,後續很可能洶湧而來...

勒索軟體遍地開花,5.12「永恆之藍」突然降臨,迅速波及全網,世界陷入一片大亂,企業和個人都紛紛「中槍」。WannaCry在過去兩天內已經在全球99個國家和地區超過百萬台電腦受到攻擊,俄羅斯、英國、中國、烏克蘭等國紛紛「中招」,國內的政府終端、醫院、機場、火車站以及高校,公安都被殃及。

據外媒報道稱,這次攻擊始作俑者是美國一位高中生,在緬因州波特蘭高中,這貨觸犯了黑客聯盟的宗旨:「不對學生下手,也不針對任何盈利組織」引出了全球170多萬黑客在線找,首當其衝的是俄羅斯黑客。現在從FBI,到國家安全局,到全球黑客都在通緝他。

如果你正在密切關注「WannaCry」的相關新聞,不難知道,已經有一名安全研究人員啟動了「kill-switch「,用以阻止WannaCry勒索軟體的進一步傳播。然而,這一切卻並沒有因此結束,在WannaCry 2.0版本中並沒有「kill-switch」功能。值得注意的是,所謂的2.0可能沒有先後之分,很可能是幾乎同時出現的變種。

明天會是很多事業單位事件發生後的第一個工作日,這次攻擊的可能存在延遲爆炸的可能,危害程度也許比預期還要大。

「WannaCry」(也被稱為「Wannadecrypt0r」、「wannacryptor」或「 wcry」),是一個瘋狂傳播且速度極快的惡意勒索軟體,它會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入執行勒索程序、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

軟體利用美國國家安全局黑客武器庫泄露的「永恆之藍」發起病毒攻擊。事實上,微軟已經在三月份發布相關漏洞(MS17-010)修復補丁,但很多用戶都沒有及時修復更新,因而遭到此次攻擊。

Win7以下的WindowsXP/2003目前沒有補丁,只要開啟SMB服務就受影響。一旦電腦感染了Wannacry病毒,受害者要高達300美元比特幣的勒索金才可解鎖。否則,電腦就無法使用,且文件會被一直封鎖。

勒索軟體將受感染電腦里的文件使用AES-128演算法加密,感染後的文件擴展名會變為.UIWIX,.WNCRY擴展名,需要解密秘鑰才可以還原文件。在文件被加密的同時,會彈出一個名為WannaDecryptor 2.0的彈出窗口。說明了你已經遭到攻擊以及如何恢復文件

一切並未結束,WannaCry2.0正在狩獵!

「WannaCry」病毒爆發之後,很快就有安全研究人員通過註冊隱藏在惡意軟體中的域名終止了WannaCry的全球傳播,但它並不能修復已經感染的計算機。

如果你認為激活了「kill-switch」就能完全終止感染,那麼你就大錯特錯了,一旦被攻擊者發現,他們又會重新殺回來。

卡巴斯基實驗室全球研究與分析團隊總監Costin Raiu已經確認了沒有「kill-switch」的WannaCry 2.0變體已經到來。

「我可以證實,就在昨天,我們已經發現了沒有「kill-switch」域連接的版本」Raiu說。

所以,預計新一波勒索軟體的攻擊還會出現,是更新升級的WannaCry變體,除非所有容易受被攻擊的系統都被修補一遍,否則將很難被叫停。

「下一次的攻擊是不可避免的,你可以使用十六進位編輯器對現有的樣本進行補丁,將繼續傳播,我們在接下來的幾周乃至幾個月內將會看到這種惡意攻擊的一些變種,因此對主機進行補丁就至關重要藍。」Hacker House的安全專家和聯合創始人Matthew Hickey在「黑客新聞」上如是說。

"WannaCry"勒索軟體的網路攻擊與普通的惡意軟體恰恰相反的是,他並不是依賴群發電子郵件,而是通過掃描互聯網上的每個IP地址,利用SMB漏洞遠程劫持易受攻擊的計算機。

即使「WannaCry「已經成為了互聯網以及各大媒體的頭條,備受大家的關注,但現今仍然還有高達數十萬台未打補丁的電腦能夠輕鬆的在網上被瀏覽獲得。

「這個蠕蟲可以修改傳播其他的有效載荷。不單是wcry,我們在其他惡意軟體上也可能看到這樣的例子出現。」Hickey說。

「既然WannaCry是一個單一的可執行文件,所以它也可以通過其他常規的利用向量傳播,比如spive網路釣魚,驅動下載攻擊和惡意的洪流文件下載。「Hickey也警告說。

早在今年3月,微軟就提供了此漏洞的修復補丁,只是由於全球有太多電腦沒有更新此漏洞,再加上盜版軟體不更新,才會讓黑客有機可乘。幾乎所有的防毒軟體供應商都已經添加了簽名來防範這種最新的威脅。確保您使用的是良好的防病毒軟體,並始終保持最新的版本。

勒索軟體不會停歇,下一波威脅或許就在明天,那麼我們應該如何預防勒索的發生?

而面對這場波及全球的網路病毒攻擊,我們應該如何應對?啟明星辰副總裁、知名網路專家槍叔(shotgun)說了他對此事件的分析以及應對建議:

一、近些年安全漏洞的利用已經從原先以興趣研究和國家利用為主,越來越多地轉向大規模的黑色產業鏈,因此對企業用戶和普通民眾來說,會從熱鬧的新聞變成真正的切膚之痛,而且這種趨勢也會越來越大,原因很簡單:信息資產越來越有價值,從以前只是拿來上上網、看看劇,到現在電腦和手機已經承載了越來越多對每個人都很重要的資產,這就是黑產會盯上的根本原因;

二、這次的事情可能始作俑者也沒想到鬧這麼大,按照我們目前了解的情況,受害者不僅有普通人、學校、企業、醫院,甚至一些政府的重要部門也被波及,所以可以想見的是,反彈也會很激烈,跨國、跨公司的合作都在進行中,最後結果會如何還不清楚,但勒索者現在的壓力肯定也很大,甚至這件事情會不會對比特幣這種匿名的電子貨幣造成不可逆轉的影響,現在都不好說;

三、因此如果中招了,也暫時不要絕望,前面說了,這次事件引起的業內關注也是空前的,不僅微軟破例為已經停止服務的XP和2003發布了補丁(剛才跟微軟的同學討論,這個成本可能還是不低的),而且國家、政府、各個信息安全公司和從業人員也都盯著這件事,這種情況下,受害者不一定是絕望的,歷史上出現過幾次最終勒索者伺服器被攻破,部分用戶的加密數據最終被解密的先例,那麼這次也有這個可能(或者說我們可以這麼希望);

四、所以除了之前很多專家說的方案之外,在清空硬碟重裝系統之前,把被加密勒索的數據備份下來,等待進一步的結果也是一個必要的措施,這樣一旦勒索者被抓捕或者相關伺服器/加密演算法被破解,就有可能恢複數據;

五、大家都在考慮怎麼防禦這種勒索,升級、打補丁、安裝防護軟體等等,但是在我看來,做好備份才是最核心的,畢竟沒有千日防賊的道理,而且今天是勒索,也許明天是硬體損壞或者丟失,只有良好的備份習慣才是真正解決這種問題的辦法;

六、長期來看,沒有誰是安全的,無論是Windows10還是Mac OS、甚至iOS和Android,在威脅面前只有先後之分,沒有絕對的安全和不安全,再強調一遍,做好備份。

NSA工具以及其他漏洞目前還尚未得到重視,更讓人擔憂的是,NSA漏洞庫可能只是冰山一角,老0day恐怕還在很多倉庫里被鎖著,一旦失控解鎖,世界必然掀起驚濤駭浪,一場暴風雨不可避免。

5.12的「WannaCry」也許只是新的暗黑鬥爭的序曲,勒索軟體終將成為網路世界又一興起的大瘟疫,後續會無孔不入、源源不斷的侵蝕互聯網。

未來,我們應當如何面對?


推薦閱讀:

勒索病毒軍隊有未中招?
肆虐各國的WannaCry,如果重新來過,會有不同嗎?
貌似有很多教育網內電腦報告說中了Wana decrypt0r勒索病毒,剛剛發生,是否有解決方法了?
全球100國淪陷,勒索病毒席捲全球:巨大的利益驅動是罪魁禍首!

TAG:勒索病毒 | WanaDecrypt0r20计算机病毒 | 网络安全 |