勒索病毒新一輪全球傳播 防范與遏制指南

　　Hi商學(xué)院6月29日消息，與勒索病毒WannaCry類似的新一輪網(wǎng)絡(luò)攻擊正在歐洲蔓延。微軟公司、網(wǎng)絡(luò)安全分析師和烏克蘭警方表示，新一輪影響全球的病毒襲擊事件的源頭，來(lái)自一家烏克蘭的會(huì)計(jì)軟件生產(chǎn)商M.E.Doc。周二爆發(fā)的新一輪網(wǎng)絡(luò)襲擊首先從烏克蘭政府部門的網(wǎng)絡(luò)系統(tǒng)開始，隨后俄羅斯石油公司、英國(guó)廣告商WPP和切爾諾貝利核電站等機(jī)構(gòu)均報(bào)告稱遭到襲擊。受其影響最深的丹麥航運(yùn)巨頭馬士基集團(tuán)在進(jìn)行了全面評(píng)估后，不得不選擇關(guān)閉了整個(gè)網(wǎng)絡(luò)系統(tǒng)。

　　黑客要求受害者支付價(jià)值300美元的比特幣，但為了知道誰(shuí)付款了，黑客還指示受害者通過(guò)郵件發(fā)送比特幣錢包ID和“個(gè)人安裝密匙”。解鎖密匙由勒索病毒隨機(jī)產(chǎn)生，并由數(shù)字和字母組成。因此要解鎖文件需要黑客提供特定的密匙。但現(xiàn)在這個(gè)過(guò)程不可能完成。黑客使用的德國(guó)這家電郵公司Posteo稱，決定封殺黑客的賬號(hào)。這讓受害者無(wú)法解鎖文件。

　　根據(jù)計(jì)算機(jī)安全公司賽門鐵克的研究人員稱，與五月份的WannaCry攻擊一樣，新的這一輪攻擊同樣使用美國(guó)國(guó)家安全局(National Security Agency)的黑客工具Eternal Blue(永恒之藍(lán))，并輔之以其他兩種傳播方法來(lái)加速病毒的傳播。美國(guó)國(guó)家安全局尚未承認(rèn)其工具被用于WannaCry或其他攻擊，但計(jì)算機(jī)安全專家正在要求該機(jī)構(gòu)幫助全世界其他機(jī)構(gòu)和公司創(chuàng)造的可以遏制病毒傳播的工具。

　　6月28日，針對(duì)這一情況，北京市委網(wǎng)信辦、北京市公安局和北京市經(jīng)濟(jì)和信息化委員會(huì)聯(lián)合發(fā)布防范和遏制新型病毒攻擊指南。

　　1、微軟已經(jīng)發(fā)布了系統(tǒng)補(bǔ)丁 MS17-010 用以修復(fù)被攻擊的系統(tǒng)漏洞，請(qǐng)大家盡快安裝此安全補(bǔ)丁。

　　2、關(guān)閉 445、135、137、138、139 端口，關(guān)閉網(wǎng)絡(luò)文件共享。

　　3、及時(shí)安裝Windows、Office公布的安全漏洞補(bǔ)丁。

　　4、加強(qiáng)電子郵件安全管理，不要輕易點(diǎn)擊不明附件，尤其是rtf、doc等格式的附件。

　　5、使用Windows Defender, System Center Endpoint Protection, and Forefront Endpoint Protection的用戶請(qǐng)確保您本地終端防護(hù)升級(jí)不晚于下列版本號(hào)：Threat definition version:1.247.197.0 Version created on:12:04:25 PM:Tuesday, June 27 2017 Last Update: 12:04:25 PM : Tuesday, June 27 2017

　　6、使用第三方安全廠商產(chǎn)品請(qǐng)與廠家聯(lián)系并核實(shí)升級(jí)。

　　——————附：勒索病毒發(fā)展態(tài)勢(shì)——————

　　在5月上旬，中央網(wǎng)信辦就增發(fā)布：勒索病毒還在傳播 但速度已放緩

　　5月12日起，一款勒索軟件在全球較大范圍內(nèi)傳播，感染了包括醫(yī)院、教育、能源、通信、制造業(yè)等以及政府部門在內(nèi)的多個(gè)領(lǐng)域，我國(guó)一些行業(yè)和政府部門的計(jì)算機(jī)也受到了感染，造成了一定影響。截至到5月13日20點(diǎn)，國(guó)內(nèi)有29372家機(jī)構(gòu)組織的數(shù)十萬(wàn)臺(tái)機(jī)器感染，其中有教育科研機(jī)構(gòu)4341家中招。該勒索軟件還在傳播，目前無(wú)法破解，但傳播速度已經(jīng)明顯放緩。

　　5月15日，記者就“蠕蟲”式勒索軟件攻擊事件采訪了中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局負(fù)責(zé)人。他表示，幾天來(lái)應(yīng)對(duì)該勒索軟件的實(shí)踐表明，對(duì)廣大用戶而言最有效的應(yīng)對(duì)措施是要安裝安全防護(hù)軟件，及時(shí)升級(jí)安全補(bǔ)丁，即使是與互聯(lián)網(wǎng)不直接相連的內(nèi)網(wǎng)計(jì)算機(jī)也應(yīng)考慮安裝和升級(jí)安全補(bǔ)丁。作為單位的系統(tǒng)管理技術(shù)人員，還可以采取關(guān)閉該勒索軟件使用的端口和網(wǎng)絡(luò)服務(wù)等措施。

　　此次勒索軟件較大范圍傳播是近年來(lái)少有的，再一次給人們敲響了警鐘?；ヂ?lián)網(wǎng)等信息技術(shù)的快速發(fā)展，在給人們帶來(lái)巨大福祉的同時(shí)，也帶來(lái)了前所未有的網(wǎng)絡(luò)安全挑戰(zhàn)。該負(fù)責(zé)人建議，各方面都要高度重視網(wǎng)絡(luò)安全問(wèn)題，及時(shí)安裝安全防護(hù)軟件，及時(shí)升級(jí)操作系統(tǒng)和各種應(yīng)用的安全補(bǔ)丁，設(shè)置高安全強(qiáng)度口令并定期更換，不要下載安裝來(lái)路不明的應(yīng)用軟件，對(duì)特別重要的數(shù)據(jù)采取備份措施等。

　　全球Windows勒索軟件感染圖：中國(guó)、歐洲最嚴(yán)重

　　一次迄今為止最大規(guī)模的勒索病毒網(wǎng)絡(luò)攻擊席卷全球，這種勒索病毒名為WannaCry(及其變種)，全球各地的大量組織機(jī)構(gòu)遭受了它的攻擊。受害者電腦會(huì)被黑客鎖定，提示支付價(jià)值相當(dāng)于300美元(約合人民幣2069元)的比特幣才可解鎖。電腦提示用戶在規(guī)定期限內(nèi)支付300美元贖金，便可恢復(fù)電腦資料;每耽擱數(shù)小時(shí)，贖金額度就會(huì)上漲一些。

　　病毒已經(jīng)造成150多個(gè)國(guó)家的至少20萬(wàn)人受害，其中不乏大型企業(yè)用戶。受感染地區(qū)主要集中在中國(guó)中部和東南沿海地區(qū)，歐洲大陸、美國(guó)五大湖地區(qū)。從圖上可以看出，中國(guó)地區(qū)、歐洲大陸地區(qū)受到的感染情況應(yīng)該是最為嚴(yán)重，同時(shí)，全球只要是有互聯(lián)網(wǎng)基礎(chǔ)的地區(qū)，幾乎都不同程度遭到攻擊。

　　勒索病毒出現(xiàn)變種 微軟：已提供緊急更新

　　北京時(shí)間5月13日，一名“意外的英雄”已發(fā)現(xiàn)，花了幾美元去注冊(cè)隱藏在WannaCry中的一個(gè)域名。對(duì)于已被勒索病毒感染的計(jì)算機(jī)，這一刪除開關(guān)無(wú)法起到幫助。@malwaretechblog注冊(cè)該域名的時(shí)間已經(jīng)太晚，無(wú)法給歐洲和亞洲帶來(lái)太大幫助。在這些地區(qū)，許多機(jī)構(gòu)都受到了影響。不過(guò)，這給美國(guó)用戶爭(zhēng)取到了時(shí)間，使他們可以緊急給系統(tǒng)打補(bǔ)丁，避免感染病毒。接著網(wǎng)上出現(xiàn)了病毒變種： WannaCry 2.0，與之前版本的不同是，這個(gè)變種取消了所謂的 Kill Switch，不能通過(guò)注冊(cè)某個(gè)域名來(lái)關(guān)閉變種勒索蠕蟲的傳播。5 月 15 日凌晨，微軟再次針對(duì)比特幣勒索病毒發(fā)起第二波補(bǔ)丁措施，微軟在其微博公告中表明：為了更好的保護(hù)所有的 Windows 用戶，我們已經(jīng)采取了非常的方式，特別為使用更早期軟件用戶，包括 Windows XP、Windows 8 和 Windows Server 2003 提供了緊急安全補(bǔ)丁更新。

　　勒索病毒攻擊者已獲4.2萬(wàn)余美元贖金 使用美國(guó)國(guó)安局的黑客工具

　　據(jù)俄羅斯衛(wèi)星網(wǎng)5月15日援引英國(guó)《泰晤士報(bào)》報(bào)道，波及全球數(shù)十國(guó)的勒索病毒網(wǎng)絡(luò)攻擊實(shí)施者現(xiàn)已收到4.2萬(wàn)余美元贖金，但這些匯款仍在銀行賬戶未被取走。據(jù)外媒報(bào)道，該病毒的始作俑者為美國(guó)聯(lián)邦調(diào)查局(FBI)最高網(wǎng)絡(luò)罪犯賞金通緝犯俄羅斯籍黑客波格契夫，目前仍未歸案。木馬最開始支付比特幣的時(shí)候沒(méi)有使用匿名網(wǎng)絡(luò)導(dǎo)致服務(wù)器暴露，病毒作者身份隨之被查出。自波格契夫身份暴露后，“比特幣敲詐者”家族木馬的設(shè)計(jì)愈發(fā)狡猾，比特幣支付環(huán)節(jié)改在TOR(洋蔥網(wǎng))上進(jìn)行，這使得警方對(duì)波格契夫的抓捕更為困難。

　　業(yè)界人士普遍認(rèn)為，這次大規(guī)模網(wǎng)絡(luò)攻擊采用的，是美國(guó)國(guó)家安全局開發(fā)的黑客工具。這些黑客工具源自美國(guó)國(guó)安局的網(wǎng)絡(luò)武器庫(kù)，在上個(gè)月剛剛遭到泄漏。不少網(wǎng)絡(luò)專家和電腦安全公司批評(píng)，美國(guó)政府將大部分的網(wǎng)絡(luò)項(xiàng)目開支用于研發(fā)黑客攻擊武器，而非自衛(wèi)機(jī)制，一旦網(wǎng)絡(luò)武器庫(kù)遭到泄密，勢(shì)必殃及全球。

　　相關(guān)文章：預(yù)防勒索病毒的方法，電腦中勒索病毒怎么辦?