騰訊科技訊 5月15日��,Wanna系列敲詐者木馬在全球范圍的爆發(fā)�����,持續(xù)引發(fā)著關(guān)注��。針對(duì)外界對(duì)于Wanna系列敲詐者木馬的最關(guān)心的疑問(wèn)�,騰訊電腦管家安全團(tuán)隊(duì)今日做出系統(tǒng)回答�����。
對(duì)于此次病毒爆發(fā)事件��,騰訊電腦管家安全團(tuán)隊(duì)表示��,目前最直接的贏家是病毒作者�,也就是通過(guò)勒索獲取到比特幣資產(chǎn)的不法分子,有報(bào)道說(shuō)黑客已在這次的病毒攻擊中獲利3.6萬(wàn)美元�����。但實(shí)際上這場(chǎng)席卷全球的勒索病毒風(fēng)波是一次網(wǎng)絡(luò)災(zāi)難��,對(duì)所有人都是一次巨大的打擊���,沒有贏家��。
以下為問(wèn)答全文:
問(wèn):這次的敲詐者木馬主要影響了哪些地區(qū)��、單位或用戶��?
答:敲詐者木馬是全球很多地方爆發(fā)的一種軟件勒索病毒���,只有繳納高額贖金(比特幣)才能解密資料和數(shù)據(jù)����,英國(guó)多家醫(yī)院中招��,病人的資料受到外泄威脅��,同時(shí)俄羅斯�,意大利��,整個(gè)歐洲都受到不同程度的威脅���。5月12日晚上20時(shí)左右��,中國(guó)的校園網(wǎng)���、機(jī)場(chǎng)���、銀行、加油站�����、醫(yī)院��、警察�、出入境等事業(yè)單位開始大規(guī)模爆發(fā),眾多學(xué)生���、機(jī)構(gòu)電腦被感染�。
問(wèn):有人說(shuō)這個(gè)病毒是來(lái)自于美國(guó)安全部門��,是黑客從美國(guó)安全部門的網(wǎng)絡(luò)攻擊武器庫(kù)里偷出來(lái)的���,這是真的嗎��?
答:根據(jù)從“影子經(jīng)紀(jì)人”公布的相關(guān)文件進(jìn)行代碼逆向分析與代碼同源性分析�,發(fā)現(xiàn)NSA經(jīng)常使用這些武器從事網(wǎng)絡(luò)間諜活動(dòng)�����,此次病毒發(fā)行者也是利用了去年被盜的NSA自主設(shè)計(jì)的Windows系統(tǒng)黑客工具Eternal Blue“永恒之藍(lán)”。
問(wèn):這個(gè)影響較大的敲詐者木馬主要表現(xiàn)形式是什么����?
答:此次的敲詐者木馬是一個(gè)名稱為“WannaCry”的新家族,該木馬通過(guò)加密形式�����,鎖定用戶電腦里的txt��、doc�����、ppt�、xls等后綴名類型的文檔,導(dǎo)致用戶無(wú)法正常使用程序��,從而進(jìn)行勒索��,要求用戶提交贖金之后才解鎖��。
問(wèn):Wanna系列敲詐者木馬和以往的敲詐者木馬有哪些不同�?為什么此次的傳播速度這么快?
答:敲詐者木馬本身沒什么不一樣���,但是Wana系列敲詐者木馬的傳播渠道是利用了445端口傳播擴(kuò)散的SMB漏洞MS17-101���,微軟在17年3月發(fā)布了該漏洞的補(bǔ)丁。2017年4月��,黑客組織Shadow Brokers公布的Equation Group(方程式組織)使用的“網(wǎng)絡(luò)軍火庫(kù)”中包含了該漏洞的利用程序����,而該勒索軟件的攻擊者或者攻擊組織就是在借鑒了“網(wǎng)絡(luò)軍火庫(kù)”后進(jìn)行了這次全球大規(guī)模的攻擊,主要影響校園網(wǎng)�����,醫(yī)院����、事業(yè)單位等內(nèi)網(wǎng)用戶。
問(wèn):為何這個(gè)病毒蔓延的如此之快�����,從技術(shù)上來(lái)說(shuō),有什么新的特征值得關(guān)注�����?
答:此次攻擊利用的是Windows系統(tǒng)的445端口����,而445端口常用于局域網(wǎng)之間共享文件或者打印機(jī),感染病毒主機(jī)通過(guò)掃描局域網(wǎng)內(nèi)主機(jī)進(jìn)行相關(guān)攻擊�,由于未更新安全補(bǔ)丁同時(shí)開啟445端口主機(jī)過(guò)多,病毒同時(shí)在失陷主機(jī)植入木馬程序����,再次攻擊感染新的有漏洞主機(jī),導(dǎo)致在局域網(wǎng)內(nèi)傳播感染速度非常之快�����。
問(wèn):WannaCry 勒索病毒之前就出現(xiàn)過(guò)����,但為何會(huì)在這個(gè)時(shí)間點(diǎn)出現(xiàn)大面積的爆發(fā),有什么內(nèi)幕嗎�?
答:去年8月份,名為“影子經(jīng)紀(jì)人”(The Shadow Brokers) 的神秘黑客組織通過(guò)社交平臺(tái)宣稱���,他們攻擊了一個(gè)有美國(guó)國(guó)家安全局(NSA)背景的黑客組織“方程式組織”�����,將NSA 用于大規(guī)模監(jiān)控和情報(bào)活動(dòng)的網(wǎng)絡(luò)武器和文件公布在Github�、Tumblr和PastBin 等互聯(lián)網(wǎng)平臺(tái)上�,文件內(nèi)容涉及大量的網(wǎng)絡(luò)武器和文件,包括命令和控制中心(C&C)服務(wù)器的安裝腳本�����、配置文件�����,以及針對(duì)一些知名網(wǎng)絡(luò)設(shè)備制造商的路由器和防火墻等產(chǎn)品的網(wǎng)絡(luò)武器�����。本次感染急劇爆發(fā)的主要原因在于其傳播過(guò)程中使用了其工具包中的“永恒之藍(lán)”漏洞���,微軟公司今年3月份已經(jīng)發(fā)布補(bǔ)丁�,漏洞編號(hào)MS17-010����, 由于該次攻擊使用常用的445端口進(jìn)行攻擊����,如果相關(guān)企事業(yè)單位未對(duì)使用Windows系統(tǒng)主機(jī)更新相關(guān)補(bǔ)丁程序���,就會(huì)導(dǎo)致病毒大范圍在局域網(wǎng)內(nèi)傳播�,出現(xiàn)典型的短時(shí)間內(nèi)爆發(fā)式攻擊���。
問(wèn):為什么校園網(wǎng)用戶容易中招�?
答:由各大高校通常接入的網(wǎng)絡(luò)是為教育��、科研和國(guó)際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)�����,此骨干網(wǎng)出于學(xué)術(shù)目的��,大多沒有對(duì)445端口做防范處理��,這是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一�。
此外,如果用戶電腦開啟防火墻��,也會(huì)阻止電腦接收445端口的數(shù)據(jù)。但中國(guó)高校內(nèi)��,一些同學(xué)為了打局域網(wǎng)游戲����,有時(shí)需要關(guān)閉防火墻�,也是此次事件在中國(guó)高校內(nèi)大肆傳播的另一原因。
問(wèn):Wanna系列敲詐者木馬有哪些危害����?被攻擊以后怎么解鎖?
答:Wanna系列敲詐者木馬的危害主要表現(xiàn)為電腦的所有文檔被加密���,用戶需要支付高額贖金才能解密�����。目前����,被敲詐者木馬上鎖的電腦均無(wú)法解鎖����,但可以嘗試使用電腦管家-文件恢復(fù)工具進(jìn)行文件恢復(fù)�,有一定概率恢復(fù)文檔���。
問(wèn):目前有哪些應(yīng)對(duì)Wanna系列敲詐者木馬的辦法��?
答:有效預(yù)防此次Wanna勒索病毒可通過(guò)以下行為進(jìn)行規(guī)避���。
一是,臨時(shí)關(guān)閉端口�。Windows用戶可以使用防火墻過(guò)濾個(gè)人電腦,并且臨時(shí)關(guān)閉135����、137、445端口3389遠(yuǎn)程登錄(如果不想關(guān)閉3389遠(yuǎn)程登錄����,至少也是關(guān)閉智能卡登錄功能),并注意更新安全產(chǎn)品進(jìn)行防御��,盡量降低電腦受攻擊的風(fēng)險(xiǎn)����。
二是,及時(shí)更新 Windows已發(fā)布的安全補(bǔ)丁��。在3月MS17-010漏洞剛被爆出的時(shí)候,微軟已經(jīng)針對(duì)Win7���、Win10等系統(tǒng)在內(nèi)提供了安全更新����;此次事件爆發(fā)后����,微軟也迅速對(duì)此前尚未提供官方支持的Windows XP等系統(tǒng)發(fā)布了特別補(bǔ)丁����。
三是,利用“勒索病毒免疫工具”進(jìn)行修復(fù)����。用戶通過(guò)其他電腦下載騰訊電腦管家“勒索病毒免疫工具”離線版,并將文件拷貝至安全�、無(wú)毒的U盤;再將指定電腦在關(guān)閉WiFi���,拔掉網(wǎng)線�,斷網(wǎng)狀態(tài)下開機(jī)�,并盡快備份重要文件�����;然后通過(guò)U盤使用“勒索病毒免疫工具”離線版����,進(jìn)行一鍵修復(fù)漏洞���;聯(lián)網(wǎng)即可正常使用電腦���。
四是,利用“文件恢復(fù)工具”進(jìn)行恢復(fù)��。已經(jīng)中了病毒的用戶����,可以使用電腦管家-文件恢復(fù)工具進(jìn)行文件恢復(fù),有一定概率恢復(fù)您的文檔���。
另外����,企業(yè)網(wǎng)絡(luò)管理員可使用“管理員助手”檢測(cè)電腦設(shè)備安防情況�。騰訊反病毒實(shí)驗(yàn)室安全團(tuán)隊(duì)經(jīng)過(guò)技術(shù)攻關(guān)��,于14日晚推出了針對(duì)易感的企業(yè)客戶推出了一個(gè)電腦管家“管理員助手”診斷工具����。企業(yè)網(wǎng)絡(luò)管理員只要下載這一診斷工具�����,輸入目標(biāo)電腦的IP或者設(shè)備名稱���,即可診斷目標(biāo)電腦是否存在被感染勒索病毒的漏洞;并可在診斷報(bào)告的指導(dǎo)下����,對(duì)尚未打補(bǔ)丁的健康設(shè)備及時(shí)打補(bǔ)丁、布置防御����。
問(wèn):騰訊電腦管家應(yīng)對(duì)此類敲詐者木馬有什么辦法?
答:針對(duì)于此次Wanna勒索病毒��,騰訊電腦管家可提供漏洞防御�����,主動(dòng)攔截,文檔保護(hù)三層安全保護(hù)及文件鑒黑�����,同時(shí)緊急開發(fā)上線一系列工具協(xié)助用戶解決勒索病毒問(wèn)題:
1.使用電腦管家-勒索病毒免疫工具��,關(guān)閉漏洞端口并安裝系統(tǒng)補(bǔ)丁���。
2.開啟電腦管家實(shí)時(shí)防護(hù)����,啟用文檔守護(hù)者功能�����,預(yù)防變種攻擊����。
3.已經(jīng)中了病毒的用戶,可以使用電腦管家-文件恢復(fù)工具進(jìn)行文件恢復(fù)���,有一定概率恢復(fù)您的文檔�。
4.針對(duì)企業(yè)網(wǎng)絡(luò)管理員,可以使用“管理員助手”檢測(cè)電腦設(shè)備安全防御情況�,進(jìn)行漏洞診斷、補(bǔ)丁更新和布置防御��。
問(wèn):目前網(wǎng)上流傳該木馬病毒作者已經(jīng)放出密匙是否屬實(shí)����?
答:同時(shí)由于該木馬加密使用AES加密文件,并使用非對(duì)稱加密算法RSA 2048加密隨機(jī)密鑰����,每個(gè)文件使用一個(gè)隨機(jī)密鑰,理論上不可破解����。針對(duì)目前網(wǎng)上有傳該木馬病毒的作者放出密鑰,已證實(shí)為謠言�����。實(shí)則是在公網(wǎng)環(huán)境中�����,由于病毒的開關(guān)機(jī)制被設(shè)置為關(guān)閉模式暫時(shí)停止了傳播�,但不排除作者制作新變種的可能。提醒廣大用切勿輕信謠言��,以免造成更嚴(yán)重的損失��。
問(wèn):無(wú)現(xiàn)金支付越來(lái)越普及的現(xiàn)在�,這種病毒讓一些加油站、醫(yī)院都出現(xiàn)了支付癱瘓的情況����,也暴露了現(xiàn)在無(wú)現(xiàn)金支付的脆弱性,從技術(shù)上來(lái)講�,我們有哪些措施,才能保障支付終端的安全�,讓無(wú)現(xiàn)金支付真正高枕無(wú)憂。
答:支付終端應(yīng)該具有更高的安全性要求和保障�����,此次攻擊的是支撐支付終端的服務(wù)器系統(tǒng)�����,由于目前在很多企業(yè)Windows Server服務(wù)器安全依賴防火墻安全策略�,服務(wù)器系統(tǒng)日常運(yùn)維應(yīng)及時(shí)更新安全補(bǔ)丁、使用安全軟件加固服務(wù)器系統(tǒng)�,同時(shí)支付前端可以采用安全硬件設(shè)備保證終端安全�����,重要數(shù)據(jù)做好容災(zāi)和備份工作����,同時(shí)作為終端的使用和運(yùn)維人員����,也需要相應(yīng)地提高安全意識(shí)。
問(wèn):此次勒索病毒蔓延全球�,誰(shuí)是贏家?病毒作者����,比特幣,安全廠商�?
答:目前最直接的贏家是病毒作者,也就是通過(guò)勒索獲取到比特幣資產(chǎn)的不法分子�����,有報(bào)道說(shuō)黑客已在這次的病毒攻擊中獲利3.6萬(wàn)美元����。但實(shí)際上這場(chǎng)席卷全球的勒索病毒風(fēng)波是一次網(wǎng)絡(luò)災(zāi)難,對(duì)所有人都是一次巨大的打擊�����,沒有贏家���。
被推上風(fēng)口浪尖的比特幣經(jīng)過(guò)此次事件���,證交會(huì)批準(zhǔn)比特幣ETF基金上市的概率又降低了,比特幣正式進(jìn)入到主流金融市場(chǎng)���,進(jìn)一步坐實(shí)在美國(guó)的合法地位遙遙無(wú)期�。與此同時(shí)���,全面爆發(fā)的勒索病毒侵入用戶生活工作的方方面面��,讓大家意識(shí)到了網(wǎng)絡(luò)病毒的威脅與嚴(yán)重后果����。此役過(guò)后��,相同手法的病毒攻擊將不會(huì)大規(guī)模出現(xiàn)�。而安全廠商作為守護(hù)用戶網(wǎng)絡(luò)安全的最后一道屏障更加談不上受益之說(shuō)�,面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境永遠(yuǎn)是如履薄冰��,不敢放松警惕��。
目前���,針對(duì)這次勒索病毒事件�����,各大安全廠商都已經(jīng)推出相應(yīng)解決方案��,以騰訊電腦管家為例����,兩天之內(nèi)連續(xù)發(fā)布“勒索病毒免疫工具”“文件恢復(fù)工具”“文檔守護(hù)者”等工具���,用戶可按照相關(guān)工具的使用說(shuō)明保護(hù)電腦安全����,避免自己的電腦感染勒索病毒�����。
服務(wù)電話
長(zhǎng)治市捷星網(wǎng)絡(luò): 新聞資訊 
行業(yè)新聞
