最新情况:
一场规模空前的网络病毒攻击事件在刚过去的这个周末突然出现,全球150多个国家沦陷。英国的几十家医院被迫暂停急救等服务,俄罗斯内政部千台电脑遭攻击,德国铁路系统、美国联邦快递公司等纷纷“中毒”,中国也有近3万家机构的计算机遭受影响。
今日国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。
此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。
MS17-010漏洞指的是,攻击者利用该漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但是在中国高校内,同学之间为了打局域网游戏,有时需要关闭防火墙,这也是此次事件在中国高校内大肆传播的原因。
展开全文
学校:此次病毒的重灾区是校园网,目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学以及广西等地区的大学。其中毕业生电脑出现情况居多,学生电脑上的资料文档会被锁,需要付费才能解锁。很多学生在连上校园网后,电脑中的磁盘文件会被加密为.onion后缀,并出现中文的勒索页面。而恢复的方法就是:支付等价于300美元的比特币。
中国石油:全国多地,包括北京、上海、重庆、四川成都、四川南充等多个城市的部分中国石油旗下加油站在今日0点左右突然出现断网,目前无法使用支付宝、微信、银联卡等联网支付方式,只能使用现金支付。
其他:苏州车管所、天津车管所,响水出入境等政府机构也被攻击。
1.勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。
2.其中u.wnry*就是后续弹出的勒索窗口。
3.窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。
4.通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PA Q.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。
5.以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过6.Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY
6.此时如果点击勒索界面的decrypt,会弹出解密的框。
7.但必须付钱后,才可以解密
8.目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。
一、利用Windows系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。下面以Windows 7通过图例简单介绍一下,如何关闭445端口。
1.开始菜单-控制面板-系统与安全-点击左侧“打开或关闭Windows防火墙”
2.选择启动防火墙,并点击确定
3.点击“高级设置”
4.先点击左侧“入站规则”,再点击右侧“新建规则”
5.勾中“端口”,点击下一步
6.选择左侧“协议与端口”,在点击“特定本地端口”,填写445,下一步
7.点击“阻止链接”,下一步
8.配置文件,全选,下一步
9.随意规则命名,点击完成即可。
二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁
网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;
三、下载360“NSA武器库免疫工具”进行修复
地址:https://dl.360safe.com/nsa/nsatool.exe
四、XP系统的处理流程:
1、依次打开控制面板,安全中心,Windows防火墙,选择启用
2、点击开始,运行,输入cmd,确定执行下面三条命令
3、对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
这次事件对人们认识网络空间的安全风险起了刷新作用。人类社会在迅速互联网化,但是国家对有破坏能力的非国家行为体远不具有现实生活中那样的绝对控制力。在我们越来越每时每刻都离不开互联网的时候,当我们享受带个手机就“一切都有了”的超级方便时,原来互联网上的法制有着如此巨大漏洞:有人可以在这里敲诈勒索整个世界,而各国政府既不知道敲诈者是谁,也至少在一段时间里无法告诉人们该怎么办。
大家在接受互联网新事物的同时,也要提升自身网络安全防范意识;
敲诈者木马正处于传播期,被病毒感染上锁的电脑还无法解锁。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘,备份完后脱机保存该磁盘。同时,对于不明链接、文件和邮件要提高警惕,加强防范。
挖矿搬砖不如IT码农,轻松转行还看蜗牛学院。
蜗牛学院 专注于IT职业教育,轻松转行,简学易懂;免费试学,亲身体验;商业项目亲自操刀,与名企零距离接触;应届生就业薪资6000起,年薪10万不是事,涨幅绝比房价高。
挖矿搬砖不如IT码农,轻松转行还看蜗牛学院。
蜗牛学院 专注于IT职业教育,轻松转行,简学易懂;免费试学,亲身体验;商业项目亲自操刀,与名企零距离接触;应届生就业薪资6000起,年薪10万不是事,涨幅绝比房价高。