5月13日消息,针对全球爆发的Wannacry(永恒之蓝)勒索蠕虫攻击,360安全监测与响应中心对此事件的风险评级为危急。威胁情报中心显示,截至5月13日19:00,国内有28388个机构被感染,其中江苏为受灾最严重地区。
病毒覆盖国内几乎所有地区
5月12日开始,WannaCrypt(永恒之蓝)勒索蠕虫突然爆发,影响遍及全球近百国家,包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者,我国的校园网和多家能源企业、政府机构也中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失,全球超10万台机器被感染。
网络配图
360威胁情报中心显示,截至到当天下午19:00,国内有28388个机构被“永恒之蓝”勒索蠕虫感染,覆盖了国内几乎所有地区。在受影响的地区中,江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。
建议大型机构集中管控统一管理
据360安全监测与响应中心的专家介绍,大型机构具有网络庞大、接入方式复杂、设备数量众多、敏感数据多、业务连续性要求高等特点,尤其是生产系统的可用性和可靠性要求极高,出现安全事件的负面影响很大。为切实避免“永恒之蓝”勒索蠕虫对业务系统和办公终端带来影响,建议通过集中管控的方式对防护策略进行统一下发和管理。
而对于普通用户,360首席安全工程师郑文彬向新浪科技表示,目前恢复文件除了交赎金外暂无其他办法,如果文件特别重要,可以尝试交赎金,以免过期被“撕票”,但此举无法得到保障。选择等待也有希望,待全球安全专家破解黑客的加密算法。
针对大型机构的攻击防范举措
1,首先应该确认影响范围,确保Win7及以上版本的系统安装MS17-010补丁。Win7以下的Windows XP/2003关闭SMB服务。
2,建议应从DMZ非军事化隔离区、生产区域、办公区域、互联网边界的网络和终端层面全面做好紧急抑制工作。
英国研究人员找到隐藏开关 阻止勒索软件进一步传播
北京时间5月13日下午消息,据英国《卫报》报道,一名“意外的英雄”已发现,如何阻止勒索病毒WannaCry在全球范围内的传播。他花了几美元去注册隐藏在WannaCry中的一个域名。
此次勒索病毒事件给联邦快递和西班牙电信等大公司,以及英国国家医疗服务体系(NHS)造成了严重影响。NHS多家医院的运营已暂停,X光机无法使用,检测报告和患者医疗记录无法获取,而电话也难以接通。
在信息安全公司Proofpoint的达里恩·哈斯(Darien Huss)的帮助下,Twitter上自称@malwaretechblog的英国信息安全研究员发现了隐藏在WannaCry中的一个“删除开关”。
这一开关被编码在WannaCry之中。如果恶意软件的制造者希望停止其传播,那么就可以激活开关。根据开关机制,恶意软件会向长域名发送请求,如果请求得到响应,表明该域名已经上线,那么删除开关就会生效,恶意软件就将停止传播。
这名研究员表示:“我发现这个域名没有注册,我的想法是,‘我可以去试试看。’”购买这个域名花了他10.69美元的费用。在上线后,该域名收到了每秒数千次的连接请求。
Proofpoint的瑞安·卡莱姆伯(Ryan Kalember)表示:“他们获得了今天意外的英雄奖励。他们没有意识到,这对延缓勒索病毒的传播起到了巨大的作用。”
他表示,@malwaretechblog注册该域名的时间已经太晚,无法给欧洲和亚洲带来太大帮助。在这些地区,许多机构都受到了影响。不过,这给美国用户争取到了时间,使他们可以紧急给系统打补丁,避免感染病毒。
对于已被勒索病毒感染的计算机,这一删除开关无法起到帮助。此外也很有可能,携带其他类型删除开关的恶意软件仍在继续传播。
黑客已收到23笔比特币支付 总数仅4.26个比特币
5月13日下午消息,5月12日晚,全球爆发了一次大规模的勒索软件事件,并且这一事件还在继续。
本周五,NHS机构的IT系统弹出消息,要求用户支付赎金。有截图显示,攻击者要求用户支付“价值300美元的比特币”,并将比特币转入特定的在线钱包地址。
按照攻击者留下的地址在区块链网络查询,发现截至发稿,黑客已收到23笔支付,但总数只有4.26个比特币。
根据Bitfinex网站的的数据显示,目前的比特币国际价格为1789.5美元,以此计算,这些比特币价值7623美元。
黑客为什么要收比特币?那要从比特币自身的匿名性说起,它的特点是加密并分布存储在网络上。一方面,黑客索要比特币能够很好地隐匿身份,不便于警方追踪;另一方面,比特币自诞生以来价格便水涨船高,本周甚至超过1800美元。
据跟踪分析这个蠕虫及传播的多位专家表示,这可能是同类中危害程度空前的攻击之一。一位以MalwareTech之名发推文、写博客的安全研究人员告诉The Intercept:“我从未见过危害程度这么大的勒索软件攻击”,“我记得上一个危害程度这么大的蠕虫就是Conficker。”Conficker是一种臭名昭著的Windows蠕虫,2008年首次被发现,它后来感染了近200个国家的900多万台计算机。The Intercept详细描述如下:
今天的WannaCry攻击似乎利用了代号为“永恒之蓝”(ETERNALBLUE)的NSA漏洞,这个软件武器让这家间谍机构的黑客得以侵入数百万台Windows计算机中的任何一台,原因就在于某些版本的Windows实施一种通常用来共享文件、打印的网络协议存在一个缺陷,而NSA的黑客正是钻了这个空子。尽管微软在3月份的软件更新版中修复了“永恒之蓝”安全漏洞,但是这方面提供的安全有赖于计算机用户给系统打上最近的更新版,确保版本最新。很显然,与往常一样,许多人(包括政府的人员)并没有安装更新版。之前,知道只有NSA的敌人才需要担心“永恒之蓝”被用来对付他们,这多少让人获得安慰。可是从这家间谍机构在去年夏天对自己的漏洞工具失去控制那一刻起,就没有这样的保障了,人人自危。
今天完全表明了政府黑客无法牢牢保管虚拟武器后到底会有什么样的后果。
正如上个月跟踪泄露的NSA工具的安全研究人员马修·希基(Matthew Hickey)所说:“我实际上感到惊讶的是,这种性质的武器化恶意软件居然没有早一点传播开来。”
微软发布了声明,证实了这个安全漏洞的状况
今天我们的工程师增添了检测和保护机制,专门对付名为Ransom:Win32.WannaCrypt的新恶意软件。
3月份,我们发布了一个安全更新版,提供了对付这个潜在攻击的额外保护。
运行我们的免费反病毒软件、启用了Windows更新功能的那些人受到保护。我们正与客户合作,提供额外的帮助。
安全公司卡巴斯基实验室在过去的10个小时已发现了45000多次攻击。据卡巴斯基实验室声称,全球99个国家已受到了影响,受害者的数量仍在上升。据安全公司Avast声称,它在全球范围检测到了75000多次攻击,补充道“正迅速大范围传播开来。”