5月15日,,Wanna系列敲詐者木馬在全球范圍的爆發(fā),,持續(xù)引發(fā)著關注,。針對外界對于Wanna系列敲詐者木馬的最關心的疑問,騰訊電腦管家安全團隊今日做出系統(tǒng)回答,。
對于此次病毒爆發(fā)事件,,騰訊電腦管家安全團隊表示,目前最直接的贏家是病毒作者,,也就是通過勒索獲取到比特幣資產(chǎn)的不法分子,,有報道說黑客已在這次的病毒攻擊中獲利3.6萬美元。但實際上這場席卷全球的勒索病毒風波是一次網(wǎng)絡災難,,對所有人都是一次巨大的打擊,,沒有贏家。
以下為問答全文:
問:這次的敲詐者木馬主要影響了哪些地區(qū),、單位或用戶,?
答:敲詐者木馬是全球很多地方爆發(fā)的一種軟件勒索病毒,只有繳納高額贖金(比特幣)才能解密資料和數(shù)據(jù),,英國多家醫(yī)院中招,,病人的資料受到外泄威脅,同時俄羅斯,,意大利,,整個歐洲都受到不同程度的威脅。5月12日晚上20時左右,,中國的校園網(wǎng),、機場、銀行,、加油站,、醫(yī)院、警察,、出入境等事業(yè)單位開始大規(guī)模爆發(fā),,眾多學生、機構電腦被感染,。
問:有人說這個病毒是來自于美國安全部門,,是黑客從美國安全部門的網(wǎng)絡攻擊武器庫里偷出來的,這是真的嗎,?
答:根據(jù)從“影子經(jīng)紀人”公布的相關文件進行代碼逆向分析與代碼同源性分析,,發(fā)現(xiàn)NSA經(jīng)常使用這些武器從事網(wǎng)絡間諜活動,此次病毒發(fā)行者也是利用了去年被盜的NSA自主設計的Windows系統(tǒng)黑客工具Eternal Blue“永恒之藍”,。
問:這個影響較大的敲詐者木馬主要表現(xiàn)形式是什么,?
答:此次的敲詐者木馬是一個名稱為“WannaCry”的新家族,該木馬通過加密形式,,鎖定用戶電腦里的txt,、doc,、ppt、xls等后綴名類型的文檔,,導致用戶無法正常使用程序,,從而進行勒索,要求用戶提交贖金之后才解鎖,。
問:Wanna系列敲詐者木馬和以往的敲詐者木馬有哪些不同,?為什么此次的傳播速度這么快?
答:敲詐者木馬本身沒什么不一樣,,但是Wana系列敲詐者木馬的傳播渠道是利用了445端口傳播擴散的SMB漏洞MS17-101,,微軟在17年3月發(fā)布了該漏洞的補丁。2017年4月,,黑客組織ShadowBrokers公布的EquationGroup(方程式組織)使用的“網(wǎng)絡軍火庫”中包含了該漏洞的利用程序,,而該勒索軟件的攻擊者或者攻擊組織就是在借鑒了“網(wǎng)絡軍火庫”后進行了這次全球大規(guī)模的攻擊,主要影響校園網(wǎng),,醫(yī)院,、事業(yè)單位等內(nèi)網(wǎng)用戶。
問:為何這個病毒蔓延的如此之快,,從技術上來說,,有什么新的特征值得關注?
答:此次攻擊利用的是Windows系統(tǒng)的445端口,,而445端口常用于局域網(wǎng)之間共享文件或者打印機,,感染病毒主機通過掃描局域網(wǎng)內(nèi)主機進行相關攻擊,由于未更新安全補丁同時開啟445端口主機過多,,病毒同時在失陷主機植入木馬程序,,再次攻擊感染新的有漏洞主機,導致在局域網(wǎng)內(nèi)傳播感染速度非常之快,。
問:WannaCry勒索病毒之前就出現(xiàn)過,,但為何會在這個時間點出現(xiàn)大面積的爆發(fā),有什么內(nèi)幕嗎,?
答:去年8月份,,名為“影子經(jīng)紀人”(The Shadow Brokers) 的神秘黑客組織通過社交平臺宣稱,他們攻擊了一個有美國國家安全局(NSA)背景的黑客組織“方程式組織”,,將NSA 用于大規(guī)模監(jiān)控和情報活動的網(wǎng)絡武器和文件公布在Github,、Tumblr和PastBin 等互聯(lián)網(wǎng)平臺上,文件內(nèi)容涉及大量的網(wǎng)絡武器和文件,,包括命令和控制中心(C&C)服務器的安裝腳本、配置文件,,以及針對一些知名網(wǎng)絡設備制造商的路由器和防火墻等產(chǎn)品的網(wǎng)絡武器,。本次感染急劇爆發(fā)的主要原因在于其傳播過程中使用了其工具包中的“永恒之藍”漏洞,,微軟公司今年3月份已經(jīng)發(fā)布補丁,漏洞編號MS17-010,, 由于該次攻擊使用常用的445端口進行攻擊,,如果相關企事業(yè)單位未對使用Windows系統(tǒng)主機更新相關補丁程序,就會導致病毒大范圍在局域網(wǎng)內(nèi)傳播,,出現(xiàn)典型的短時間內(nèi)爆發(fā)式攻擊,。
問:為什么校園網(wǎng)用戶容易中招?
答:由各大高校通常接入的網(wǎng)絡是為教育,、科研和國際學術交流服務的教育科研網(wǎng),,此骨干網(wǎng)出于學術目的,大多沒有對445端口做防范處理,,這是導致這次高校成為重災區(qū)的原因之一,。
此外,如果用戶電腦開啟防火墻,,也會阻止電腦接收445端口的數(shù)據(jù),。但中國高校內(nèi),一些同學為了打局域網(wǎng)游戲,,有時需要關閉防火墻,,也是此次事件在中國高校內(nèi)大肆傳播的另一原因。
問:Wanna系列敲詐者木馬有哪些危害,?被攻擊以后怎么解鎖,?
答:Wanna系列敲詐者木馬的危害主要表現(xiàn)為電腦的所有文檔被加密,用戶需要支付高額贖金才能解密,。目前,,被敲詐者木馬上鎖的電腦均無法解鎖,但可以嘗試使用電腦管家-文件恢復工具進行文件恢復,,有一定概率恢復文檔,。
問:目前有哪些應對Wanna系列敲詐者木馬的辦法?
答:有效預防此次Wanna勒索病毒可通過以下行為進行規(guī)避,。
一是,臨時關閉端口,。Windows用戶可以使用防火墻過濾個人電腦,,并且臨時關閉135,、137、445端口3389遠程登錄(如果不想關閉3389遠程登錄,,至少也是關閉智能卡登錄功能),并注意更新安全產(chǎn)品進行防御,,盡量降低電腦受攻擊的風險。
二是,,及時更新 Windows已發(fā)布的安全補丁,。在3月MS17-010漏洞剛被爆出的時候,微軟已經(jīng)針對Win7、Win10等系統(tǒng)在內(nèi)提供了安全更新,;此次事件爆發(fā)后,,微軟也迅速對此前尚未提供官方支持的Windows XP等系統(tǒng)發(fā)布了特別補丁,。
三是,,利用“勒索病毒免疫工具”進行修復。用戶通過其他電腦下載騰訊電腦管家“勒索病毒免疫工具”離線版,,并將文件拷貝至安全,、無毒的U盤,;再將指定電腦在關閉WiFi,,拔掉網(wǎng)線,斷網(wǎng)狀態(tài)下開機,并盡快備份重要文件,;然后通過U盤使用“勒索病毒免疫工具”離線版,,進行一鍵修復漏洞,;聯(lián)網(wǎng)即可正常使用電腦。
四是,,利用“文件恢復工具”進行恢復,。已經(jīng)中了病毒的用戶,可以使用電腦管家-文件恢復工具進行文件恢復,,有一定概率恢復您的文檔。
另外,,企業(yè)網(wǎng)絡管理員可使用“管理員助手”檢測電腦設備安防情況,。騰訊反病毒實驗室安全團隊經(jīng)過技術攻關,于14日晚推出了針對易感的企業(yè)客戶推出了一個電腦管家“管理員助手”診斷工具,。企業(yè)網(wǎng)絡管理員只要下載這一診斷工具,輸入目標電腦的IP或者設備名稱,,即可診斷目標電腦是否存在被感染勒索病毒的漏洞;并可在診斷報告的指導下,,對尚未打補丁的健康設備及時打補丁,、布置防御。
問:騰訊電腦管家應對此類敲詐者木馬有什么辦法,?
答:針對于此次Wanna勒索病毒,騰訊電腦管家可提供漏洞防御,,主動攔截,文檔保護三層安全保護及文件鑒黑,,同時緊急開發(fā)上線一系列工具協(xié)助用戶解決勒索病毒問題:
1.使用電腦管家-勒索病毒免疫工具,,關閉漏洞端口并安裝系統(tǒng)補丁。
2.開啟電腦管家實時防護,,啟用文檔守護者功能,,預防變種攻擊。
3.已經(jīng)中了病毒的用戶,,可以使用電腦管家-文件恢復工具進行文件恢復,,有一定概率恢復您的文檔。
4.針對企業(yè)網(wǎng)絡管理員,,可以使用“管理員助手”檢測電腦設備安全防御情況,進行漏洞診斷,、補丁更新和布置防御,。
問:目前網(wǎng)上流傳該木馬病毒作者已經(jīng)放出密匙是否屬實?
答:同時由于該木馬加密使用AES加密文件,,并使用非對稱加密算法RSA2048加密隨機密鑰,,每個文件使用一個隨機密鑰,理論上不可破解,。針對目前網(wǎng)上有傳該木馬病毒的作者放出密鑰,,已證實為謠言。實則是在公網(wǎng)環(huán)境中,,由于病毒的開關機制被設置為關閉模式暫時停止了傳播,,但不排除作者制作新變種的可能。提醒廣大用切勿輕信謠言,,以免造成更嚴重的損失,。
問:無現(xiàn)金支付越來越普及的現(xiàn)在,這種病毒讓一些加油站,、醫(yī)院都出現(xiàn)了支付癱瘓的情況,也暴露了現(xiàn)在無現(xiàn)金支付的脆弱性,,從技術上來講,,我們有哪些措施,才能保障支付終端的安全,,讓無現(xiàn)金支付真正高枕無憂,。
答:支付終端應該具有更高的安全性要求和保障,此次攻擊的是支撐支付終端的服務器系統(tǒng),,由于目前在很多企業(yè)WindowsServer服務器安全依賴防火墻安全策略,,服務器系統(tǒng)日常運維應及時更新安全補丁、使用安全軟件加固服務器系統(tǒng),,同時支付前端可以采用安全硬件設備保證終端安全,,重要數(shù)據(jù)做好容災和備份工作,同時作為終端的使用和運維人員,,也需要相應地提高安全意識。
問:此次勒索病毒蔓延全球,誰是贏家?病毒作者,,比特幣,,安全廠商,?
答:目前最直接的贏家是病毒作者,也就是通過勒索獲取到比特幣資產(chǎn)的不法分子,,有報道說黑客已在這次的病毒攻擊中獲利3.6萬美元,。但實際上這場席卷全球的勒索病毒風波是一次網(wǎng)絡災難,對所有人都是一次巨大的打擊,,沒有贏家,。
被推上風口浪尖的比特幣經(jīng)過此次事件,證交會批準比特幣ETF基金上市的概率又降低了,,比特幣正式進入到主流金融市場,,進一步坐實在美國的合法地位遙遙無期。與此同時,,全面爆發(fā)的勒索病毒侵入用戶生活工作的方方面面,,讓大家意識到了網(wǎng)絡病毒的威脅與嚴重后果。此役過后,,相同手法的病毒攻擊將不會大規(guī)模出現(xiàn)。而安全廠商作為守護用戶網(wǎng)絡安全的最后一道屏障更加談不上受益之說,,面對復雜的網(wǎng)絡環(huán)境永遠是如履薄冰,,不敢放松警惕。
目前,,針對這次勒索病毒事件,,各大安全廠商都已經(jīng)推出相應解決方案,以騰訊電腦管家為例,,兩天之內(nèi)連續(xù)發(fā)布“勒索病毒免疫工具”“文件恢復工具”“文檔守護者”等工具,,用戶可按照相關工具的使用說明保護電腦安全,避免自己的電腦感染勒索病毒,。
更多精彩請點擊:新聞排行榜
關于中華網(wǎng) |
廣告服務 |
聯(lián)系我們 |
招聘信息 |
版權聲明 |
豁免條款 |
友情鏈接 |
中華網(wǎng)動態(tài)
