新闻快讯
< >

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?

E安全5月13日文 无现金社会即将到来,这无疑是各国政府热烈欢迎的。在2017年两会,大家对无现金社会议论纷纷。人大代表也有相关提案提出。支付宝官方账号3月2日在微博上表示“五年推动中国进入无现金社会”,而福耀玻璃集团掌门人曹德旺认为“需要一两百年。”

无现金社会并不是消灭现金,而是将无现金作为主流支付方式的社会。其内涵也非常丰富,无现金包括互联网支付、银行卡、二维码支付、NFC(近场支付)等各类支付工具的应用。而支付宝,被世界各地的歪果仁认为是21世纪的中国新“四大发明”。

就在5月12日,eWTP全球首条“数字之路”开启,马来西亚便利店正式开通支付宝,支付宝正在被全球越来越多的商家接受,甚至被奉为为21世纪的中国新“四大发明”。

今天的我们的朋友圈、微博、新闻都被ONION和WNCRY勒索病毒刷屏,随之“比特币”这种虚拟货币也再次进入大家的视野。E安全小编甚至认为有这么一种可能,这次全球范围的黑客攻击活动,是带有一定商业目的比特币与现有电子支付体系的正面较量!

2017年4月,日本正式实施虚拟货币新规,明确将比特币规定成为一种合法的支付方式。最近1个月,比特币货币市场一片大好,货币加之连连上涨,尤其是最近一周,涨幅异常明显,而且居高不下。这种现象至少在一定程度上佐证了本小编的这点个人想法。

以下是E安全根据各媒体报道以及朋友圈、微博等消息整理的关于这次勒索病毒袭击事件的相关内容以及防护建议。

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

图:NSA黑客武器搭载的勒索病毒感染现象

【黑色星期五】

5月12日,几乎同一时间,英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,同时我国大批高校也被严重感染,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。ONION、WNCRY等勒索病毒在校园网快速传播。

【严重性】

这次被黑产做成蠕虫病毒内网进行传播,危害极其恐怖。此次攻击规模涉及全球99个国家和地区,英国、美国、中国、俄罗斯、西班牙、意大利和中国台湾均有感染报告。在攻击最开始的十几个小时当中全球共计有74个国家,至少4.5万台电脑中招。但有一个国家却再次成功避险...可能你们也想到了,没错,就是朝鲜。至于原因,相信大家也都懂得。网友调侃称:“风景这边独好”。

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

国外:

联邦快递和西班牙电信等大公司,以及英国国家医疗服务体系(NHS)造成了严重影响。NHS多家医院的运营已暂停,X光机无法使用,检测报告和患者医疗记录无法获取,甚至电话也很难接通,伦敦、诺丁汉等多地医院的IT系统瘫痪。

网络安全公司Avast称在全世界检测到7.5万WannaCry劫持。规模之大让Avast软件研究员Jakub Kroustek为之震惊。目前在国内外大学、医院、加油站、机场等等内网内大爆发,甚至做了物理隔离的内网。

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

国内:

国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网是受攻击的重灾区。

高校:

中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。目前受影响的有:

贺州学院;

桂林电子科技大学;

桂林航天工业学院;

广西等地区的大学。

另外有网友反映,大连海事大学、山东大学等也受到了病毒攻击。

目前正值高校毕业季,勒索病毒已经造成一些应届生毕业论文被加密篡改。这部分应届生可能将深陷“肄业危机”。

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

加油站:

全国多地中石油加油站出现断网,加油卡无法使用,疑似遭遇敲诈病毒攻击。截至5月13日中午,估计中国国内超2万台机器中招,全球超10万台机器被感染。

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

金融机构:

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全


政府机构:

我国的政府部门网络很多都跟教育网互通,部分政府机构也被勒索病毒感染受到影响。微博上一些用户开始反馈,今日北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全


安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

许多研究人员称突然爆发的攻击可能彼此互有关联,但不认为是针对特定目标的有组织攻击行为。

 

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

要点

一、中国:以安全较为薄弱的教育行业相关网站为突破口

教育网对445端口未进行限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。

二、不法分子使用NSA泄漏的黑客武器发起攻击

此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。

三、利用Windows漏洞

针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”,能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序

一些专家称,攻击可能利用了名为“EternalBlue”(永恒之蓝)的漏洞

四、本次事件黑客使用的ONION、WNCRY为主的勒索病毒

这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

五、勒索目标

  • 教育机构/学校机房

  • 一切可以攻击的公共设备

  • 医院系统计算机

  • 政府机关计算机

  • 个人PC/笔记本

最新进展

以“洞”止“洞”

据英国《卫报》报道,一名“意外的英雄”已发现,如何阻止勒索病毒WannaCry在全球范围内的传播。他花了几美元去注册隐藏在WannaCry中的一个域名。

在信息安全公司Proofpoint的达里恩·哈斯(Darien Huss)的帮助下,Twitter上自称@malwaretechblog的英国信息安全研究员发现了隐藏在WannaCry中的一个“删除开关”。这一开关被编码在WannaCry之中。如果恶意软件的制造者希望停止其传播,那么就可以激活开关。

根据开关机制,恶意软件会向长域名发送请求,如果请求得到响应,表明该域名已经上线,那么删除开关就会生效,恶意软件就将停止传播。

这名研究员表示:“我发现这个域名没有注册,我的想法是,‘我可以去试试看。’”购买这个域名花了他10.69美元的费用。在上线后,该域名收到了每秒数千次的连接请求。

Proofpoint的瑞安·卡莱姆伯(Ryan Kalember)表示:“他们获得了今天意外的英雄奖励。他们没有意识到,这对延缓勒索病毒的传播起到了巨大的作用。”由于@malwaretechblog注册该域名的时间已经太晚,无法给欧洲和亚洲带来太大帮助。在这些地区,许多机构都受到了影响。

不过,这给美国用户争取到了时间,使他们可以紧急给系统打补丁,避免感染病毒。

同时,对于已被勒索病毒感染的计算机,这一删除开关无法起到帮助。此外也很有可能,携带其他类型删除开关的恶意软件仍在继续传播。

一个名为Shadow Brokers(影子经纪人)的组织于4月14日公布了这个恶意软件。该组织去年表示,从美国国家安全局(NSA)窃取了一系列的“信息战武器”。

相关阅读:

电脑勒索病毒让99个国家中招 究竟是谁干的?

国内爆发新型勒索病毒 昨夜今晨多家高校发布紧急通知

微软回应多国遭遇Windows勒索病毒:将加强监测

微软已发布特别补丁

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

由于本次Wannacry蠕虫事件的巨大影响,微软总部发布已停服的XP和部分服务器版特别补丁。

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

如何自查?

以下是由安恒信息安全研究院根据WannaCry样本整理的手工查杀方法。

检查步骤:

1、 首先,使用任务管理器查找如下检查,并结束进程,进程可能包括:

l taskhsvc.exe

l @WanaDecryptor@.exe

l taskdl.exe

l taskse.exe

l tasksche.exe

2、 删除自动注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中恶意项,其值是 tasksche.exe

3、 通过文件搜索查找所有命名为@WanaDecryptor@.exe的文件,接着删除系统所有的 @WanaDecryptor@.exe。

4、 删除所有以.wnry命名的文件

5、 另外,其它不会对系统有影响的的文件如:@Please_Read_Me@.txt和@WanaDecryptor@.bmp等也可疑删除。

6、 重启电脑。如果还有问题,请重复1到5 这个过程。

 

备注:

所有被加密的文件命名为“*.WNCRY”,如果后期还想恢复(如果有办法恢复),E安全小编建议保留。

 

E安全小编建议

今天已经有很多人是因为想开电脑去打补丁更新下载的时候就中招了,去下某某查杀工具也是一样,所以,E安全建议大家先断网处于离线状态关了445再按照以下方式安装补丁才是靠谱的。

安全专家重要观点:隔离不等于安全,高校以及企业隔离的专网本身就是一个小规模的互联网,需要当作互联网来建设。

不管是5万还是2000元都不是个小数目,特别是对于高校的学生来说。

如果不想支付比特币“赎金”,下面E安全小编给大家推荐以下防护方案:

预防

对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁:网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010

用户可以通过开启Windows Update检测安装该补丁;对于XP/Windows 2003用户建议升级Win10系统避免中招,对于重要信息,请通过离线存储的方式保存。个人用户建议关闭445、135、137、138、139端口,关闭网络共享。

关闭步骤:

第一步

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

                         

第二步

 

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

第三步

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

勒索病毒袭击事件,或是挑战现有金融秩序格局的导火索?-E安全

做完以上然后重启,即可关闭445、137、135、139端口
ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x >nul
防火墙阻断445的方法!

终极解决方案:

更换系统Windows为Linux。

小白解决方案:

一、关闭并禁用Server服务。以管理员权限打开CMD,运行:

net stop server
sc config LanmanServer start= disabled

二、开启防火墙,禁用445端口。以管理员权限打开CMD,运行以下脚本(锦佰安提供):

netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

三、对于微软不再提供补丁的Windows XP用户,打开CMD,运行(记得禁用相关服务):

net stop rdr
net stop srv
net stop netbt

四、对于Windows 7以上版本的用户,如果有外网,建议直接打补丁:

https://technet.microsoft.com/zh-cn/library/security/MS17-010

有外网的懒人解决方案(效果自查):

使用360NSA武器库免疫工具,下载地址:

http://dl.360safe.com/nsa/nsatool.exe  
   

此外,对于重要文件,多留几处备份。【这么多人买,估计移动硬盘要涨价了】

已经中招

已经被勒索感染的个人或企业用户

1:立即断网。

2:立即检查病毒加密时间。(观察文件修改时间)

规则A:立即断电或关机。若勒索加密病毒运行加密的时间在0-2小时内,根据你的主机文件个数和数据容量多少,一般情况下1小时内病毒会加密完成,若你的文件个数和容量比较大,病毒加密时间会时间更长。

规则B:不要关机,如果你发现加密时间已经超过5小时以上,这是你就是关机也没有用了,所以建议不要关机,这是病毒进程还在内存,对于破解病毒来说,很多密钥可能在内存或缓存文件,关机会导致这些重要的数据丢失或改变或覆盖,不利于后面的数据解密。

3:杀毒软件

往往中毒的主机杀毒软件都没有防守住,所以它杀不掉病毒,目前据我们的统计,杀毒软件是无法直接解密数据的,所以一般情况下,无需运行杀毒软件(此时杀毒软件进程多数被终止了),也无需安装新的杀毒软件,因为这些操作都会删除部分感染文件,对于重要被感染的数据万一被杀毒软件清除,就不利于数据恢复。

4:寻找专业机构。

数据被病毒加密勒索,十万火急,特别是wallet病毒,往往加密对象是服务器主机,严重影响企业日常运行,但是我们建议是,慌乱之中不要急。坚持专业途径解决问题。

规则A:勒索病毒恶性程度很高,采用高级的加密算法,非专业人士自己不要尝试,以免感染别的主机扩大故障

规则B:寻求专业的数据恢复公司,寻找专业人员协助解密。

规则C:不要轻易交纳赎金,这样会助长犯罪分子的气焰,另外黑客犯罪分子一般在国外,支付比特币赎金后如何保障付款安全,风险极大,我们已经碰到过用户付钱后,仍然无法解密数据的案例。

中招尝试解决方案(来自网络效果自查)

方法一:

1:打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址)

2:把copy粘贴到btc.com (区块链查询器)

3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)

4:把txid 复制粘贴给 勒索软件界面按钮connect us.

5:等黑客看到后 你再点击勒索软件上的check payment.
   

6:再点击decrypt 解密文件即可。

方法二:

下载开源的脚本(需要python3环境)来运行尝试恢复。

下载链接:https://github.com/QuantumLiu/antiBTCHack

未雨绸缪

应付勒索软件攻击电脑的必要措施

勒索软件已成为不具备高级防御系统的用户之一大隐忧。为了防止恶意软件感染,以下提供几个步骤及诀窍,让你免于成为下一个勒索软件的牺牲者。

  • 注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。如果有条件,建议全量备份,如数据量过大,可以选择不定期的实时全量+增量备份混合方案,推荐快照方案和OSS异地备份;

  • 如果需要远程管理,使用ECS安全组确保它是白名单的IP的防火墙或不暴露到互联网,把RDP、SSH、FTP或其他重要内网管理后台隐藏起来,仅限于内网访问,降低暴露在互联网被攻击的风险;

  • 安装企业级防病毒软件,推荐:赛门铁克、卡巴斯基商用防病毒软件,Linux服务器可以安装Clam;

  • 安装最新版本的安全补丁:过时的操作系统或软件相对容易成为勒索软件的攻击目标,这也是为何需要定期运行软件及操作系统更新的原因——可强化你电脑的安全性;5.恶意软件经常将使用远程桌面协议 (Remote Desktop Protocol, RDP) 视为主要目标。不需要远程访问时即停用 RDP,便可有效阻挡来自恶意软件的攻击。

  • 配置好密码策略;

  • 修改远程控制账户密码,做好密码的管理工作;

  • 定期更新管理员账号名称和密码更新策略;

  • 提高安全意识,做好数据安全防护措施。

“永恒之蓝”事件背景:

数据泄露:

今年三月,维基解密(WiKiLeaks)公布了CIA Vault7数千份文档并揭秘了美国中央情报局关于黑客入侵技术的最高机密,包括大量机密文档以及黑客工具。

一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

相关阅读:美国国家安全局(NSA)泄漏的黑客武器

安全专家全方位解读NSA和CIA网络武器泄露事件

全球危机!平均每天2.5万台设备被NSA黑客工具感染

NSA黑客工具信息被泄 网安江湖掀起一轮“淘金热”

影子经纪人曝光NSA使用的Windows系统高危漏洞工具与Stuxnet如出一辙

NSA武器泄漏引发网络世界“核弹危机”

NSA方程式又一波0day攻击泄露 覆盖全球70%的Windows服务器

NSA专用黑客工具可提升Solaris的Root权限,多个版本受影响

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。