勒索病毒新一輪全球傳播 防范與遏制指南

　　Hi商學(xué)院6月29日消息，與勒索病毒WannaCry類似的新一輪網(wǎng)絡(luò)攻擊正在歐洲蔓延。微軟公司、網(wǎng)絡(luò)安全分析師和烏克蘭警方表示，新一輪影響全球的病毒襲擊事件的源頭，來自一家烏克蘭的會計軟件生產(chǎn)商M.E.Doc。周二爆發(fā)的新一輪網(wǎng)絡(luò)襲擊首先從烏克蘭政府部門的網(wǎng)絡(luò)系統(tǒng)開始，隨后俄羅斯石油公司、英國廣告商WPP和切爾諾貝利核電站等機構(gòu)均報告稱遭到襲擊。受其影響最深的丹麥航運巨頭馬士基集團在進行了全面評估后，不得不選擇關(guān)閉了整個網(wǎng)絡(luò)系統(tǒng)。

　　黑客要求受害者支付價值300美元的比特幣，但為了知道誰付款了，黑客還指示受害者通過郵件發(fā)送比特幣錢包ID和“個人安裝密匙”。解鎖密匙由勒索病毒隨機產(chǎn)生，并由數(shù)字和字母組成。因此要解鎖文件需要黑客提供特定的密匙。但現(xiàn)在這個過程不可能完成。黑客使用的德國這家電郵公司Posteo稱，決定封殺黑客的賬號。這讓受害者無法解鎖文件。

　　根據(jù)計算機安全公司賽門鐵克的研究人員稱，與五月份的WannaCry攻擊一樣，新的這一輪攻擊同樣使用美國國家安全局(National Security Agency)的黑客工具Eternal Blue(永恒之藍)，并輔之以其他兩種傳播方法來加速病毒的傳播。美國國家安全局尚未承認其工具被用于WannaCry或其他攻擊，但計算機安全專家正在要求該機構(gòu)幫助全世界其他機構(gòu)和公司創(chuàng)造的可以遏制病毒傳播的工具。

　　6月28日，針對這一情況，北京市委網(wǎng)信辦、北京市公安局和北京市經(jīng)濟和信息化委員會聯(lián)合發(fā)布防范和遏制新型病毒攻擊指南。

　　1、微軟已經(jīng)發(fā)布了系統(tǒng)補丁 MS17-010 用以修復(fù)被攻擊的系統(tǒng)漏洞，請大家盡快安裝此安全補丁。

　　2、關(guān)閉 445、135、137、138、139 端口，關(guān)閉網(wǎng)絡(luò)文件共享。

　　3、及時安裝Windows、Office公布的安全漏洞補丁。

　　4、加強電子郵件安全管理，不要輕易點擊不明附件，尤其是rtf、doc等格式的附件。

　　5、使用Windows Defender, System Center Endpoint Protection, and Forefront Endpoint Protection的用戶請確保您本地終端防護升級不晚于下列版本號：Threat definition version:1.247.197.0 Version created on:12:04:25 PM:Tuesday, June 27 2017 Last Update: 12:04:25 PM : Tuesday, June 27 2017

　　6、使用第三方安全廠商產(chǎn)品請與廠家聯(lián)系并核實升級。

　　——————附：勒索病毒發(fā)展態(tài)勢——————

　　在5月上旬，中央網(wǎng)信辦就增發(fā)布：勒索病毒還在傳播 但速度已放緩

　　5月12日起，一款勒索軟件在全球較大范圍內(nèi)傳播，感染了包括醫(yī)院、教育、能源、通信、制造業(yè)等以及政府部門在內(nèi)的多個領(lǐng)域，我國一些行業(yè)和政府部門的計算機也受到了感染，造成了一定影響。截至到5月13日20點，國內(nèi)有29372家機構(gòu)組織的數(shù)十萬臺機器感染，其中有教育科研機構(gòu)4341家中招。該勒索軟件還在傳播，目前無法破解，但傳播速度已經(jīng)明顯放緩。

　　5月15日，記者就“蠕蟲”式勒索軟件攻擊事件采訪了中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局負責(zé)人。他表示，幾天來應(yīng)對該勒索軟件的實踐表明，對廣大用戶而言最有效的應(yīng)對措施是要安裝安全防護軟件，及時升級安全補丁，即使是與互聯(lián)網(wǎng)不直接相連的內(nèi)網(wǎng)計算機也應(yīng)考慮安裝和升級安全補丁。作為單位的系統(tǒng)管理技術(shù)人員，還可以采取關(guān)閉該勒索軟件使用的端口和網(wǎng)絡(luò)服務(wù)等措施。

　　此次勒索軟件較大范圍傳播是近年來少有的，再一次給人們敲響了警鐘。互聯(lián)網(wǎng)等信息技術(shù)的快速發(fā)展，在給人們帶來巨大福祉的同時，也帶來了前所未有的網(wǎng)絡(luò)安全挑戰(zhàn)。該負責(zé)人建議，各方面都要高度重視網(wǎng)絡(luò)安全問題，及時安裝安全防護軟件，及時升級操作系統(tǒng)和各種應(yīng)用的安全補丁，設(shè)置高安全強度口令并定期更換，不要下載安裝來路不明的應(yīng)用軟件，對特別重要的數(shù)據(jù)采取備份措施等。

　　全球Windows勒索軟件感染圖：中國、歐洲最嚴重

　　一次迄今為止最大規(guī)模的勒索病毒網(wǎng)絡(luò)攻擊席卷全球，這種勒索病毒名為WannaCry(及其變種)，全球各地的大量組織機構(gòu)遭受了它的攻擊。受害者電腦會被黑客鎖定，提示支付價值相當(dāng)于300美元(約合人民幣2069元)的比特幣才可解鎖。電腦提示用戶在規(guī)定期限內(nèi)支付300美元贖金，便可恢復(fù)電腦資料;每耽擱數(shù)小時，贖金額度就會上漲一些。

　　病毒已經(jīng)造成150多個國家的至少20萬人受害，其中不乏大型企業(yè)用戶。受感染地區(qū)主要集中在中國中部和東南沿海地區(qū)，歐洲大陸、美國五大湖地區(qū)。從圖上可以看出，中國地區(qū)、歐洲大陸地區(qū)受到的感染情況應(yīng)該是最為嚴重，同時，全球只要是有互聯(lián)網(wǎng)基礎(chǔ)的地區(qū)，幾乎都不同程度遭到攻擊。

　　勒索病毒出現(xiàn)變種 微軟：已提供緊急更新

　　北京時間5月13日，一名“意外的英雄”已發(fā)現(xiàn)，花了幾美元去注冊隱藏在WannaCry中的一個域名。對于已被勒索病毒感染的計算機，這一刪除開關(guān)無法起到幫助。@malwaretechblog注冊該域名的時間已經(jīng)太晚，無法給歐洲和亞洲帶來太大幫助。在這些地區(qū)，許多機構(gòu)都受到了影響。不過，這給美國用戶爭取到了時間，使他們可以緊急給系統(tǒng)打補丁，避免感染病毒。接著網(wǎng)上出現(xiàn)了病毒變種： WannaCry 2.0，與之前版本的不同是，這個變種取消了所謂的 Kill Switch，不能通過注冊某個域名來關(guān)閉變種勒索蠕蟲的傳播。5 月 15 日凌晨，微軟再次針對比特幣勒索病毒發(fā)起第二波補丁措施，微軟在其微博公告中表明：為了更好的保護所有的 Windows 用戶，我們已經(jīng)采取了非常的方式，特別為使用更早期軟件用戶，包括 Windows XP、Windows 8 和 Windows Server 2003 提供了緊急安全補丁更新。

　　勒索病毒攻擊者已獲4.2萬余美元贖金 使用美國國安局的黑客工具

　　據(jù)俄羅斯衛(wèi)星網(wǎng)5月15日援引英國《泰晤士報》報道，波及全球數(shù)十國的勒索病毒網(wǎng)絡(luò)攻擊實施者現(xiàn)已收到4.2萬余美元贖金，但這些匯款仍在銀行賬戶未被取走。據(jù)外媒報道，該病毒的始作俑者為美國聯(lián)邦調(diào)查局(FBI)最高網(wǎng)絡(luò)罪犯賞金通緝犯俄羅斯籍黑客波格契夫，目前仍未歸案。木馬最開始支付比特幣的時候沒有使用匿名網(wǎng)絡(luò)導(dǎo)致服務(wù)器暴露，病毒作者身份隨之被查出。自波格契夫身份暴露后，“比特幣敲詐者”家族木馬的設(shè)計愈發(fā)狡猾，比特幣支付環(huán)節(jié)改在TOR(洋蔥網(wǎng))上進行，這使得警方對波格契夫的抓捕更為困難。

　　業(yè)界人士普遍認為，這次大規(guī)模網(wǎng)絡(luò)攻擊采用的，是美國國家安全局開發(fā)的黑客工具。這些黑客工具源自美國國安局的網(wǎng)絡(luò)武器庫，在上個月剛剛遭到泄漏。不少網(wǎng)絡(luò)專家和電腦安全公司批評，美國政府將大部分的網(wǎng)絡(luò)項目開支用于研發(fā)黑客攻擊武器，而非自衛(wèi)機制，一旦網(wǎng)絡(luò)武器庫遭到泄密，勢必殃及全球。

　　相關(guān)文章：預(yù)防勒索病毒的方法，電腦中勒索病毒怎么辦?