中新網北京5月14日電 (記者 程春雨)近日包括中國在內的全球近百個國家和地區部分電腦遭遇同一類勒索病毒的攻擊。記者瞭解到,目前安全機構暫未能有效破除該勒索軟的惡意加密行為,使用者只能進行預防,使用者中毒後可以通過重灌作業系統的方式來解除勒索行為,但使用者重要資料檔案不能直接恢復。
全球近百國家地區遭勒索病毒攻擊
據外媒報道,日前,全球近百個國家和地區都有電腦系統遭受一個名為WannaCry的病毒攻擊,被攻擊者被要求支付比特幣才能解鎖。12日,安全軟體製造商Avast表示,它已經在99個國家觀察到超過57000個感染例子。
據社交媒體上使用者貼出的照片顯示,該勒索軟體在鎖定電腦後,索要價值300美元的比特幣,並顯示有“哎喲,你的檔案被加密了!”(Ooops, your files have been encrypted!)字樣等的對話方塊。
13日,中國國家網際網路應急中心發文稱,網際網路上出現針對Windows作業系統的勒索軟體的攻擊案例,勒索軟體利用此前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向終端使用者進行滲透傳播,並向用戶勒索比特幣或其他價值物。
被勒索病毒攻擊後電腦彈出的視窗。騰訊反病毒實驗室供圖
騰訊反病毒實驗室接受中新網記者採訪時也表示,這是最近幾年極為流行的、依靠強加密演算法進行勒索的攻擊手段。與之前的攻擊不同的是,此次勒索病毒結合了蠕蟲的方式進行傳播,傳播方式採用了前不久美國國家安全域性(NSA)被洩漏出來的MS17-010漏洞,因此無需受害者下載、檢視或開啟任何檔案即可發動攻擊。
國內多個高校電腦遭遇病毒入侵
中國國家網際網路應急中心還表示,勒索軟體的攻擊涉及到國內使用者(已收到多起高校案例報告),已經構成較為嚴重的攻擊威脅。
從5月12日晚間起,中國多個高校的師生陸續發現自己電腦中的檔案和程式無法開啟,而是彈出對話方塊要求支付比特幣等贖金後才能恢復。
記者注意到,山東大學、南昌大學、廣西師範大學、東北財經大學、電子科技大學中山學院在內十幾家高校釋出遭受病毒攻擊的通知,提醒師生注意防範。
南昌大學官方微博釋出的勒索軟體病毒攻擊的通知截圖。
部分高校通知稱,近期國內多所院校出現ONION勒索軟體感染情況,磁碟檔案會被病毒加密為n字尾,只有支付高額贖金才能解密恢復檔案,對學習資料和個人資料造成嚴重損失。根據網路安全機構通報,這是不法分子利用NSA黑客武器庫洩漏的“永恆之藍”發起的病毒攻擊事件。
國內外被攻擊的電腦中的是同一病毒
騰訊反病毒實驗室表示,在NSA洩漏的檔案中,WannaCry傳播方式的漏洞利用程式碼被稱為“EternalBlue”,所以也有的媒體報道稱此次攻擊為“永恆之藍”。
據騰訊反病毒實驗室分析,這次WanaCry2.0系列攻擊,實際上是一次蠕蟲攻擊,威力等同於當年的conficker。該蠕蟲一旦攻擊進入能連線公網的使用者機器,就會利用內建了EnternalBlue的攻擊程式碼,自動在內網裡尋找開啟了445埠的機器進行滲透。
中國國家網際網路應急中心稱,當用戶主機系統被該勒索軟體入侵後,使用者主機上的重要資料檔案,如:照片、圖片、文件、壓縮包、音訊、視訊、可執行程式等多種型別的檔案,都被惡意加密且字尾名統一修改為 “Y”。
國內高校為何此次成病毒攻擊“重災區”?
騰訊反病毒實驗室認為,各大高校通常接入的網路是為教育、科研和國際學術交流服務的教育科研網,此骨幹網出於學術目的,大多沒有對445埠做防範處理,這是導致這次高校成為重災區的原因之一。
此外,如果使用者電腦開啟防火牆,也會阻止電腦接收445埠的資料。但中國高校內,一些同學為了打局域網遊戲,有時需要關閉防火牆,也是此次事件在中國高校內大肆傳播的另一原因。
騰訊安全反病毒實驗室公佈的WanaCrypt0r 2.0攻擊流程圖。
騰訊反病毒實驗室還表示,相關網路運營商在骨幹網ISP策略中習慣性禁止445埠的資料傳輸,防止蠕蟲等病毒傳播的策略,發揮了重要的作用。在本次漏洞事件中,間接地降低了本次漏洞所帶來的風險。
你的電腦若中毒了怎麼辦?
根據中國國家資訊保安漏洞共享平臺(CNVD)祕書處普查的結果,網際網路上共有900餘萬臺主機IP暴露445埠(埠開放),而中國大陸地區主機IP有300餘萬臺。
據外媒報道,一名網路安全研究員聲稱他找到方法能停止這個病毒擴散,但警告這只是暫時性質的。
中國國家網際網路應急中心表示,目前,安全業界暫未能有效破除該勒索軟的惡意加密行為,使用者主機一旦被勒索軟體滲透,只能通過重灌作業系統的方式來解除勒索行為,但使用者重要資料檔案不能直接恢復。
中國國家網際網路應急中心公佈的有可能通過445埠發起攻擊的漏洞攻擊工具。
騰訊反病毒實驗室稱,此病毒與以往的勒索攻擊事件一樣,採用了高強度的加密演算法,因此在事後想要恢復檔案是很難的,重點還是在於事前的預防。
如何能預防電腦被勒索病毒“綁架”?
在防範上,國內多家安全機構均提示,一是,及時更新 Windows已釋出的安全補丁。在3月MS17-010漏洞剛被爆出的時候,微軟已經針對Win7、Win10等系統在內提供了安全更新;此次事件爆發後,微軟也迅速對此前尚未提供官方支援的Windows XP等系統釋出了特別補丁。
二是,在電腦上安裝騰訊電腦管家、360安全衛士等安全類軟體,並保持實時監控功能開啟,可以攔截木馬病毒的入侵。
Windows 7系統使用者可開啟控制面板點選防火牆-高階設定-入站規則-新建規則-勾中“埠”-點選“協議與埠”,勾選“特定本地埠”,填寫445後點擊下一步,繼續點選“阻止連結”,一直下一步,並給規則命名,可完成關閉445埠。
中國國家網際網路應急中心還建議,關閉445等埠(其他關聯埠如: 135、137、139)的外部網路訪問許可權,在伺服器上關閉不必要的上述服務埠;加強對445等埠(其他關聯埠如: 135、137、139)的內部網路區域訪問審計,及時發現非授權行為或潛在的攻擊行為;由於微軟對部分作業系統停止安全更新,建議對Window XP和Windows server 2003主機進行排查(MS17-010更新已不支援),使用替代作業系統;做好資訊系統業務和個人資料的備份。
