想哭!一个被称为“WannaCry”(也有称WannaCrypt)的勒索病毒近期在全球范围内肆虐。这个传说中属于“网络战武器”的病毒,到底是怎么回事?
北京时间2017年5月12日晚上22点30分左右,全英国上下16家医院遭到大范围网络攻击,医院的内网被攻陷,导致这16家机构基本中断了与外界联系,内部医疗系统几乎停止运转,很快又有更多医院的电脑遭到攻击,这场网络攻击迅速席卷全球。
这场网络攻击的罪魁祸首就是一种叫WannaCrypt的勒索病毒,该病毒是由不法分子通过改造“永恒之蓝”网络攻击工具而制作。
勒索病毒本身并不是什么新概念,勒索软件Ransomware最早出现在1989年,是由Joseph Popp编写的叫"AIDS Trojan"(艾滋病特洛伊木马)的恶意软件。在1996年,哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件,明确概述了勒索软件Ransomware的概念:利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。
因为NSA的永恒之蓝漏洞太强大了,除了更新了的Windows 10系统(版本1703)之外的其它Windows系统都可能受到漏洞影响。
目前已知的受影响的系统有: Windows Vista、Windows 7、Windows 8.1、Windows Server 2008(含R2)、Windows 2012(含R2)、Windows2016、已脱离服务周期的Windows XP、Windows Server 2003、Windows 8以及关闭自动更新的win10用户。
英国医院成为病毒入侵重灾区的一个重要原因,就在于系统的落后,英国医院的IT系统一直没有及时更新,仍然在使用Windows XP系统,而Windows XP系统在2014年4月之后就没有发布更新的安全补丁了。
除了英国,意大利、德国、俄罗斯、西班牙等国家都大范围爆发勒索病毒。
意大利的大学机房被攻击
5月12日仅一夜之间,全世界就有超过99个国家遭到攻击,共计七万多起。
我们国家的内网受损害也很严重,尤其是高校的校园网,很多单位都在内网和外网之间部署了防火墙进行网络控制,但内网的安全反而多多少少有些被忽视,因为内网机器相互访问的需求,再加上网络管理人员忽略了内网本身的安全控制,在不少企业的内网里,绝大多数端口甚至是完全开放的状态。这种情况下,电脑间的网络连接毫无限制,也就给了蠕虫病毒以传播机会。
距离去年5月12日勒索病毒爆发已经一周年了。一年前,一个叫“WannaCry”的勒索病毒突然大规模爆发,席卷全球150多个国家,造成高达80亿美元的经济损失。2018年以来,勒索变种仍然层出不穷,攻击方式不断升级,并开始从发达城市向偏远地区扩散,大批企业用户纷纷中招,其中不乏政府、高校、医院等公共基础设施。
国内越来越多的医院正成为黑客攻击的靶子:2017年5月,“永恒之蓝”勒索软件对成都市传染病医院等部分医院造成影响;2018年2月,湖南省某医院遭受勒索病毒攻击,服务器所有数据文件被强行加密;同一时间,上海某公立医院系统被黑,黑客勒索价值2亿元的以太币;2018年4月,杭州某医院受到勒索病毒攻击。
勒索病毒已发展成为威胁网络安全的重大毒瘤,严重威胁着企业和个人用户的文档和数据安全,一旦中招,不但会受到经济损失,还会严重影响医院正常工作,造成十分恶劣的影响。据媒体报道,2018年2月24日,某医院遭受勒索病毒攻击时,服务器所有数据文件被强行加密,导致医院系统瘫痪,取号、办卡、挂号、收费、诊疗等业务均受到影响。此时正值流感高发季,医院大厅人满为患。据悉该院多台服务器感染勒索病毒,数据库文件、业务文件均被病毒加密破坏,攻击者要求院方必须在六小时内为每台感染终端支付1个比特币赎金,约合每台终端解锁需要支付人民币66000余元。
与其他机构相比,医院的信息系统比较特殊,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被勒索病毒加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。医院信息系统遭遇勒索、发生故障,无论是哪种突发状况,都将直接影响到患者正常就医,甚至会关系到病患的生命安全。因此,在血泪教训面前,快速获得应对勒索病毒攻击的解决方案尤为重要。
病毒变种分析
本次捕获的WannaCry变种跟之前风靡全球的对主机进行勒索的WannaCry
具体的变化:
1、KillSwitch开关不再有效
之前的Wannacry病毒拥有KillSwitch域名开关,当病毒可以访问该域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)时,病毒终止运行和传播,不会对主机造成任何破会。变种病毒虽然也会连接改KillSwitch域名,但并不会因访问到该域名而终止运行。由于该变种病毒不再受KillSwitch影响,但是可能会像当年的飞客蠕虫一样,感染量较大。
2、勒索程序运行失效,可造成系统蓝屏崩溃
WannaCry之前的版本释放勒索程序对主机进行勒索,变种后程序在主流Windows平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该种病毒,病毒之间会利用“永恒之蓝”漏洞进行互相攻击。由于该变种病毒使用了堆喷射技术进行漏洞利用,并不稳定,存在小概率出现漏洞利用失败。在漏铜利用失败的情况下,会造成被攻击主机蓝屏的现象。
病毒影响
变种病毒传播方式跟之前一样,也是通过 MS17-010 中的“永恒之蓝”漏洞进行传播。病毒传播过程中,漏洞利用成功时主机受感染,漏洞利用失败则造成主机蓝屏,蓝屏信息显示 srv.sys 驱动出现问题,srv.sys 正是存在“永恒之蓝”漏洞的驱动文件。
该变种病毒单台主机被感染特征不明显,容易引发内网传播,扩大影响范围,需小心防范。
1、微软官方在 3 月份已发布补丁 MS17-010 修复了“永恒之蓝”病毒所利用的 SMB 漏洞,请前往官网下载安装。经过前段时间 WannaCry 勒索病毒事件已打过补丁的用户将不受影响,无需再次升级补丁。补丁地址:
//technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、暂时无法进行升级的用户,可临时禁止使用 SMB 服务的 445 端口,禁用方法:
//jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
3、深信服防火墙早在一个月前就已发布针对微软 SMB 漏洞的攻击防护,用户升级到 20170415 及其以上版本即可防御此漏洞的攻击。
4、深信服千里目安全实验室在捕获 WannaCry 变种样本后紧急开发专杀工具,计算机在中病毒后,可以使用专杀工具进行查杀。建议先封闭本地主机的445端口,或者打完补丁后重启主机,再进行专杀确保专杀干净。专杀工具下载地址:
//sec.sangfor.com.cn/download?file=WannaCryKiller.exe
5、划重点,电脑上的文件一定要备份,并且勤备份。注意不要备份在本机和网络硬盘上,备份盘也不要一直插在电脑上;
6、安装反勒索防护工具,不要访问可疑网站、不要打开可疑的电子邮件和文件,如果发现被感染,也不要支付赎金;