5月15日,Wanna系列敲詐者木馬在全球範圍的爆發,持續引發着關注。針對外界對於Wanna系列敲詐者木馬的最關心的疑問,騰訊電腦管家安全團隊今日做出系統回答。
對於此次病毒爆發事件,騰訊電腦管家安全團隊表示,目前最直接的贏家是病毒作者,也就是通過勒索獲取到比特幣資產的不法分子,有報道說黑客已在這次的病毒攻擊中獲利3.6萬美元。但實際上這場席捲全球的勒索病毒風波是一次網絡災難,對所有人都是一次巨大的打擊,沒有贏家。
以下爲問答全文:
問:這次的敲詐者木馬主要影響了哪些地區、單位或用戶?
答:敲詐者木馬是全球很多地方爆發的一種軟件勒索病毒,只有繳納高額贖金(比特幣)才能解密資料和數據,英國多家醫院中招,病人的資料受到外泄威脅,同時俄羅斯,意大利,整個歐洲都受到不同程度的威脅。5月12日晚上20時左右,中國的校園網、機場、銀行、加油站、醫院、警察、出入境等事業單位開始大規模爆發,衆多學生、機構電腦被感染。
問:有人說這個病毒是來自於美國安全部門,是黑客從美國安全部門的網絡攻擊武器庫裏偷出來的,這是真的嗎?
答:根據從“影子經紀人”公佈的相關文件進行代碼逆向分析與代碼同源性分析,發現NSA經常使用這些武器從事網絡間諜活動,此次病毒發行者也是利用了去年被盜的NSA自主設計的Windows系統黑客工具EternalBlue“永恆之藍”。
問:這個影響較大的敲詐者木馬主要表現形式是什麼?
答:此次的敲詐者木馬是一個名稱爲“WannaCry”的新家族,該木馬通過加密形式,鎖定用戶電腦裏的txt、doc、ppt、xls等後綴名類型的文檔,導致用戶無法正常使用程序,從而進行勒索,要求用戶提交贖金之後才解鎖。
問:Wanna系列敲詐者木馬和以往的敲詐者木馬有哪些不同?爲什麼此次的傳播速度這麼快?
答:敲詐者木馬本身沒什麼不一樣,但是Wana系列敲詐者木馬的傳播渠道是利用了445端口傳播擴散的SMB漏洞MS17-101,微軟在17年3月發佈了該漏洞的補丁。2017年4月,黑客組織ShadowBrokers公佈的EquationGroup(方程式組織)使用的“網絡軍火庫”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或者攻擊組織就是在借鑑了“網絡軍火庫”後進行了這次全球大規模的攻擊,主要影響校園網,醫院、事業單位等內網用戶。
問:爲何這個病毒蔓延的如此之快,從技術上來說,有什麼新的特徵值得關注?
答:此次攻擊利用的是Windows系統的445端口,而445端口常用於局域網之間共享文件或者打印機,感染病毒主機通過掃描局域網內主機進行相關攻擊,由於未更新安全補丁同時開啓445端口主機過多,病毒同時在失陷主機植入木馬程序,再次攻擊感染新的有漏洞主機,導致在局域網內傳播感染速度非常之快。
問:WannaCry勒索病毒之前就出現過,但爲何會在這個時間點出現大面積的爆發,有什麼內幕嗎?
答:去年8月份,名爲“影子經紀人”(TheShadowBrokers)的神祕黑客組織通過社交平臺宣稱,他們攻擊了一個有美國國家安全局(NSA)背景的黑客組織“方程式組織”,將NSA用於大規模監控和情報活動的網絡武器和文件公佈在Github、Tumblr和PastBin等互聯網平臺上,文件內容涉及大量的網絡武器和文件,包括命令和控制中心(C&C)服務器的安裝腳本、配置文件,以及針對一些知名網絡設備製造商的路由器和防火牆等產品的網絡武器。本次感染急劇爆發的主要原因在於其傳播過程中使用了其工具包中的“永恆之藍”漏洞,微軟公司今年3月份已經發布補丁,漏洞編號MS17-010,由於該次攻擊使用常用的445端口進行攻擊,如果相關企事業單位未對使用Windows系統主機更新相關補丁程序,就會導致病毒大範圍在局域網內傳播,出現典型的短時間內爆發式攻擊。
問:爲什麼校園網用戶容易中招?
答:由各大高校通常接入的網絡是爲教育、科研和國際學術交流服務的教育科研網,此骨幹網出於學術目的,大多沒有對445端口做防範處理,這是導致這次高校成爲重災區的原因之一。
此外,如果用戶電腦開啓防火牆,也會阻止電腦接收445端口的數據。但中國高校內,一些同學爲了打局域網遊戲,有時需要關閉防火牆,也是此次事件在中國高校內大肆傳播的另一原因。
問:Wanna系列敲詐者木馬有哪些危害?被攻擊以後怎麼解鎖?
答:Wanna系列敲詐者木馬的危害主要表現爲電腦的所有文檔被加密,用戶需要支付高額贖金才能解密。目前,被敲詐者木馬上鎖的電腦均無法解鎖,但可以嘗試使用電腦管家-文件恢復工具進行文件恢復,有一定概率恢復文檔。
問:目前有哪些應對Wanna系列敲詐者木馬的辦法?
答:有效預防此次Wanna勒索病毒可通過以下行爲進行規避。
一是,臨時關閉端口。Windows用戶可以使用防火牆過濾個人電腦,並且臨時關閉135、137、445端口3389遠程登錄(如果不想關閉3389遠程登錄,至少也是關閉智能卡登錄功能),並注意更新安全產品進行防禦,儘量降低電腦受攻擊的風險。
二是,及時更新Windows已發佈的安全補丁。在3月MS17-010漏洞剛被爆出的時候,微軟已經針對Win7、Win10等系統在內提供了安全更新;此次事件爆發後,微軟也迅速對此前尚未提供官方支持的WindowsXP等系統發佈了特別補丁。
三是,利用“勒索病毒免疫工具”進行修復。用戶通過其他電腦下載騰訊電腦管家“勒索病毒免疫工具”離線版,並將文件拷貝至安全、無毒的U盤;再將指定電腦在關閉WiFi,拔掉網線,斷網狀態下開機,並儘快備份重要文件;然後通過U盤使用“勒索病毒免疫工具”離線版,進行一鍵修復漏洞;聯網即可正常使用電腦。
四是,利用“文件恢復工具”進行恢復。已經中了病毒的用戶,可以使用電腦管家-文件恢復工具進行文件恢復,有一定概率恢復您的文檔。
另外,企業網絡管理員可使用“管理員助手”檢測電腦設備安防情況。騰訊反病毒實驗室安全團隊經過技術攻關,於14日晚推出了針對易感的企業客戶推出了一個電腦管家“管理員助手”診斷工具。企業網絡管理員只要下載這一診斷工具,輸入目標電腦的IP或者設備名稱,即可診斷目標電腦是否存在被感染勒索病毒的漏洞;並可在診斷報告的指導下,對尚未打補丁的健康設備及時打補丁、佈置防禦。
問:騰訊電腦管家應對此類敲詐者木馬有什麼辦法?
答:針對於此次Wanna勒索病毒,騰訊電腦管家可提供漏洞防禦,主動攔截,文檔保護三層安全保護及文件鑑黑,同時緊急開發上線一系列工具協助用戶解決勒索病毒問題:
1.使用電腦管家-勒索病毒免疫工具,關閉漏洞端口並安裝系統補丁。
2.開啓電腦管家實時防護,啓用文檔守護者功能,預防變種攻擊。
3.已經中了病毒的用戶,可以使用電腦管家-文件恢復工具進行文件恢復,有一定概率恢復您的文檔。
4.針對企業網絡管理員,可以使用“管理員助手”檢測電腦設備安全防禦情況,進行漏洞診斷、補丁更新和佈置防禦。
問:目前網上流傳該木馬病毒作者已經放出密匙是否屬實?
答:同時由於該木馬加密使用AES加密文件,並使用非對稱加密算法RSA2048加密隨機密鑰,每個文件使用一個隨機密鑰,理論上不可破解。針對目前網上有傳該木馬病毒的作者放出密鑰,已證實爲謠言。實則是在公網環境中,由於病毒的開關機制被設置爲關閉模式暫時停止了傳播,但不排除作者製作新變種的可能。提醒廣大用切勿輕信謠言,以免造成更嚴重的損失。
問:無現金支付越來越普及的現在,這種病毒讓一些加油站、醫院都出現了支付癱瘓的情況,也暴露了現在無現金支付的脆弱性,從技術上來講,我們有哪些措施,才能保障支付終端的安全,讓無現金支付真正高枕無憂。
答:支付終端應該具有更高的安全性要求和保障,此次攻擊的是支撐支付終端的服務器系統,由於目前在很多企業WindowsServer服務器安全依賴防火牆安全策略,服務器系統日常運維應及時更新安全補丁、使用安全軟件加固服務器系統,同時支付前端可以採用安全硬件設備保證終端安全,重要數據做好容災和備份工作,同時作爲終端的使用和運維人員,也需要相應地提高安全意識。
問:此次勒索病毒蔓延全球,誰是贏家?病毒作者,比特幣,安全廠商?
答:目前最直接的贏家是病毒作者,也就是通過勒索獲取到比特幣資產的不法分子,有報道說黑客已在這次的病毒攻擊中獲利3.6萬美元。但實際上這場席捲全球的勒索病毒風波是一次網絡災難,對所有人都是一次巨大的打擊,沒有贏家。
被推上風口浪尖的比特幣經過此次事件,證交會批准比特幣ETF基金上市的概率又降低了,比特幣正式進入到主流金融市場,進一步坐實在美國的合法地位遙遙無期。與此同時,全面爆發的勒索病毒侵入用戶生活工作的方方面面,讓大家意識到了網絡病毒的威脅與嚴重後果。此役過後,相同手法的病毒攻擊將不會大規模出現。而安全廠商作爲守護用戶網絡安全的最後一道屏障更加談不上受益之說,面對複雜的網絡環境永遠是如履薄冰,不敢放鬆警惕。
目前,針對這次勒索病毒事件,各大安全廠商都已經推出相應解決方案,以騰訊電腦管家爲例,兩天之內連續發佈“勒索病毒免疫工具”“文件恢復工具”“文檔守護者”等工具,用戶可按照相關工具的使用說明保護電腦安全,避免自己的電腦感染勒索病毒。
