5月12日开始,一种名为“WannaCry”的勒索病毒在全球范围内大规模爆发,我国教育、银行、交通等多个行业也遭受不同程度影响。

这种勒索病毒到底是何方神圣,为何具有如此大的杀伤力,腾讯电脑管家安全团队在回复人民网酷玩科技时,给出了目前最全面的技术解答。

1、这次的敲诈者木马主要影响了哪些地区、单位或用户?

答:敲诈者木马是全球很多地方爆发的一种软件勒索病毒,只有缴纳高额赎金(比特币)才能解密资料和数据,英国多家医院中招,病人的资料受到外泄威胁,同时俄罗斯,意大利,整个欧洲都受到不同程度的威胁。5月12日晚上20时左右,中国的校园网、机场、银行、加油站、医院、警察、出入境等事业单位开始大规模爆发,众多学生、机构电脑被感染。

2、有人说这个病毒是来自于美国安全部门,是黑客从美国安全部门的网络攻击武器库里偷出来的,这是真的吗?

答:根据从“影子经纪人”公布的相关文件进行代码逆向分析与代码同源性分析,发现NSA经常使用这些武器从事网络间谍活动,此次病毒发行者也是利用了去年被盗的NSA自主设计的Windows系统黑客工具Eternal Blue“永恒之蓝”。

 

3、这个影响较大的敲诈者木马主要表现形式是什么?

答:此次的敲诈者木马是一个名称为“WannaCry”的新家族,该木马通过加密形式,锁定用户电脑里的txt、doc、ppt、xls等后缀名类型的文档,导致用户无法正常使用程序,从而进行勒索,要求用户提交赎金之后才解锁。

4、Wanna系列敲诈者木马和以往的敲诈者木马有哪些不同?为什么此次的传播速度这么快?

答:敲诈者木马本身没什么不一样,但是Wana系列敲诈者木马的传播渠道是利用了445端口传播扩散的SMB漏洞MS17-101,微软在17年3月发布了该漏洞的补丁。2017年4月,黑客组织Shadow Brokers公布的Equation Group(方程式组织)使用的“网络军火库”中包含了该漏洞的利用程序,而该勒索软件的攻击者或者攻击组织就是在借鉴了“网络军火库”后进行了这次全球大规模的攻击,主要影响校园网,医院、事业单位等内网用户。

 

5、为何这个病毒蔓延的如此之快,从技术上来说,有什么新的特征值得关注?

答:此次攻击利用的是Windows系统的445端口,而445端口常用于局域网之间共享文件或者打印机,感染病毒主机通过扫描局域网内主机进行相关攻击,由于未更新安全补丁同时开启445端口主机过多,病毒同时在失陷主机植入木马程序,再次攻击感染新的有漏洞主机,导致在局域网内传播感染速度非常之快。

6、WannaCry 勒索病毒之前就出现过,但为何会在这个时间点出现大面积的爆发,有什么内幕吗?

答:去年8月份,名为“影子经纪人”(The Shadow Brokers) 的神秘黑客组织通过社交平台宣称,他们攻击了一个有美国国家安全局(NSA)背景的黑客组织“方程式组织”,将NSA 用于大规模监控和情报活动的网络武器和文件公布在Github、Tumblr和PastBin 等互联网平台上,文件内容涉及大量的网络武器和文件,包括命令和控制中心(C&C)服务器的安装脚本、配置文件,以及针对一些知名网络设备制造商的路由器和防火墙等产品的网络武器。本次感染急剧爆发的主要原因在于其传播过程中使用了其工具包中的“永恒之蓝”漏洞,微软公司今年3月份已经发布补丁,漏洞编号MS17-010, 由于该次攻击使用常用的445端口进行攻击,如果相关企事业单位未对使用Windows系统主机更新相关补丁程序,就会导致病毒大范围在局域网内传播,出现典型的短时间内爆发式攻击。

 

7、为什么校园网用户容易中招?

答:由各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。

此外,如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但中国高校内,一些同学为了打局域网游戏,有时需要关闭防火墙,也是此次事件在中国高校内大肆传播的另一原因。

8、Wanna系列敲诈者木马有哪些危害?被攻击以后怎么解锁?

答:Wanna系列敲诈者木马的危害主要表现为电脑的所有文档被加密,用户需要支付高额赎金才能解密。目前,被敲诈者木马上锁的电脑均无法解锁,但可以尝试使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复文档。

 

9、目前有哪些应对Wanna系列敲诈者木马的办法?

答:有效预防此次Wanna勒索病毒可通过以下行为进行规避。

一是,临时关闭端口。Windows用户可以使用防火墙过滤个人电脑,并且临时关闭135、137、445端口3389远程登录(如果不想关闭3389远程登录,至少也是关闭智能卡登录功能),并注意更新安全产品进行防御,尽量降低电脑受攻击的风险。

二是,及时更新 Windows已发布的安全补丁。在3月MS17-010漏洞刚被爆出的时候,微软已经针对Win7、Win10等系统在内提供了安全更新;此次事件爆发后,微软也迅速对此前尚未提供官方支持的Windows XP等系统发布了特别补丁。

三是,利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版,并将文件拷贝至安全、无毒的U盘;再将指定电脑在关闭WiFi,拔掉网线,断网状态下开机,并尽快备份重要文件;然后通过U盘使用“勒索病毒免疫工具”离线版,进行一键修复漏洞;联网即可正常使用电脑。

四是,利用“文件恢复工具”进行恢复。已经中了病毒的用户,可以使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复您的文档。

另外,企业网络管理员可使用“管理员助手”检测电脑设备安防情况。腾讯反病毒实验室安全团队经过技术攻关,于14日晚推出了针对易感的企业客户推出了一个电脑管家“管理员助手”诊断工具。企业网络管理员只要下载这一诊断工具,输入目标电脑的IP或者设备名称,即可诊断目标电脑是否存在被感染勒索病毒的漏洞;并可在诊断报告的指导下,对尚未打补丁的健康设备及时打补丁、布置防御。

10、目前网上流传该木马病毒作者已经放出密匙是否属实?

答:同时由于该木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。针对目前网上有传该木马病毒的作者放出密钥,已证实为谣言。实则是在公网环境中,由于病毒的开关机制被设置为关闭模式暂时停止了传播,但不排除作者制作新变种的可能。提醒广大用切勿轻信谣言,以免造成更严重的损失。

 

11、无现金支付越来越普及的现在,这种病毒让一些加油站、医院都出现了支付瘫痪的情况,也暴露了现在无现金支付的脆弱性,从技术上来讲,我们有哪些措施,才能保障支付终端的安全,让无现金支付真正高枕无忧。

答:支付终端应该具有更高的安全性要求和保障,此次攻击的是支撑支付终端的服务器系统,由于目前在很多企业Windows Server服务器安全依赖防火墙安全策略,服务器系统日常运维应及时更新安全补丁、使用安全软件加固服务器系统,同时支付前端可以采用安全硬件设备保证终端安全,重要数据做好容灾和备份工作,同时作为终端的使用和运维人员,也需要相应地提高安全意识。

12、此次勒索病毒蔓延全球,谁是赢家?病毒作者,比特币,安全厂商?

答:目前最直接的赢家是病毒作者,也就是通过勒索获取到比特币资产的不法分子,有报道说黑客已在这次的病毒攻击中获利3.6万美元。但实际上这场席卷全球的勒索病毒风波是一次网络灾难,对所有人都是一次巨大的打击,没有赢家。

被推上风口浪尖的比特币经过此次事件,证交会批准比特币ETF基金上市的概率又降低了,比特币正式进入到主流金融市场,进一步坐实在美国的合法地位遥遥无期。与此同时,全面爆发的勒索病毒侵入用户生活工作的方方面面,让大家意识到了网络病毒的威胁与严重后果。此役过后,相同手法的病毒攻击将不会大规模出现。而安全厂商作为守护用户网络安全的最后一道屏障更加谈不上受益之说,面对复杂的网络环境永远是如履薄冰,不敢放松警惕。

目前,针对这次勒索病毒事件,各大安全厂商都已经推出相应解决方案,以腾讯电脑管家为例,两天之内连续发布“勒索病毒免疫工具”“文件恢复工具”“文档守护者”等工具,用户可按照相关工具的使用说明保护电脑安全,避免自己的电脑感染勒索病毒。

酷玩科技:看懂“勒索病毒”前生后世 谁是幕后赢家?

图文简介