大规模的网络攻击袭击了全世界的计算机。这种高度有毒力的自我复制勒索软件(称为WanaCryptor,Wannacry或Wcry)在某种程度上已经利用了一个名为“影子经纪人"的黑客组织在上个月发布的国家安全局(NSA)漏洞。
据反病毒开发商Avast称,勒索软件已经感染了至少100,000台计算机。大规模攻击主要针对俄罗斯,乌克兰和台湾,但已蔓延至至少99个其他国家的主要机构。除了索要300美元(在撰写本文时,比特币的价格约为0.17比特币)之外,这种感染还因其采用多种语言的手段来保护赎金而引人注目:该恶意软件支持两种以上的语言。
继续吗?
WanaCryptor正在造成大规模的,几乎前所未有的破坏。勒索软件正在影响银行,医院,电信,电力公用事业和其他关键任务基础设施。
仅在英国,至少有40个NHS(国家卫生服务)信托基金宣布出现紧急情况,从而迫使重要的注销
-Ollie Cowan(@Ollie_Cowan),2017年5月12日
WanaCryptor于2017年2月首次出现。勒索软件的初始版本将受影响的文件扩展名更改为“ .WNCRY",并使用字符串“ WANACRY!"标记每个文件。
WanaCryptor 2.0正在使用与Equation Group相关的漏洞在计算机之间迅速传播。 ,这是与NSA密切相关的黑客团体(有传言称是其内部“肮脏"黑客团体)。尊敬的安全研究人员Kafeine确认更新版本中可能包含被称为ETERNALBLUE或MS17-010的漏洞。
-Kafeine(@kafeine),2017年5月12日
此勒索软件爆发与您可能已经看到的(我希望没有经验)有所不同。 WanaCryptor 2.0将泄漏的SMB(服务器消息块,Windows网络文件共享协议)漏洞利用与自我复制的有效负载结合在一起,使勒索软件可以从一台易受攻击的计算机传播到另一台计算机。这种勒索蠕虫可以消除通常的勒索软件传递方式,即通过受感染的电子邮件,链接或其他方式进行勒索软件传播。找出……考虑到此攻击似乎是针对性的,它可能是由于网络防御中的漏洞,也可能是由于精心设计的鱼叉式网络钓鱼攻击。无论如何,它都通过使用EternalBlue漏洞在受感染的网络中传播,从而感染了其他未打补丁的系统。"
WanaCryptor还利用了另一个泄漏的NSA漏洞DOUBLEPULSAR。这是一个后门,用于远程注入和运行恶意代码。感染程序会扫描先前感染了后门程序的主机,并在找到后使用现有功能安装WanaCryptor。如果主机系统没有现有的DOUBLEPULSAR后门,则该恶意软件会还原为ETERNALBLUE SMB漏洞。
关键安全更新
NSA黑客工具大量泄漏全球的头条新闻。国家安全局收集和存储未发布的零日漏洞以供自己使用的即时且无与伦比的证据就在那里。正如我们现在所看到的那样,这构成了巨大的安全风险。
幸运的是,在影子经纪人的大规模武器级漏洞利用工具成为头条新闻之前,Microsoft在3月修补了Eternalblue漏洞利用器。鉴于攻击的性质,我们知道这种特定的利用正在发挥作用以及感染的迅速性质,似乎很多组织都无法安装该关键更新,因为该更新已发布两个多月。 p>
最终,受影响的组织将要承担责任。但是手指应该指向哪里?在这种情况下,有足够的责任要分享:国家安全局(NSA)储存危险的零日漏洞利用程序,使用泄漏的漏洞利用程序更新WanaCryptor的恶意因素,无视重要安全更新的众多组织以及仍在使用Windows XP的组织。
人们可能已经死了,因为组织发现升级其主要操作系统的负担简直令人吃惊。
Microsoft立即发布了Windows Server 2003,Windows 8的重要安全更新。和Windows XP。
-微软(@Microsoft),2017年5月13日
我面临风险吗?
WanaCryptor 2.0像野火一样扩散。从某种意义上说,安全行业之外的人们已经忘记了蠕虫的迅速传播,并可能引起它的恐慌。在这个高度互联的时代,再加上加密勒索软件,恶意软件供应商成了一个可怕的赢家。
您有风险吗?幸运的是,在美国醒来并进行计算的一天之前,MalwareTechBlog在恶意软件代码中发现了一个隐藏开关,从而减少了感染的传播。
该隐藏开关涉及到非常恶意软件发出的冗长的荒谬域名-iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。
-ScarewareTech(@MalwareTechBlog)2017年5月13日
如果请求重新生效(即接受)要求),则恶意软件不会感染计算机。不幸的是,这对已经感染的人没有帮助。 MalwareTechBlog背后的安全研究人员注册了该地址,以便通过他们的请求来跟踪新感染,但没有意识到这是紧急停止开关。
-Darien Huss(@darienhuss),2017年5月12日
不幸的是,存在勒索软件的其他变体,每个变体都有自己的kill-switch(或视情况而定完全没有)。
也可以通过禁用SMBv1来缓解漏洞。 。 Microsoft提供了有关如何在Windows和Windows Server上执行此操作的详尽教程。在Windows 10上,可以通过按 Windows键+ X ,选择 PowerShell(Admin)并粘贴以下代码来快速实现:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
SMB1是旧协议。较新的版本不容易受到WanaCryptor 2.0变体的攻击。<
此外,如果您的系统已正常更新,则您不太可能感受到这种特定感染的直接影响。就是说,如果您取消了NHS约会,银行付款出现问题,或者重要的包裹未能到达,那么您将受到影响。
明智的做法是,补丁程序无法利用总是做这份工作。 Conficker,有人吗?
接下来会发生什么?
在英国,WanaCryptor 2.0最初被描述为对NHS的直接攻击。这已经打折了。但是问题仍然在于,成千上万的人由于恶意软件而遭受直接破坏。
该恶意软件具有攻击的特征,并具有意想不到的严重后果。网络安全专家阿夫扎尔·阿什拉夫(Afzal Ashraf)博士对英国广播公司说:“他们可能袭击了一家小公司,并假设他们会得到少量钱,但它进入了国家医疗服务系统(NHS),现在他们拥有国家对他们的全部权力-因为显然,政府负担不起这种事情的发生和成功。"
当然,不仅仅是NHS。在西班牙, El Mundo 报告说,西班牙电信有85%的计算机受到该蠕虫的影响。 Fedex承认他们,葡萄牙电信和俄罗斯的MegaFon都受到了影响。
创建了两个比特币地址(此处和此处)以接收赎金,现在其中包含42个交易的9.21 BTC(在撰写本文时约为16,000美元) 。就是说,证实了“意外后果"理论的是,缺乏比特币支付提供的系统识别。
-BleepingComputer(@BleepinComputer)2017年5月12日
那又怎样?接下来会发生什么?清理过程开始,受影响的组织计算其财务和数据损失。此外,受影响的组织将对他们的安全实践进行长期认真的研究,并且-我真正地,真正地希望-进行更新,而将陈旧且现在危险的Windows XP操作系统抛在后面。
我们希望。
您是否直接受到WanaCryptor 2.0的影响?您丢失了数据,还是取消了约会?您认为政府应该强制执行关键任务基础架构升级吗?请在下面告诉我们您的WanaCryptor 2.0体验,如果我们帮助您,请分享给我们。
图片来源:我通过Shutterstock.com所做的一切<