長江商報消息 已知最早的勒索病毒出現(xiàn)于1989年�����,名為“艾滋病信息木馬”(Trojan/DOS.AidsInfo)��,最近幾年隨著用戶使用終端方式的改變、比特幣等電子貨幣的發(fā)明和匿名通信網(wǎng)絡(luò)的興起�,勒索病毒的傳播、劫持和敲詐方式也發(fā)生了很大的變化��。
如今勒索病毒的攻擊范圍已經(jīng)涵蓋了Windows����、Mac、Android���、iOS和虛擬桌面���。如果已被感染的設(shè)備連接了企業(yè)的網(wǎng)絡(luò)共享存儲,那么共享存儲中的文件也可能會被加密���。攻擊目標涉及大型企業(yè)�、政府、銀行��、教育���、私營企業(yè)等所有類型的企業(yè)和個人��。
什么是勒索病毒���?
捆綁傳播發(fā)布:借助其他惡意軟件傳播渠道,與其他惡意軟件捆綁發(fā)布傳播�;或者捆綁正常的軟件進行傳播,比如最近發(fā)現(xiàn)的首個針對蘋果電腦的敲詐者病毒KeRanger就是通過Transmission下載網(wǎng)站捆綁在一些正常的軟件傳播�。
2、坑式攻擊:網(wǎng)絡(luò)罪犯會將惡意軟件植入到企業(yè)或個人經(jīng)常訪問的網(wǎng)站之中�����,一旦訪問了這些網(wǎng)站�����,惡意程序會利用設(shè)備上的漏洞對其進行感染���。
借助移動存儲傳播:借助U盤���、移動硬盤、閃存卡等可移動存儲介質(zhì)傳播��。
網(wǎng)絡(luò)釣魚和垃圾郵件:網(wǎng)絡(luò)罪犯通過偽造郵箱的方式向目標發(fā)送郵件����,這些郵件中會包含具有威脅的附件或在郵件正文中加入釣魚網(wǎng)址鏈接。
舊毒未去新毒又生
“永恒之藍”這一攻擊工具��,對于病毒發(fā)布者來說����,其技術(shù)難點在于:漏洞挖掘難度極高、漏洞利用水平極高�����、漏洞武器化水平極高�,只有高水平團隊投入大量資源才有可能實現(xiàn)。
而這一次���,“永恒之藍”所攻擊的445文件共享端口在企業(yè)內(nèi)網(wǎng)一般是開放的���,否則無法使用打印機等辦公應(yīng)用��,因此特別適合互聯(lián)網(wǎng)/局域網(wǎng)的蠕蟲式自動傳播����。
這也意味著�����,只要一臺機器感染���,就會成為攻擊源�����,并自動掃描攻擊其他有漏洞的電腦��,而這類無需用戶交互就能遠程攻擊的系統(tǒng)漏洞非常稀缺和罕見�����。
360首席安全工程師鄭文彬向長江商報記者介紹到���,永恒之藍使用的漏洞就是Windows操作系統(tǒng)的漏洞,而且是危害級別最高的系統(tǒng)漏洞�。永恒之藍利用的漏洞已經(jīng)在2017年3月修復(fù)����,現(xiàn)在不能稱為0day漏洞���,可以說是Nday漏洞。而互聯(lián)網(wǎng)上的攻擊��,大多是利用Nday漏洞實施的��。也就是漏洞已經(jīng)公開����,所有不法分子都可以利用,但總是會有用戶不打補丁�����。5月14日����,北京市委網(wǎng)信辦、北京市公安局���、北京市經(jīng)信委聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》�������!锻ㄖ分赋��,有關(guān)部門監(jiān)測發(fā)現(xiàn)����,WannaCry勒索蠕蟲出現(xiàn)了變種:WannaCry 2.0,與之前版本的不同是��,這個變種取消了所謂的Kill Switch����,不能通過注冊某個域名來關(guān)閉變種勒索蠕蟲的傳播。該變種的傳播速度可能會更快�,該變種的有關(guān)處置方法與之前版本相同,建議立即進行關(guān)注和處置���。
這個消息出現(xiàn)三天后��,中國國家計算機病毒應(yīng)急處理中心與亞信科技(中國)有限公司聯(lián)合監(jiān)測發(fā)現(xiàn)�����,一種名為"UIWIX"的勒索病毒新變種已在全球出現(xiàn)���。
據(jù)騰訊安全反病毒實驗室監(jiān)測發(fā)現(xiàn)�,新的勒索病毒UIWIX同樣通過“永恒之藍”漏洞(MS17-010)傳播��,病毒UIWIX感染后會將電腦上的文檔等類型文件加密而成�。UIWIX文件勒索比特幣,同時該病毒攻擊目標電腦后全程沒有文件落地��,更加難以防御��。
雖然舊病毒還未平息�,新變種病毒又接連襲來�,但伴隨著國產(chǎn)安全廠商的深入研究,已經(jīng)為用戶打造了一整套集漏洞免疫���、病毒查殺��、文件恢復(fù)的處置方式����,用戶對待勒索病毒不必太過驚慌��。
“安全廠商及時響應(yīng),控制惡意病毒傳播�����,是安全廠商的必備技能��。但我們并不希望公眾總是這樣手忙腳亂��。局域網(wǎng)用戶在網(wǎng)絡(luò)出口部署防火墻仍然可以攔截攻擊�,再有就是及時升級安全軟件��!鲍C豹移動安全專家李鐵軍在接受長江商報記者采訪時說道���。
防范病毒遠比事后補救更重要
在此次勒索病毒肆虐的事件中����,盡管早在3月14日微軟就已經(jīng)針對系統(tǒng)的這一漏洞發(fā)布了安全更新���,但是由于用戶或者因為并未升級到最新版本的操作系統(tǒng)����,或因未能進行自動更新,使得這一病毒的影響范圍和爆發(fā)速度在與同類病毒相比毫不遜色�����。
對此�����,獵豹移動安全專家李鐵軍在接受記者采訪時表示�,“我覺得這個這次事件影響那么大的主要原因是沒有打補丁的電腦仍然非常多,特別是對于組件有內(nèi)部網(wǎng)絡(luò)的局域網(wǎng)用戶�,本來他們應(yīng)該有自己的補丁管理系統(tǒng),但是從此次事件可以看到���,卻并未采用���!
面對這類大規(guī)模爆發(fā)的病毒����,李鐵軍認為�����,最佳的防御方式是及時安裝系統(tǒng)補丁,局域網(wǎng)用戶需要在網(wǎng)絡(luò)出口部署防火墻進行攔截攻擊����,終端用戶則需要及時對安全軟件進行升級。
360首席安全工程師鄭文彬在談到此次“想哭”勒索病毒對于機構(gòu)用戶影響更為嚴重的原因時談到���,“此次主要是一些不打補丁���、不使用安全軟件的單位內(nèi)部或?qū)S镁W(wǎng)絡(luò)感染情況相對嚴重,因為很多人對此存在誤區(qū)�,認為內(nèi)網(wǎng)隔離了就不會中毒,因此也放松了對網(wǎng)絡(luò)威脅的警惕���,這其實是錯誤的觀念�。如果邊界的設(shè)備被感染�,或者利用USB擺渡攻擊等方式,隔離內(nèi)網(wǎng)同樣會受到威脅�����,而且往往會比普通個人電腦更脆弱���������!
企業(yè)用戶五大防護措施
1����、不要輕易打開陌生人的郵件��,特別是主題和附件包含Payment��、Invoice字樣的郵件��;
2��、可以逐步部署云桌面����,實現(xiàn)集中維護,徹底避免此類攻擊���;
3、開啟安全軟件的實時防護功能和云安全查殺功能�����,并及時升級特征庫;
4���、開啟天擎針對敲詐者病毒開發(fā)的文檔保護功能�����,主動阻止惡意加密文檔和圖片的行為����;
5�、在天擎終端安全管理系統(tǒng)上開啟云QVM引擎能有效增強終端對敲詐者病毒的攔截和查殺。
6���、360天擎推出了敲詐先賠服務(wù)���。對于所有360天擎政企用戶,360企業(yè)安全承諾����,如果用戶在開啟了360天擎敲詐先賠功能后,仍感染了敲詐者病毒�����,360企業(yè)安全將負責(zé)賠付贖金,為政企用戶提供百萬先賠保障����。
責(zé)編:ZB
鄂公網(wǎng)安備 42010602000264號
