长江商报消息 已知最早的勒索病毒出现于1989年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo),最近几年随着用户使用终端方式的改变、比特币等电子货币的发明和匿名通信网络的兴起,勒索病毒的传播、劫持和敲诈方式也发生了很大的变化。
如今勒索病毒的攻击范围已经涵盖了Windows、Mac、Android、iOS和虚拟桌面。如果已被感染的设备连接了企业的网络共享存储,那么共享存储中的文件也可能会被加密。攻击目标涉及大型企业、政府、银行、教育、私营企业等所有类型的企业和个人。
什么是勒索病毒?
捆绑传播发布:借助其他恶意软件传播渠道,与其他恶意软件捆绑发布传播;或者捆绑正常的软件进行传播,比如最近发现的首个针对苹果电脑的敲诈者病毒KeRanger就是通过Transmission下载网站捆绑在一些正常的软件传播。
2、坑式攻击:网络罪犯会将恶意软件植入到企业或个人经常访问的网站之中,一旦访问了这些网站,恶意程序会利用设备上的漏洞对其进行感染。
借助移动存储传播:借助U盘、移动硬盘、闪存卡等可移动存储介质传播。
网络钓鱼和垃圾邮件:网络罪犯通过伪造邮箱的方式向目标发送邮件,这些邮件中会包含具有威胁的附件或在邮件正文中加入钓鱼网址链接。
旧毒未去新毒又生
“永恒之蓝”这一攻击工具,对于病毒发布者来说,其技术难点在于:漏洞挖掘难度极高、漏洞利用水平极高、漏洞武器化水平极高,只有高水平团队投入大量资源才有可能实现。
而这一次,“永恒之蓝”所攻击的445文件共享端口在企业内网一般是开放的,否则无法使用打印机等办公应用,因此特别适合互联网/局域网的蠕虫式自动传播。
这也意味着,只要一台机器感染,就会成为攻击源,并自动扫描攻击其他有漏洞的电脑,而这类无需用户交互就能远程攻击的系统漏洞非常稀缺和罕见。
360首席安全工程师郑文彬向长江商报记者介绍到,永恒之蓝使用的漏洞就是Windows操作系统的漏洞,而且是危害级别最高的系统漏洞。永恒之蓝利用的漏洞已经在2017年3月修复,现在不能称为0day漏洞,可以说是Nday漏洞。而互联网上的攻击,大多是利用Nday漏洞实施的。也就是漏洞已经公开,所有不法分子都可以利用,但总是会有用户不打补丁。5月14日,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
这个消息出现三天后,中国国家计算机病毒应急处理中心与亚信科技(中国)有限公司联合监测发现,一种名为"UIWIX"的勒索病毒新变种已在全球出现。
据腾讯安全反病毒实验室监测发现,新的勒索病毒UIWIX同样通过“永恒之蓝”漏洞(MS17-010)传播,病毒UIWIX感染后会将电脑上的文档等类型文件加密而成。UIWIX文件勒索比特币,同时该病毒攻击目标电脑后全程没有文件落地,更加难以防御。
虽然旧病毒还未平息,新变种病毒又接连袭来,但伴随着国产安全厂商的深入研究,已经为用户打造了一整套集漏洞免疫、病毒查杀、文件恢复的处置方式,用户对待勒索病毒不必太过惊慌。
“安全厂商及时响应,控制恶意病毒传播,是安全厂商的必备技能。但我们并不希望公众总是这样手忙脚乱。局域网用户在网络出口部署防火墙仍然可以拦截攻击,再有就是及时升级安全软件。”猎豹移动安全专家李铁军在接受长江商报记者采访时说道。
防范病毒远比事后补救更重要
在此次勒索病毒肆虐的事件中,尽管早在3月14日微软就已经针对系统的这一漏洞发布了安全更新,但是由于用户或者因为并未升级到最新版本的操作系统,或因未能进行自动更新,使得这一病毒的影响范围和爆发速度在与同类病毒相比毫不逊色。
对此,猎豹移动安全专家李铁军在接受记者采访时表示,“我觉得这个这次事件影响那么大的主要原因是没有打补丁的电脑仍然非常多,特别是对于组件有内部网络的局域网用户,本来他们应该有自己的补丁管理系统,但是从此次事件可以看到,却并未采用。”
面对这类大规模爆发的病毒,李铁军认为,最佳的防御方式是及时安装系统补丁,局域网用户需要在网络出口部署防火墙进行拦截攻击,终端用户则需要及时对安全软件进行升级。
360首席安全工程师郑文彬在谈到此次“想哭”勒索病毒对于机构用户影响更为严重的原因时谈到,“此次主要是一些不打补丁、不使用安全软件的单位内部或专用网络感染情况相对严重,因为很多人对此存在误区,认为内网隔离了就不会中毒,因此也放松了对网络威胁的警惕,这其实是错误的观念。如果边界的设备被感染,或者利用USB摆渡攻击等方式,隔离内网同样会受到威胁,而且往往会比普通个人电脑更脆弱。”
企业用户五大防护措施
1、不要轻易打开陌生人的邮件,特别是主题和附件包含Payment、Invoice字样的邮件;
2、可以逐步部署云桌面,实现集中维护,彻底避免此类攻击;
3、开启安全软件的实时防护功能和云安全查杀功能,并及时升级特征库;
4、开启天擎针对敲诈者病毒开发的文档保护功能,主动阻止恶意加密文档和图片的行为;
5、在天擎终端安全管理系统上开启云QVM引擎能有效增强终端对敲诈者病毒的拦截和查杀。
6、360天擎推出了敲诈先赔服务。对于所有360天擎政企用户,360企业安全承诺,如果用户在开启了360天擎敲诈先赔功能后,仍感染了敲诈者病毒,360企业安全将负责赔付赎金,为政企用户提供百万先赔保障。
责编:ZB
鄂公网安备 42010602000264号
公共信息安
全网络监察
经营性网站
备案信息
