摘要:据新华社报道,5月12日全球多个国家遭受一种勒索软件的攻击,不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起病毒攻击,受害者包括中国一些高校和英国多家医院。据报道,电脑被这种勒索软件感染后,其中文件会被加密锁住,支付黑客所要求赎金后才能解密恢复。据悉,勒索金额最高达5个比特币,目前价值人民币5万多元。
现状
国内多家校园网发通知提醒防范多地中石油加油站加油无法网络支付
5月12日23时,山东大学对校园网用户发布通知称,近期国内多所院校(包括我校部分单位)出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,该勒索软件是此前活跃的勒索软件Wallet的一类变种,运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。
5月13日凌晨,电子科技大学中山学院网络维护科发布通报称,近期国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。
据媒体报道,5月13日,全国多地包括北京、上海、重庆、成都等多城的部分中石油旗下加油站在今日0点左右突然断网,而因断网目前无法使用支付宝、微信等联网支付方式,只能使用现金。
中石油有关负责人表示,目前公司加油站的加油业务和现金支付业务正常运行,但是第三方支付无法使用,怀疑受到病毒攻击,具体情况还在核查处置中。
有可能通过445端口发起攻击的漏洞攻击工具。
用户文件被加密。安天公司供图
勒索攻击系蠕虫病毒黑客袭击已扩散到前所未有规模
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
综合CNVD技术组成员单位奇虎360公司、安天公司等单位已获知的样本情况和分析结果,该勒索软件在传播时基于445端口并利用SMB服务漏洞(MS17-010),总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而用户主机上的重要数据文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件,都被恶意加密且后缀名统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
从山东大学被感染机器的情况来看,一是操作系统、Office软件等没有采用正版软件,且漏洞、补丁更新不及时;二是不常用端口没有封闭;三是个人网络安全意识淡漠,没有定期备份文档的习惯。
德国之声报道,IT安全公司Kaspersky的专家雷夫(Costin Raiu)表示,至少发生了4.5万次攻击,分布在全球74个国家。安全公司Avast所估测的攻击数目更高,称在99个国家发生了7.5万次攻击。该公司的安全专家科瑞斯特金(Jakub Kroustek)说,目前攻击的重点是俄罗斯、乌克兰和中国台湾地区。
专家们表示,该勒索病毒传播很快。据Forcepoint Security Labs公司称,包含着该病毒的邮件以近每小时500万封的速度发出,所使用的是"Wanna Cry"("想哭")恶意软件(也被称作Wanna Decryptor)。
欧洲刑警组织称,此次勒索病毒的黑客网络袭击已扩散到前所未有的规模。
来源
美国国家安全局网络武器去年已失窃 黑客组织曾在网上叫卖
新华社13日援引俄罗斯网络安全企业卡巴斯基实验室发布的一份报告说,这次网络攻击所用的黑客工具“永恒之蓝”,来源于美国国家安全局的网络武器库。
今年4月14日,一个名为“影子中间人”的黑客组织曾经进入美国国家安全局(NSA)网络,曝光了该局一批档案文件,同时公开了该局旗下的“方程式黑客组织”使用的部分网络武器。据报道,其中包括可以远程攻破全球约70% “视窗”系统(Windows)机器的漏洞利用工具。经紧急验证这些工具真实有效。
据了解,这些曝光的文件包含了多个Windows“神洞”的利用工具,不需要用户任何操作,只要联网就可以远程攻击,和多年前的冲击波、震荡波、Conficker等蠕虫一样可以瞬间血洗互联网。
据美国有线电视新闻网(CNN)4月15日报道,公开这些网络武器正是这个名为“影子中间人”(Shadow Brokers)的黑客组织。报道称,这批网络武器针对安装有微软公司windows系统的电脑和服务器的安全漏洞,可能会被用于攻击全球银行系统。
实际上早在去年,“影子中间人”就已经窃取了美国国家安全局的网络武器。2016年8月13日,黑客组织“影子中间人”通过社交平台称,已攻入美国国家安全局(NSA)的网络“武器库”——“方程式组织”,并泄露了其中部分黑客工具和数据。
据CNN报道,该黑客组织曾经尝试在网络上出售这批网络武器,但是未能成功。据报道,该黑客组织曾经宣称如果他们收到100万个比特币(总价值约为5.68亿美元),就会公布所有工具和数据。
美国“截击”网站2016年8月19日证实,根据“棱镜门”事件曝光者、爱德华·斯诺登提供的最新文件,黑客组织此前称要在网上拍卖的强悍“网络武器”携带有美国国家安全局(NSA)的虚拟指纹,因此显然属于该局使用的黑客工具,其中不少可秘密攻击全球计算机。据报道,最重要的证据,来源于斯诺登最新提供的一份绝密文件——美国国家安全局“恶意软件植入操作手册”。
防范
国家互联网应急中心发布应急处置指南
今天下午,国家网络与信息安全信息通报中心紧急通报:2017年5月12日20时左右,新型“蠕虫”式勒索病毒爆发,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染,我国部分Windows系列操作系统用户已经遭到感染。请广大计算机用户尽快升级安装补丁,地址为:https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx
Windows 2003和XP没有官方补丁,相关用户可打开并启用Windows防火墙,进入“高级设置”,禁用“文件和打印机共享”设置;或启用个人防火墙关闭445以及135、137、138、139等高风险端口。
已感染病毒机器请立即断网,避免进一步传播感染。
简单地说,如何保护自己免遭此类敲诈软件的攻击?不妨试试以下五招:
1、备份自己的文件
遭受敲诈软件攻击最严重的用户往往会丢失文件,包括图片和文档等。保护自己免遭这些敲诈软件攻击的最好方法就是将设备中的各种信息和文件备份到一个单独的系统之中。理想的存储地方就是外接移动硬盘,这样的硬盘还不能与互联网连接。这就意味着,如果用户遭到敲诈软件的袭击,他也不会将任何信息泄露给黑客。
企业通常将他们的数据保存到外部服务器之中,因此,即使他们的主要网络受到攻击,他们的外部服务器也不会受到影响。
2、对电子邮件、网站和应用保持警惕
要想让敲诈软件发挥作用,黑客需要把恶意软件下载到受害者的电脑之中。然后再利用这些恶意软件发动攻击,进而解密获取的文件。
将软件安装到受害者设备上的最通常方法就借助网站上的钓鱼式电子邮件、恶意广告、以及各种有问题的应用和程序等进行。因此,用户在打开一些不知名的电子邮件或浏览他们不熟悉的网站时,应当保持警惕。用户千万不要下载那些未经官方商店认证的应用,在安装某个程序前应当仔细阅读相关评论。
3、使用防病毒程序
一项长久不衰的电脑安全小窍门——安装防病毒程序。防病毒程序能够阻止敲诈软件被安装到电脑中,而且还能够在这些敲诈软件发动黑客攻击时帮助用户及早发现这些攻击。
诸多防病毒程序能够扫描电脑中的各种文件,以查看这些文件是否感染敲诈软件。另外,防病毒程序还能够在用户浏览网页时阻止恶意广告秘密安装到电脑之中,并发现那些可能已经安装到用户电脑或设备上的恶意软件。
4、不断更新软件补丁
企业经常发布更新的软件补丁,以修补软件中的漏洞,从而避免这些漏洞被黑客用来安装敲诈软件。因此,建议用户坚持下载安装软件的最新补丁,并在补丁发布之初就立即下载安装。
5、永不支付赎金
建议那些遭遇敲诈软件攻击的受害者,永远不要向黑客支付赎金,否则就会助长了黑客的嚣张气焰,而且,即便支付了赎金,那些受感染的文件也不一定能够恢复正常。有一些程序可以帮助用户解密文件。当然,如果用户事先备份了文件,也就能够自然而然地将这些文件恢复到设备之中了。
(中国宁波网综合国家互联网应急中心、新华社、中新网、澎湃新闻、腾讯科技等)
