邯郸论文组

勒索病毒"永恒之蓝"席卷全球,高校成重灾区

学这学那2019-02-19 12:50:23

12 日晚上20 时左右,全球爆发大规模勒索软件感染事件,用户只要开机上网就可被攻击。短短五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。


  高校成重灾区,对于毕业还未答辩的同学影响巨大


此次病毒会将系统上的大量文件加密成以.onion为后缀的文件,如果要解密,则需要缴纳价值300美元的比特币。这是一种非常恶心的病毒,这种勒索病毒使用的是2048RSA加密,目前的计算机没有办法解密,暴力破解的时间可能要以百万年计或是等到量子计算机实用化。杀毒软件并不能解密这些加密后的文件,除了花钱没有其它办法恢复……


全国各地的高校是本次攻击的重要目标,勒索病毒正在大规模传播。如今,对于很多大学生来说,正直五月毕业季,也是中国千万大学生忙着毕业论文以及答辩事宜的时候,然而此次事件却让不少同学论文数据全丢,对于前期没有很好备份的同学,可能真的遇到麻烦。不得不感叹一句:还让不让人毕业了!

而对于部分企业单位,数据、文件是公司运作的命脉,此次被感染病毒,很多公司都不得已付出巨额资金拿回文件,公司损失巨大。试想,一个搞了一个月的项目,一份画了几周的底稿突然之间因为电脑病毒无法正常上交了,那是多么恐怖的事情!同时,国家的政府,医院等网络也被勒索病毒攻击,严重影响人们的生命财产安全。

 

  勒索病毒到底是什么东西?


这次事件是不法分子通过改造之前泄露的NSA(美国国安局)黑客武器库中永恒之蓝攻击程序发起的网络攻击事件。


这次的“永恒之蓝”勒索蠕虫,是NSA 网络军火民用化的全球第一例。一个月前,第四批NSA 相关网络攻击工具及文档被ShadowBrokers 组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。


恶意代码会扫描开放445 文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。


据360企业安全方面显示,由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。该安全事件被多家安全机构风险定级为“危急”。


目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5 万多元和2000 多元。


  勒索病毒的源头是什么?


事情就要追溯到2016年8月,一个名为“ShadowBrokers(影子经纪人)”的黑客组织号称入侵另一个黑客组织“Equation(方程式)”,并且窃取了大量机密文件。


那么这个方程式又是什么来头,为何值得另一个黑客组织大费周章去入侵呢?原来方程式黑客组织具有国家背景,据称是 NSA(美国国家安全局)下属的黑客组织,对于Windows系统漏洞有着深入的研究。


今年4月,影子经纪人将其中部分神器级0day漏洞黑客工具公开开放下载,至此互联网的噩梦才刚刚开始。同时自己还保留了部分漏洞工具,以公开拍卖的形式出售,预期的价格是100万比特币(可怕的100亿人民币)。


  那么,如何防范和解决勒索病毒呢?


对于大型企业、高校、政府网络安全管理方面,应尽快扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS07-010补丁,如没有安装则受威胁影响。Win7以下的WindowsXP/2003目前没有补丁,只要开启SMB服务就受影响。对于大型组织机构而言,面对成百上千台机器,必须使用集中管理的客户端,尤其如果之前没有做好安全防护措施的大型组织管理机构,处理起来十分棘手。


对于个人,如果已经感染勒索病毒,那么目前还没有比较完善的措施解决问题,如果没有重要的文件可以全盘格式化并在隔离外网的情况下重装系统。


对于未感染病毒的个人,应积极戒备!病毒如瘟疫,不排除未来子病毒的生成和传播!那么,我们应该采取什么样的防范措施呢,主要有以下几个步骤

(1)请立即使用U盘或者各类网盘将你的重要资料进行备份

(2)请立即关闭Windows系统的445端口,关闭方法如下:

打开控制面板---网络和共享中心---更改适配器设置---右键点击正在使用的网卡然后点击属性---取消勾选Microsoft网络文件和打印机共享---确定---重启系统

(3)请立即前往WindowsUpdate安装安全补丁,由于WindowsXP、WindowsVista、WindowsServer 2003等版本已经停止支持,因此可能没有安全更新可用(Vista版已经发布),所以请升级到Windows7系统

(4)另外需要保持警惕,不要访问可疑网站、不打开可疑邮件与文件


  “学这学那”一个好玩又可学的干货学习平台