詳解|NSA “永恆之藍”勒索蠕蟲爆發,開機即可被勒索到底怎麼回事(內附解決辦法及預防措施)
本文作者:雷鋒網網絡安全專欄作者,李勤
5 月 12 日晚上 20 時左右,全球爆發大規模勒索軟件感染事件,用户只要開機上網就可被攻擊。五個小時內,包括英國、俄羅斯、整個歐洲以及國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金(有的需要比特幣)才能解密恢復文件,這場攻擊甚至造成了教學系統癱瘓,包括校園一卡通系統。
[來源:中國之聲]
攻擊次數高,勒索金額大
據雷鋒網了解,這次事件是不法分子通過改造之前泄露的 NSA 黑客武器庫中“永恆之藍”攻擊程序發起的網絡攻擊事件。
這次的“永恆之藍”勒索蠕蟲,是 NSA 網絡軍火民用化的全球第一例。一個月前,第四批 NSA 相關網絡攻擊工具及文檔被 Shadow Brokers 組織公佈,包含了涉及多個 Windows 系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中就包括“永恆之藍”攻擊程序。
惡意代碼會掃描開放 445 文件共享端口的 Windows 機器,無需用户任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
目前,“永恆之藍”傳播的勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁盤文件會被篡改為相應的後綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復。這兩類勒索病毒,勒索金額分別是5個比特幣和300美元,摺合人民幣分別為 5 萬多元和 2000 多元。
安全專家還發現,ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播,形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒“大禮包”,專門選擇高性能服務器挖礦牟利,對普通電腦則會加密文件敲詐錢財,最大化地壓榨受害機器的經濟價值。
沒有關閉的 445 端口“引狼入室”
據360企業安全方面5月13日早晨提供給雷鋒網(公眾號:雷鋒網)的一份公告顯示,由於以前國內多次爆發利用445端口傳播的蠕蟲,部分運營商在主幹網絡上封禁了445端口,但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁,仍然存在大量暴露445端口且存在漏洞的電腦,導致目前蠕蟲的泛濫。
因此,該安全事件被多家安全機構風險定級為“危急”。
雷鋒網尚未獲得中國範圍內具體 445 端口開放的機器數量。但是,雷鋒網了解到,國內首先出現的是ONION病毒,平均每小時攻擊約200次,夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊,並在中國的校園網迅速擴散,夜間高峰期每小時攻擊約4000次。
大型企業、高校、政府網絡安全管理方面可以趕快測定是否受到了影響:
個人可自行判定電腦是否打開了 445 端口。
不過,在對360 企業安全資深專家汪列軍的採訪中,雷鋒網了解到,目前 90 %未關閉的 445 端口集中在中國台灣和香港地區,大陸地區雖然佔比很少,但基數很大。雖然,在2008年遭受類似的蠕蟲攻擊後,運營商已經封閉了大多數445端口,但是很多類似於教育網、大型企業內網等相對獨立的網絡沒有自動關閉 445端口,所以影響範圍很大。
汪列軍判定,該攻擊已經肆虐到了全世界多個國家和地區,這種大規模的勒索攻擊十分罕見,他昨晚甚至在通宵加班,緊急處理該問題。
雷鋒網發現,多家安全公司都進行了緊急處理,在今晨5、6點左右開始對外發布緊急通知。
最恐怖的一點在於,對裝載Win7及以上版本的操作系統的電腦而言,目前微軟已發佈補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞,可以立即電腦安裝此補丁。汪列軍説,對個人電腦,可能可以自行學習及裝載,但是對於大型組織機構而言,面對成百上千台機器,必須使用集中管理的客户端,尤其如果大型組織管理機構之前沒有做好安全防護措施,處理起來十分棘手。
之前提到,有兩個勒索家族出現,汪列軍認為,不排除該勒索蠕蟲出現了多個變種。
不法分子是將此前公佈的“永恆之藍”攻擊程序改裝後進行的攻擊。汪列軍解析,可以理解為該NSA攻擊工具內核沒變,但是不法分子改變了其“載核”,加上了勒索攻擊的一系列調動工具,由於該NSA攻擊工具可以被公開下載,不排除可有多個不法分子改裝該工具發動勒索襲擊。
應急處理辦法
以下為360企業安全提供給雷鋒網的一份處理辦法建議:
網絡層面
目前利用漏洞進行攻擊傳播的蠕蟲開始氾濫,強烈建議網絡管理員在網絡邊界的防火牆上阻斷 445 端口的訪問,如果邊界上有 IPS 和 360 新一代智慧防火牆之類的設備,請升級設備的檢測規則到最新版本並設置相應漏洞攻擊的阻斷,直到確認網內的電腦已經安裝了MS07-010補丁或關閉了Server服務。
終端層面
暫時關閉Server服務。
檢查系統是否開啟Server服務:
1、打開 開始 按鈕,點擊 運行,輸入cmd,點擊確定
2、輸入命令:netstat -an 回車
3、查看結果中是否還有445端口
如果發現445端口開放,需要關閉Server服務,以Win7系統為例,操作步驟如下:
點擊 開始 按鈕,在搜索框中輸入 cmd ,右鍵點擊菜單上面出現的cmd圖標,選擇 以管理員身份運行 ,在出來的 cmd 窗口中執行 “net stop server”命令,會話如下圖:
感染處理
對於已經感染勒索蠕蟲的機器建議隔離處置。
根治方法
對於Win7及以上版本的操作系統,目前微軟已發佈補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞,請立即電腦安裝此補丁。出於基於權限最小化的安全實踐,建議用户關閉並非必需使用的Server服務,操作方法見 應急處置方法 節。
對於Windows XP、2003等微軟已不再提供安全更新的機器,推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞,並關閉受到漏洞影響的端口,以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe 。這些老操作系統的機器建議加入淘汰替換隊列,儘快進行升級。
恢復階段
建議針對重要業務系統立即進行數據備份,針對重要業務終端進行系統鏡像,製作足夠的系統恢復盤或者設備進行替換。
此外,已有安全廠商發佈了預防處理類產品,大家自行搜索一下吧!
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
作者/編輯:李勤
5 月 12 日晚上 20 時左右,全球爆發大規模勒索軟件感染事件,用户只要開機上網就可被攻擊。五個小時內,包括英國、俄羅斯、整個歐洲以及國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金(有的需要比特幣)才能解密恢復文件,這場攻擊甚至造成了教學系統癱瘓,包括校園一卡通系統。
[來源:中國之聲]
攻擊次數高,勒索金額大
據雷鋒網了解,這次事件是不法分子通過改造之前泄露的 NSA 黑客武器庫中“永恆之藍”攻擊程序發起的網絡攻擊事件。
這次的“永恆之藍”勒索蠕蟲,是 NSA 網絡軍火民用化的全球第一例。一個月前,第四批 NSA 相關網絡攻擊工具及文檔被 Shadow Brokers 組織公佈,包含了涉及多個 Windows 系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中就包括“永恆之藍”攻擊程序。
惡意代碼會掃描開放 445 文件共享端口的 Windows 機器,無需用户任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
目前,“永恆之藍”傳播的勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁盤文件會被篡改為相應的後綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復。這兩類勒索病毒,勒索金額分別是5個比特幣和300美元,摺合人民幣分別為 5 萬多元和 2000 多元。
安全專家還發現,ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播,形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒“大禮包”,專門選擇高性能服務器挖礦牟利,對普通電腦則會加密文件敲詐錢財,最大化地壓榨受害機器的經濟價值。
沒有關閉的 445 端口“引狼入室”
據360企業安全方面5月13日早晨提供給雷鋒網(公眾號:雷鋒網)的一份公告顯示,由於以前國內多次爆發利用445端口傳播的蠕蟲,部分運營商在主幹網絡上封禁了445端口,但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁,仍然存在大量暴露445端口且存在漏洞的電腦,導致目前蠕蟲的泛濫。
因此,該安全事件被多家安全機構風險定級為“危急”。
雷鋒網尚未獲得中國範圍內具體 445 端口開放的機器數量。但是,雷鋒網了解到,國內首先出現的是ONION病毒,平均每小時攻擊約200次,夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊,並在中國的校園網迅速擴散,夜間高峰期每小時攻擊約4000次。
大型企業、高校、政府網絡安全管理方面可以趕快測定是否受到了影響:
引用掃描內網,發現所有開放445 SMB服務端口的終端和服務器,對於Win7及以上版本的系統確認是否安裝了MS07-010補丁,如沒有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒有補丁,只要開啟SMB服務就受影響。
個人可自行判定電腦是否打開了 445 端口。
不過,在對360 企業安全資深專家汪列軍的採訪中,雷鋒網了解到,目前 90 %未關閉的 445 端口集中在中國台灣和香港地區,大陸地區雖然佔比很少,但基數很大。雖然,在2008年遭受類似的蠕蟲攻擊後,運營商已經封閉了大多數445端口,但是很多類似於教育網、大型企業內網等相對獨立的網絡沒有自動關閉 445端口,所以影響範圍很大。
汪列軍判定,該攻擊已經肆虐到了全世界多個國家和地區,這種大規模的勒索攻擊十分罕見,他昨晚甚至在通宵加班,緊急處理該問題。
雷鋒網發現,多家安全公司都進行了緊急處理,在今晨5、6點左右開始對外發布緊急通知。
最恐怖的一點在於,對裝載Win7及以上版本的操作系統的電腦而言,目前微軟已發佈補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞,可以立即電腦安裝此補丁。汪列軍説,對個人電腦,可能可以自行學習及裝載,但是對於大型組織機構而言,面對成百上千台機器,必須使用集中管理的客户端,尤其如果大型組織管理機構之前沒有做好安全防護措施,處理起來十分棘手。
之前提到,有兩個勒索家族出現,汪列軍認為,不排除該勒索蠕蟲出現了多個變種。
不法分子是將此前公佈的“永恆之藍”攻擊程序改裝後進行的攻擊。汪列軍解析,可以理解為該NSA攻擊工具內核沒變,但是不法分子改變了其“載核”,加上了勒索攻擊的一系列調動工具,由於該NSA攻擊工具可以被公開下載,不排除可有多個不法分子改裝該工具發動勒索襲擊。
應急處理辦法
以下為360企業安全提供給雷鋒網的一份處理辦法建議:
網絡層面
目前利用漏洞進行攻擊傳播的蠕蟲開始氾濫,強烈建議網絡管理員在網絡邊界的防火牆上阻斷 445 端口的訪問,如果邊界上有 IPS 和 360 新一代智慧防火牆之類的設備,請升級設備的檢測規則到最新版本並設置相應漏洞攻擊的阻斷,直到確認網內的電腦已經安裝了MS07-010補丁或關閉了Server服務。
終端層面
暫時關閉Server服務。
檢查系統是否開啟Server服務:
1、打開 開始 按鈕,點擊 運行,輸入cmd,點擊確定
2、輸入命令:netstat -an 回車
3、查看結果中是否還有445端口
如果發現445端口開放,需要關閉Server服務,以Win7系統為例,操作步驟如下:
點擊 開始 按鈕,在搜索框中輸入 cmd ,右鍵點擊菜單上面出現的cmd圖標,選擇 以管理員身份運行 ,在出來的 cmd 窗口中執行 “net stop server”命令,會話如下圖:
感染處理
對於已經感染勒索蠕蟲的機器建議隔離處置。
根治方法
對於Win7及以上版本的操作系統,目前微軟已發佈補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞,請立即電腦安裝此補丁。出於基於權限最小化的安全實踐,建議用户關閉並非必需使用的Server服務,操作方法見 應急處置方法 節。
對於Windows XP、2003等微軟已不再提供安全更新的機器,推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞,並關閉受到漏洞影響的端口,以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe 。這些老操作系統的機器建議加入淘汰替換隊列,儘快進行升級。
恢復階段
建議針對重要業務系統立即進行數據備份,針對重要業務終端進行系統鏡像,製作足夠的系統恢復盤或者設備進行替換。
此外,已有安全廠商發佈了預防處理類產品,大家自行搜索一下吧!
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
作者/編輯:李勤