勒索软件来势汹汹,已蔓延至100多个国家和地区,我国一些高校遭遇攻击,西安市民也有中招。面对这种勒索软件,到底该怎么防怎么破?为此,记者采访了网络安全专家。
影响范围:
全球数万台电脑被感染
据报道,这种新型“蠕虫”式勒索病毒自5月12日起在全球范围内大面积传播,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染,我国部分高校内网、大型企业内网和政府机构专网遭受攻击。一旦勒索病毒发动攻击并攻击成功,损失几乎无法阻挡。被感染病毒电脑中的文件会被加密,需支付巨额赎金才能恢复数据,也可能会有支付了赎金却被骗的情况。
涉及开放445端口且没有及时安装MS17-010补丁的客户端和服务器系统都将可能面临此威胁。MS17-010漏洞主要影响Windows以下操作系统:Windows2000、2003、2008、2012、XP、Vista、7、8、10。
事件本质:
病毒利用系统漏洞远程控制
网络安全研究员袁伟介绍,这次勒索软件全球蔓延的最主要原因,首先是Windows系统出现了漏洞,导致黑客只要知道IP地址就可以“黑”了对方电脑。勒索软件恶意利用该漏洞,从而实现计算机远程控制。
该勒索软件是一个名为“WannaCry”的新家族,攻击者利用MS17-010漏洞,通过445端口发送预先设计好的网络数据包文,实现远程代码执行、复制传播。软件会发出指令,让被控制的计算机到指定地址下载勒索病毒,对用户的重要文档进行加密,从而进行勒索。这种勒索软件和木马、病毒一样,具有破坏性、扩散性。不同的是,一般病毒会尽可能隐蔽,但这种病毒是明目张胆勒索。
最新动态:
攻击可能会进一步加剧
据悉,国家网络与信息安全信息通报中心紧急通报:监测发现,WannaCry勒索病毒出现了变种:WannaCry2.0,与之前版本的不同是,这个变种取消了KillSwitch,传播速度可能会更快。
西安四叶草信息技术有限公司安全研究员余俊峰介绍,事态很严重,国家计算机病毒应急处理中心5月13日已发公告了,省公安厅13日专门邀请他们去开会商量对策。“这种恶意软件的原始版本留有一个域名控制开关,即KillSwitch,也就是说相关网站一旦开通,病毒就不发作了。这可能是恶意软件的作者为防止情况加剧到不可收拾专门设计的策略。但新的2.0版本已没有这个开关,所以攻击很可能会进一步加剧。除了个人电脑,高校、医院、银行ATM机、火车站系统也受到了它的攻击。”
余俊峰说,据他了解,目前江苏、浙江比较严重。由于这两天是周末,很多人没开电脑,我省的情况还不好说,周一上班攻击有可能加剧,公安部已为此发了公告。所以从周一上班开始,就有必要加强防范,建议所有单位的计算机技术部门都应尽快进行应对。
肆虐
这些企业机构都遭到攻击
除英国40多家医院外,法国雷诺集团13日表示,该集团也受到本轮网络攻击,已暂停法国境内多家工厂的生产工作。罗马尼亚最大的汽车制造企业、雷诺旗下的达契亚汽车厂当天也宣布,该厂因信息系统遭到勒索软件攻击而部分停产。
中国石油天然气集团公司14日发布消息称,12日晚其所属部分加油站受到勒索病毒波及,加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。为确保用户数据安全和防止病毒扩散,中石油紧急中断所有加油站上连网络端口,并会同有关网络安全专家连夜开展处置工作。截至14日中午,中石油80%以上加油站已经恢复网络连接,受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。据新华社
反应
微软向用户提供安全补丁
欧盟刑警组织已和多国合作,寻找犯罪嫌疑人
继全球多个国家12日遭受勒索软件攻击之后,因事态严重,美国微软公司当日宣布采取非同寻常的安防措施,针对攻击所利用的“视窗”操作系统漏洞,为一些它已停止服务的“视窗”平台提供补丁。
微软说,它已在今年3月发布了安全补丁,修复上述漏洞。但有些用户还在使用微软已不再提供技术支持的“视窗”版本,故不能获取微软在3月发布的补丁。鉴于用户可能受到的潜在影响,微软决定向这些“视窗”平台提供3月发布的补丁。
欧盟刑警组织下属的欧洲网络犯罪中心13日表示,此次勒索软件攻击的规模之大前所未有,需要通过复杂的国际调查寻找犯罪嫌疑人,欧盟刑警组织已和多国展开合作对此次攻击展开调查。据新华社
插曲
阻拦病毒传播的是他
英国媒体13日报道,英国一名年轻网络工程师“无意中”阻拦了勒索软件的疯狂传播。
这名22岁的英国网络工程师12日晚注意到,这一勒索软件正不断尝试进入一个极其特殊、尚不存在的网址,于是他顺手花8.5英镑(约合75元人民币)注册了这个域名,试图借此网址获取勒索软件的相关数据,了解传播范围。令人不可思议的是,此后勒索软件在全球的进一步蔓延竟然得到了阻拦。
他和同事分析,这个奇怪的网址很可能是勒索软件开发者为避免被网络安全人员捕获所设定的“检查站”,而注册网址的行为无意触发了程序自带的“自杀开关”。也就是说,勒索软件在每次发作前都要访问这个不存在的网址,如果网址继续不存在,说明勒索软件尚未引起安全人员注意,可以继续在网络上畅行无阻;而一旦网址存在,意味着软件有被拦截并分析的可能。在这种情况下,为避免被网络安全人员获得更多数据甚至反过来加以控制,勒索软件会停止传播。据新华社
防御
西安市网信办提醒:
防病毒 赶紧做好这些事
为防止勒索软件袭击,西安市网信办提醒市民,在网络边界、内部网络区域、主机资产、数据备份方面要做好相关工作,除再次提到应按照中国国家互联网应急中心发布的更新补丁、安装杀毒软件、不点开不明电子邮件、及时关闭计算机445端口及备份重要文件等5条“应急指南”处置外,还提到:
一、对内网长期未更新操作系统补丁的主机,要在专业技术人员帮助下安装补丁和防毒软件。
二、已感染病毒机器请立即断网,避免进一步传播感染。
三、加强对445等端口(其他关联端口如:135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为。
如果被攻击,试试这样挽救
如果已经被给恶意软件攻击,重要文档被加密该怎么办?网络安全研究员袁伟说,360已经公布了一个工具,有可能帮助用户修复被加密的数据。但能否恢复、恢复到什么程度都是未知的,因为勒索软件使用的有关加密算法目前还无法完全破解。如果已中病毒的资料没那么重要,只要格式化后重装系统就可以了,但需要注意的是重装系统后应尽快更新补丁并安装杀毒软件,避免二次感染。记者马虎振