WannaCry病毒或被终止 神奇域名如开关

  • A+
所属分类:业界关注

  据腾讯科技,5月13日,席卷全球的勒索病毒WannaCry(也被称作WanaCrypt或WCry),在今日晚间被互联网安全人员找到阻止其传播的方法。

  据北京云纵信息技术有限公司首席科学家&研发副总裁郑昀透露的信息,5月12日席卷全球的WannaCrypt(永恒之蓝)勒索蠕虫攻击已经停下攻击的脚步。原因是安全人员分析了其行为,发现病毒会尝试对一个
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的域名执行HTTP
GET操作,如果DNS解析失败,它会继续进行感染操作,然而,如果解析成功(意味着某个人注册了该域名,按下了战争停止按钮),该程序将会结束。

  “所以一位安全小哥注册了该域名。这个事件从头到尾都像是一部电影,开始的离奇,结束的诡异。”

  这一消息得到猎豹移动安全专家李铁军的证实,李铁军介绍,根据猎豹研发人员目前掌握的信息,他们猜测之所以出现这种情况,可能源于病毒作者担心病毒无何止传播,因此设定了一个停止条件。该域名注册的最大意义在于,随着安全人员注册了该域名后,局域网管理者对网络进行主动设置,可以阻止病毒在局域网内进行传播。

  据安天实验室介绍,这个域名相当于一个停止开关,中招的机器软件在发作前如果能访问到这个域名,会不发作;但是发作后的已经受到影响,内网机器由于访问不到会继续发作,因为其他原因访问不到的这个域名的也会继续发作。

  但目前病毒作者为何设置了这一停止条件依然未知,另外注册了域名阻止病毒传播的安全人员来自国外。

  据腾讯安全反病毒实验室的分析,此次勒索事件与以往相比最大的特点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。

  MS17-010漏洞指的是,攻击者利用该漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但是在中国高校内,同学之间为了打局域网游戏,有时需要关闭防火墙,这也是此次事件在中国高校内大肆传播的原因。

  对于如何防范的问题,腾讯安全反病毒实验室介绍,利用Windows系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。

  先前报道+

  腾讯科技据《连线》杂志报道,新一波勒索软件攻击正在全球范围内迅速传播,导致了英国国家医疗服务体系(NHS)多家医院的危机,并在西班牙造成大范围影响。西班牙电信、天然气公司Gas Natural,以及电力公司Iberdrola均未能幸免。

  这一勒索软件被称作WannaCry(也被称作WanaCrypt0r或WCry),似乎是3月底时曾经出现过的勒索软件的变种。截至本文发稿时,新版本勒索软件已波及了至少74个国家的数万台计算机。受影响地区包括俄罗斯、中国、法国和日本等。

  WannaCry的爆发为何如此猛烈?这一恶意软件似乎利用了Windows中被称作“EternalBlue”(永恒之蓝)的漏洞,而该漏洞的发现者据称是美国国家安全局(NSA)。一家名为Shadow

Brokers的组织上月发布了多款来自NSA的黑客工具,其中就包含针对该漏洞的工具。微软已于今年3月通过MS17-010补丁修复了该漏洞。不过很明显,许多组织并未及时安装补丁。

  作为最初版本WannaCry的发现方,Malwarebytes恶意软件情报总监亚当·库加瓦(Adam Kujawa)表示:“传播非常猛烈。我从未见过这样的传播。”

  医院成为攻击目标

  勒索软件会感染用户的计算机、锁定系统(通常会给硬盘数据加密),随后要求用户支付赎金换取解密密钥,而赎金通常会要求通过比特币形式来支付。在此次攻击事件中,NHS的计算机和电话系统遭遇了大规模攻击,系统出现故障,多家医院的计算机都弹出消息,要求用户支付300美元比特币的赎金来解锁计算机。

  由于周五的攻击事件,伦敦和英格兰北部的多家医院、诊所和医疗机构都取消了非急诊服务,切换至备份流程。英格兰多家医院的急诊室都发出通知,希望病人在非必要情况下不要前来就诊。不过到目前为止,攻击尚未造成病人数据的泄露。

  在英格兰,NHS表示,正在对这起攻击事件进行调查,并采取应对措施。英国媒体报道称,医院工作人员被告知关闭计算机和IT网络服务。另一些受害者,例如西班牙电信,也在采取类似的防范措施,包括告知员工关闭受感染的计算机。

  医院常常会成为勒索软件攻击的目标,因为医院必须尽快为病人恢复服务。因此,医院也更有可能向犯罪分子支付赎金,使系统尽快恢复正常。此外,医院的系统在攻击时往往也更简单。

  医疗信息管理系统协会隐私和信息安全负责人李·金(Lee Kim)表示:“在医疗和相关行业,我们在解决这些漏洞时动作非常慢。”

  WannaCry并非仅仅瞄准NHS。NHS在声明中表示:“此次攻击并非特别瞄准NHS,而是影响了多个行业的许多机构。我们专注于为受影响机构提供支持,迅速而果断地管理好这起事故。”

  从某种方式来看,这导致情况更糟糕。WannaCry并非仅仅瞄准医院,而是瞄准了所有一切可能的计算机。这意味着,在好转之前,情况还会进一步恶化。

  波及更多行业

  NHS遭到的攻击最引人关注,因为这导致了病人的生命安全面临风险。不过,WannaCry可能会继续扩大攻击范围,因为这利用了许多计算机系统中的漏洞。微软于两个月前发布了该漏洞的补丁,但很多计算机尚未安装。消费级设备安装补丁的情况可能较好,因此Malwarebytes的库加瓦表示,WannaCry主要将给企业基础设施带来危险。

  WannaCry的开发者似乎希望这款恶意软件能广泛传播。MalwarebytesHunterTeam组织研究员MalwareHunter表示,除了利用来自Shadow

Borkers的Windows漏洞之外,这一勒索软件还可能使用了更多的漏洞。该组织发现了第二代的WannaCry。此外,软件可以支持27种语言。如果攻击者只希望瞄准某家医院或银行,或是某个单一国家,那么原本不必如此麻烦。

  从微观角度来看,情况同样糟糕。在WannaCry进入某一网络后,可以迅速传播至同一网络的其他计算机。最大化给企业和其他机构造成破坏,这是勒索软件通常的特征之一。到目前为止,尚不清楚此次攻击发源于何处,因此在更大范围内应对攻击也变得更难。信息安全分析师将利用受害者信息,判断攻击者最初从何处下手(例如钓鱼、恶意广告,或是更个性化的有目标攻击),从而追踪恶意软件的起源。

  对于已受影响的计算机用户来说,各种保护措施为时已晚(对他们来说,问题是是否要支付赎金)。不过,对于尚未遭到攻击的用户来说,至少可以采取一项措施:尽快安装微软的补丁。由于这是服务器级别的补丁,因此用户也可以求助最近的系统管理员。

  MalwareHunter表示:“我会说,此次攻击非常成功,因为用户和企业没有及时给系统打补丁。”

  在补丁全面安装之前,预计WannaCry还将继续传播。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: