安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 业界资讯 > WannaCry病毒或被终止 神奇域名如开关

WannaCry病毒或被终止 神奇域名如开关

时间:2017-05-14来源:未知 作者:安云网点击:
据腾讯科技,5月13日,席卷全球的勒索病毒WannaCry(也被称作WanaCrypt或WCry),在今日晚间被互联网安全人员找到阻止其传播的方法。 据北京云纵信息技术有限公司首席科学家研发副总裁郑昀透露的信息,5月12日席卷全球的WannaCrypt(永

//安云网咨询系统


//本文来自安云网

  据腾讯科技,5月13日,席卷全球的勒索病毒WannaCry(也被称作WanaCrypt或WCry),在今日晚间被互联网安全人员找到阻止其传播的方法。

//内容来自AnYun.ORG

  据北京云纵信息技术有限公司首席科学家&研发副总裁郑昀透露的信息,5月12日席卷全球的WannaCrypt(永恒之蓝)勒索蠕虫攻击已经停下攻击的脚步。原因是安全人员分析了其行为,发现病毒会尝试对一个 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的域名执行HTTP GET操作,如果DNS解析失败,它会继续进行感染操作,然而,如果解析成功(意味着某个人注册了该域名,按下了战争停止按钮),该程序将会结束。

//安云网咨询系统

  “所以一位安全小哥注册了该域名。这个事件从头到尾都像是一部电影,开始的离奇,结束的诡异。” //安云网咨询系统

  这一消息得到猎豹移动安全专家李铁军的证实,李铁军介绍,根据猎豹研发人员目前掌握的信息,他们猜测之所以出现这种情况,可能源于病毒作者担心病毒无何止传播,因此设定了一个停止条件。该域名注册的最大意义在于,随着安全人员注册了该域名后,局域网管理者对网络进行主动设置,可以阻止病毒在局域网内进行传播。

//安云网咨询系统

  据安天实验室介绍,这个域名相当于一个停止开关,中招的机器软件在发作前如果能访问到这个域名,会不发作;但是发作后的已经受到影响,内网机器由于访问不到会继续发作,因为其他原因访问不到的这个域名的也会继续发作。

//内容来自AnYun.ORG

  但目前病毒作者为何设置了这一停止条件依然未知,另外注册了域名阻止病毒传播的安全人员来自国外。

//本文来自安云网

  据腾讯安全反病毒实验室的分析,此次勒索事件与以往相比最大的特点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。

//内容来自安云网

  MS17-010漏洞指的是,攻击者利用该漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但是在中国高校内,同学之间为了打局域网游戏,有时需要关闭防火墙,这也是此次事件在中国高校内大肆传播的原因。 //ANYUN.ORG

  对于如何防范的问题,腾讯安全反病毒实验室介绍,利用Windows系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。 //内容来自安云网

  先前报道+ //ANYUN.ORG

  腾讯科技据《连线》杂志报道,新一波勒索软件攻击正在全球范围内迅速传播,导致了英国国家医疗服务体系(NHS)多家医院的危机,并在西班牙造成大范围影响。西班牙电信、天然气公司Gas Natural,以及电力公司Iberdrola均未能幸免。 //安云网,anyun.org

  这一勒索软件被称作WannaCry(也被称作WanaCrypt0r或WCry),似乎是3月底时曾经出现过的勒索软件的变种。截至本文发稿时,新版本勒索软件已波及了至少74个国家的数万台计算机。受影响地区包括俄罗斯、中国、法国和日本等。 //安云网咨询系统

  WannaCry的爆发为何如此猛烈?这一恶意软件似乎利用了Windows中被称作“EternalBlue”(永恒之蓝)的漏洞,而该漏洞的发现者据称是美国国家安全局(NSA)。一家名为Shadow Brokers的组织上月发布了多款来自NSA的黑客工具,其中就包含针对该漏洞的工具。微软已于今年3月通过MS17-010补丁修复了该漏洞。不过很明显,许多组织并未及时安装补丁。 //安云网咨询系统

  作为最初版本WannaCry的发现方,Malwarebytes恶意软件情报总监亚当·库加瓦(Adam Kujawa)表示:“传播非常猛烈。我从未见过这样的传播。”

//安云网,anyun.org

  医院成为攻击目标

//ANYUN.ORG

  勒索软件会感染用户的计算机、锁定系统(通常会给硬盘数据加密),随后要求用户支付赎金换取解密密钥,而赎金通常会要求通过比特币形式来支付。在此次攻击事件中,NHS的计算机和电话系统遭遇了大规模攻击,系统出现故障,多家医院的计算机都弹出消息,要求用户支付300美元比特币的赎金来解锁计算机。

//ANYUN.ORG

  由于周五的攻击事件,伦敦和英格兰北部的多家医院、诊所和医疗机构都取消了非急诊服务,切换至备份流程。英格兰多家医院的急诊室都发出通知,希望病人在非必要情况下不要前来就诊。不过到目前为止,攻击尚未造成病人数据的泄露。

//copyright AnYun.ORG

  在英格兰,NHS表示,正在对这起攻击事件进行调查,并采取应对措施。英国媒体报道称,医院工作人员被告知关闭计算机和IT网络服务。另一些受害者,例如西班牙电信,也在采取类似的防范措施,包括告知员工关闭受感染的计算机。 //copyright AnYun.ORG

  医院常常会成为勒索软件攻击的目标,因为医院必须尽快为病人恢复服务。因此,医院也更有可能向犯罪分子支付赎金,使系统尽快恢复正常。此外,医院的系统在攻击时往往也更简单。 //ANYUN.ORG

  医疗信息管理系统协会隐私和信息安全负责人李·金(Lee Kim)表示:“在医疗和相关行业,我们在解决这些漏洞时动作非常慢。” //内容来自安云网

  WannaCry并非仅仅瞄准NHS。NHS在声明中表示:“此次攻击并非特别瞄准NHS,而是影响了多个行业的许多机构。我们专注于为受影响机构提供支持,迅速而果断地管理好这起事故。”

//本文来自安云网

  从某种方式来看,这导致情况更糟糕。WannaCry并非仅仅瞄准医院,而是瞄准了所有一切可能的计算机。这意味着,在好转之前,情况还会进一步恶化。

//copyright AnYun.ORG

  波及更多行业 //内容来自AnYun.ORG

  NHS遭到的攻击最引人关注,因为这导致了病人的生命安全面临风险。不过,WannaCry可能会继续扩大攻击范围,因为这利用了许多计算机系统中的漏洞。微软于两个月前发布了该漏洞的补丁,但很多计算机尚未安装。消费级设备安装补丁的情况可能较好,因此Malwarebytes的库加瓦表示,WannaCry主要将给企业基础设施带来危险。

//ANYUN.ORG

  WannaCry的开发者似乎希望这款恶意软件能广泛传播。MalwarebytesHunterTeam组织研究员MalwareHunter表示,除了利用来自Shadow Borkers的Windows漏洞之外,这一勒索软件还可能使用了更多的漏洞。该组织发现了第二代的WannaCry。此外,软件可以支持27种语言。如果攻击者只希望瞄准某家医院或银行,或是某个单一国家,那么原本不必如此麻烦。

//安云网咨询系统

  从微观角度来看,情况同样糟糕。在WannaCry进入某一网络后,可以迅速传播至同一网络的其他计算机。最大化给企业和其他机构造成破坏,这是勒索软件通常的特征之一。到目前为止,尚不清楚此次攻击发源于何处,因此在更大范围内应对攻击也变得更难。信息安全分析师将利用受害者信息,判断攻击者最初从何处下手(例如钓鱼、恶意广告,或是更个性化的有目标攻击),从而追踪恶意软件的起源。 //内容来自AnYun.ORG

  对于已受影响的计算机用户来说,各种保护措施为时已晚(对他们来说,问题是是否要支付赎金)。不过,对于尚未遭到攻击的用户来说,至少可以采取一项措施:尽快安装微软的补丁。由于这是服务器级别的补丁,因此用户也可以求助最近的系统管理员。

//内容来自安云网

  MalwareHunter表示:“我会说,此次攻击非常成功,因为用户和企业没有及时给系统打补丁。”

//copyright AnYun.ORG

  在补丁全面安装之前,预计WannaCry还将继续传播。 //copyright AnYun.ORG


//安云网咨询系统

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容