勒索病毒
是一种新型电脑病毒,主要以邮件和恶链木马的形式进行传播。主要通过邮件附件、钓鱼邮件群发下载网址链接、用户在恶意站点下载病毒文件以及网页挂马后进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用系统内部的加密处理,而且是一种不可逆的加密,必须拿到解密的秘钥才有几率破解。
事件概述
WannaCry敲诈勒索病毒5月12日在全球爆发
2017年5月12日,全球爆发电脑勒索病毒WannaCry,波及150多个国家7.5万台电脑被感染,有99个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利等。我国多个行业网络同样受到WannaCry勒索病毒攻击,其中教育行业中的校园网受损尤为严重。通过分析发现,WannaCry 勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010。
虽然微软已在今年3月份发布了该漏洞的补丁。但是依然有大量用户未升级补丁,导致电脑或服务器中招。
新一轮勒索病毒“Petya”来袭,更具破坏性
2017年6月29日晚,新勒索病毒Petya,范围涵盖乌克兰、俄罗斯、西班牙、法国、英国、丹麦等国家。此病毒相比WannaCry更具破坏性。病毒对电脑的硬盘MFT进行了加密,并修改了MBR,让操作系统无法进入。相比此前,Petya更像是有目的性的攻击,而并非简单的敲诈勒索。2017年7月4日,乌克兰警方没收了该国一家会计软件公司的服务器,因为该公司涉嫌传播导致全球很多大公司电脑系统瘫痪的勒索病毒。
波及范围
国内
2017年5月12日晚,中国大陆部分高校学生反映电脑被病毒攻击,文档被加密。病毒疑似通过校园网传播。随后,山东大学、南昌大学、广西师范大学、东北财经大学等十几家高校发布通知,提醒师生注意防范。除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。
中石油所属部分加油站运行受到波及。5月13日,包括北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在当天凌晨突然断网,因断网无法刷银行卡及使用网络支付,只能使用现金,加油站加油业务正常运行。
截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。
2017年5月15日,珠海市公积金中心下发了《关于5月15日暂停办理住房公积金业务的紧急通知》,为有效应对Windows操作系统敲诈者病毒在互联网和政企专网大面积蔓延,对住房公积金业务数据和服务终端资料可能造成的安全威胁,珠海市住房公积金管理中心决定加固升级内外网络,暂停办理所有住房公积金业务。
国外
俄罗斯:内政部称约1000台Windows计算机遭到攻击,但表示这些计算机已经从该部门计算机网络上被隔离。
英国:2017年5月13日,全球多地爆发“WannaCry”勒索病毒,受影响的包括英国16家医院(截止北京时间5月13日5点)。
朝鲜:在这大范围的攻击下逃过一劫,守住了一方净土。
日本:日本警察厅当天表示在该国国内确认了2起,分别为某综合医院和个人电脑感染病毒,并未造成财产损失。尚不清楚日本的案例是否包含在这150个国家中。
病毒详解
WannaCry
勒索病毒近两年的爆发,很大程度上与加密算法的日益完善有关。密码学及算法的不断更新保证了我们日常网络中数据传输和保存的安全性。遗憾的是,勒索病毒的作者也利用了这个特性,使得我们虽然知道了木马的算法,但由于不知道作者使用的密钥,也就没有办法恢复被恶意加密的文件。
加密算法通常分为对称加密算法和非对称加密算法两大类。这两类算法在勒索病毒中都被使用过。
对称加密算法的加密和解密使用的是完全相同的密钥,特点是运算速度较快,但是单独使用此类算法时,密钥必须使用某种方法与服务器进行交换,在这个过程中存在被记录和泄漏的风险。勒索病毒常用的对称加密算法包括AES算法和RC4算法。
非对称加密算法也被称为公钥加密算法,它可以使用公开的密钥对信息进行加密,而只有私钥的所有者才可以解密,因此只要分发公钥并保存好私钥,就可以保证加密后的数据不被破解。与对称加密相比,非对称加密算法的运算速度通常较慢。勒索病毒常用的非对称加密算法包括RSA算法和ECC算法。
通常,勒索病毒会将这两大类加密算法结合起来使用,既可以迅速完成对整个电脑大量文件的加密,又能保证作者手中的私钥不被泄漏。
Petya
Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播,达到快速传播的目的。有国外安全研究人员认为,Petya勒索病毒变种会通过邮箱附件传播,利用携带漏洞的DOC文档进行攻击。中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。
传播途径
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,利用系统内部的加密处理,是一种不可逆的加密,除了病毒开发者本人,其他人是不可能解密的。加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以js、wsf、vbe等类型为主,隐蔽性极强,对常规依靠特征检测的安全产品是一个极大的挑战。
应对方法
不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;
升级深信服NGAF到最新的防病毒等安全特征库;
升级企业防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。
我的简短评价
我与勒索病毒
这次勒索事件算是我自己亲身经历过的一次安全事件,虽然我的电脑并没有中招哈哈挺幸运的,但是从网上可以了解到很多大学的学生特别是毕业生中招了,还有一些公共场所的设备等等。但是看到新闻感觉还是有点震惊和恐慌的,震惊的是这种病毒传播速度之快,危害性之强,恐慌的是我怕自己的电脑也会不幸。后来了解到微软已经发布漏洞补丁,只要及时升级电脑就能免幸,幸运的是自己有及时升级系统,并且通过新闻知道此次病毒威胁比较大的危险端口为135、136、445等,于是手动把这些端口关闭了。
事件经历后我的反思
- 明白了备份的重要性
- 要及时升级系统补丁
- 使用杀毒软件查杀预防
从我国角度事件评价
- 国民网络安全意识还是较为薄弱。勒索病毒并不陌生,这几年也频繁出现,然而这次勒索病毒却联合微软SMB漏洞在全球网络制造出核弹级的网络攻击风波。究其原因,是大家对漏洞认知较少,也不清楚是否需要防护,该如何去防护,没有网络安全意识,缺乏有效防范病毒手段,更不用说处理杀毒等进阶操作了。所以我们要重视安全,防范风险。
- 尽管我国已经建立了网络安全应急管理机制和管理体系,但仍旧缺乏有效的应急技术手段。即便是大型机构也存在明显死角,应急措施无法有效执行。在发生“永恒之蓝”勒索蠕虫之类的大型攻击事件时,国家应急机构由于不具备统一的网络终端安全管理能力,无法汇集一线情况,基本上处于“闭着眼睛指挥作战”的状况,因而无力进行集中式应急管理和响应处置。
- 网络安全建设投入严重不足。一直以来,我国在网络建设上存在着重业务应用、轻安全防护的现象。我国网络安全投资占整体信息化建设经费的比例不足1%,和美国(15%)、欧洲(10%)等成熟市场存在巨大差距。
- 网络安全防护观念落后。本次事件反映出,部分行业单位网络安全防护缺乏体系化的规划和建设,导致安全产品堆砌、安全防护失衡。传统安全防护观无法解决新技术带来的安全风险,有必要转变观念,与专业化网络安全公司合作,建立新型安全体系。