金山安全中心:永恒之蓝病毒是一次勒索+远程执行漏洞的蠕虫式传播病毒

22

昨日起,一种 Onion、WNCRY 两类敲诈者病毒变种在全国大范围内出现爆发态势。感染已迅速扩至全球范围内,企业和医疗机构可能蒙受的损失以及后患引人关注。

本轮敲诈者蠕虫病毒传播主要包括 Onion、WNCRY 两大家族变种,本次感染事件首先在英国、俄罗斯等多个国家爆发,新闻报道有多家企业、医疗机构的系统中招,损失非常惨重。安全机构全球监测已经发现目前多达 74 个国家遭遇本次敲诈者蠕虫攻击。从 5 月 12 日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。

14946432133649Byz
本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局 (NSA) 黑客工具包中的“永恒之蓝”漏洞 (微软 3 月份已经发布补丁,漏洞号:MS17-010)。和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过 445 端口直接远程攻击目标主机,传播感染速度非常快。

虽然国内部分网络运营商已经屏蔽掉个人用户的 445 网络端口,但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标,对于企业来说尤其严重,一旦内部的关键服务器系统遭遇攻击,带来的损失不可估量。


图为全球范围内目前早已病毒入侵状况

图为航空机场告示牌收到病毒感染

部分加油站设施同样没能幸免

从目前检测到反馈情况看,国内多个高校都集中爆发了感染传播事件,甚至包括机场航班信息、加油站等终端系统遭受影响,预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。

中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。WNCRY 变种一般勒索价值 300~600 美金的比特币,而 onion 变种甚至要求用户支付 3 个比特币,以目前的比特币行情,折合人民币在 3 万左右。此类病毒一般使用 RSA 等非对称算法,没有私钥就无法解密文件。WNCRY 敲诈者病毒要求用户在 3 天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。从某种意义上来说这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。

与以往不同的是,此类新变种添加了 NSA 黑客工具包中的“永恒之蓝”0day 漏洞利用,通过 445 端口 (文件共享) 在内网进行蠕虫式感染传播,没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染, 所以目前感染用户主要集中在企业、高校等内网环境下。一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密并勒索高额的比特币赎金 (折合人民币 2000~50000 不等)。

目前全网已经有数万用户感染,QQ、微博等社交平台上也是哀鸿遍野,所以本次敲诈者病毒传播感染的后续威胁不容小觑。敲诈勒索病毒+远程执行漏洞的蠕虫式传播,这样的组合极大增强了本次病毒安全威胁的程度,对近期国内的网络安全形势都是一次严峻考验。

下面给出针对本次敲诈者蠕虫的安全防御方案、传播分析、以及其他安全建议,尽力让用户规避或减少遭遇敲诈勒索的风险——专家建议易感电脑群应该立即采取以下步骤——
33

1、安装安全杀毒软件,保持安全防御功能开启,推荐下载安装金山毒霸,我们已经在第一时间对该蠕虫病毒进行查杀防御。

2、升级系统补丁,打开控制面板,启动 Windows 自动更新,安装操作系统补丁。针对这次勒索病毒传播,还可以直接访问以下地址,下载安装针对 NSA 泄漏漏洞的安全补丁。https://technet.microsoft.com/zh-cn/library/security/MS17-010

3、谨慎打开不明邮件文档,禁用 office 宏,钓鱼邮件是勒索病毒传播的一个重要渠道。

4、关闭用户共享和 445 端口。

5、及时备份个人重要文件。

6、安装金山毒霸,我们安全团队已经在第一时间真对该敲诈者蠕虫病毒加强了查杀防御措施。保持毒霸防御开启,即可拦截此次的敲诈者蠕虫攻击。

目前已经有少量用户开始向病毒作者支付勒索赎金,据悉病毒作者已经收到 19 个用户的比特币赎金,累计 3.58 个比特币,市值约人民币 4 万元。