長江商報消息 已知最早的勒索病毒出現于1989年,名為“艾滋病信息木馬”(Trojan/DOS.AidsInfo),最近幾年隨著用戶使用終端方式的改變、比特幣等電子貨幣的發明和匿名通信網絡的興起,勒索病毒的傳播、劫持和敲詐方式也發生了很大的變化。
如今勒索病毒的攻擊范圍已經涵蓋了Windows、Mac、Android、iOS和虛擬桌面。如果已被感染的設備連接了企業的網絡共享存儲,那么共享存儲中的文件也可能會被加密。攻擊目標涉及大型企業、政府、銀行、教育、私營企業等所有類型的企業和個人。
什么是勒索病毒?
捆綁傳播發布:借助其他惡意軟件傳播渠道,與其他惡意軟件捆綁發布傳播;或者捆綁正常的軟件進行傳播,比如最近發現的首個針對蘋果電腦的敲詐者病毒KeRanger就是通過Transmission下載網站捆綁在一些正常的軟件傳播。
2、坑式攻擊:網絡罪犯會將惡意軟件植入到企業或個人經常訪問的網站之中,一旦訪問了這些網站,惡意程序會利用設備上的漏洞對其進行感染。
借助移動存儲傳播:借助U盤、移動硬盤、閃存卡等可移動存儲介質傳播。
網絡釣魚和垃圾郵件:網絡罪犯通過偽造郵箱的方式向目標發送郵件,這些郵件中會包含具有威脅的附件或在郵件正文中加入釣魚網址鏈接。
舊毒未去新毒又生
“永恒之藍”這一攻擊工具,對于病毒發布者來說,其技術難點在于:漏洞挖掘難度極高、漏洞利用水平極高、漏洞武器化水平極高,只有高水平團隊投入大量資源才有可能實現。
而這一次,“永恒之藍”所攻擊的445文件共享端口在企業內網一般是開放的,否則無法使用打印機等辦公應用,因此特別適合互聯網/局域網的蠕蟲式自動傳播。
這也意味著,只要一臺機器感染,就會成為攻擊源,并自動掃描攻擊其他有漏洞的電腦,而這類無需用戶交互就能遠程攻擊的系統漏洞非常稀缺和罕見。
360首席安全工程師鄭文彬向長江商報記者介紹到,永恒之藍使用的漏洞就是Windows操作系統的漏洞,而且是危害級別最高的系統漏洞。永恒之藍利用的漏洞已經在2017年3月修復,現在不能稱為0day漏洞,可以說是Nday漏洞。而互聯網上的攻擊,大多是利用Nday漏洞實施的。也就是漏洞已經公開,所有不法分子都可以利用,但總是會有用戶不打補丁。5月14日,北京市委網信辦、北京市公安局、北京市經信委聯合發出《關于WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。《通知》指出,有關部門監測發現,WannaCry勒索蠕蟲出現了變種:WannaCry 2.0,與之前版本的不同是,這個變種取消了所謂的Kill Switch,不能通過注冊某個域名來關閉變種勒索蠕蟲的傳播。該變種的傳播速度可能會更快,該變種的有關處置方法與之前版本相同,建議立即進行關注和處置。
這個消息出現三天后,中國國家計算機病毒應急處理中心與亞信科技(中國)有限公司聯合監測發現,一種名為"UIWIX"的勒索病毒新變種已在全球出現。
據騰訊安全反病毒實驗室監測發現,新的勒索病毒UIWIX同樣通過“永恒之藍”漏洞(MS17-010)傳播,病毒UIWIX感染后會將電腦上的文檔等類型文件加密而成。UIWIX文件勒索比特幣,同時該病毒攻擊目標電腦后全程沒有文件落地,更加難以防御。
雖然舊病毒還未平息,新變種病毒又接連襲來,但伴隨著國產安全廠商的深入研究,已經為用戶打造了一整套集漏洞免疫、病毒查殺、文件恢復的處置方式,用戶對待勒索病毒不必太過驚慌。
“安全廠商及時響應,控制惡意病毒傳播,是安全廠商的必備技能。但我們并不希望公眾總是這樣手忙腳亂。局域網用戶在網絡出口部署防火墻仍然可以攔截攻擊,再有就是及時升級安全軟件。”獵豹移動安全專家李鐵軍在接受長江商報記者采訪時說道。
防范病毒遠比事后補救更重要
在此次勒索病毒肆虐的事件中,盡管早在3月14日微軟就已經針對系統的這一漏洞發布了安全更新,但是由于用戶或者因為并未升級到最新版本的操作系統,或因未能進行自動更新,使得這一病毒的影響范圍和爆發速度在與同類病毒相比毫不遜色。
對此,獵豹移動安全專家李鐵軍在接受記者采訪時表示,“我覺得這個這次事件影響那么大的主要原因是沒有打補丁的電腦仍然非常多,特別是對于組件有內部網絡的局域網用戶,本來他們應該有自己的補丁管理系統,但是從此次事件可以看到,卻并未采用。”
面對這類大規模爆發的病毒,李鐵軍認為,最佳的防御方式是及時安裝系統補丁,局域網用戶需要在網絡出口部署防火墻進行攔截攻擊,終端用戶則需要及時對安全軟件進行升級。
360首席安全工程師鄭文彬在談到此次“想哭”勒索病毒對于機構用戶影響更為嚴重的原因時談到,“此次主要是一些不打補丁、不使用安全軟件的單位內部或專用網絡感染情況相對嚴重,因為很多人對此存在誤區,認為內網隔離了就不會中毒,因此也放松了對網絡威脅的警惕,這其實是錯誤的觀念。如果邊界的設備被感染,或者利用USB擺渡攻擊等方式,隔離內網同樣會受到威脅,而且往往會比普通個人電腦更脆弱。”
企業用戶五大防護措施
1、不要輕易打開陌生人的郵件,特別是主題和附件包含Payment、Invoice字樣的郵件;
2、可以逐步部署云桌面,實現集中維護,徹底避免此類攻擊;
3、開啟安全軟件的實時防護功能和云安全查殺功能,并及時升級特征庫;
4、開啟天擎針對敲詐者病毒開發的文檔保護功能,主動阻止惡意加密文檔和圖片的行為;
5、在天擎終端安全管理系統上開啟云QVM引擎能有效增強終端對敲詐者病毒的攔截和查殺。
6、360天擎推出了敲詐先賠服務。對于所有360天擎政企用戶,360企業安全承諾,如果用戶在開啟了360天擎敲詐先賠功能后,仍感染了敲詐者病毒,360企業安全將負責賠付贖金,為政企用戶提供百萬先賠保障。
責編:ZB