近期國(guó)內(nèi)多所院校出現(xiàn)ONION勒索軟件感染情況,磁盤文件會(huì)被病毒加密為.onion后綴,該勒索軟件是此前活躍的勒索軟件Wallet的一類變種,運(yùn)用了高強(qiáng)度的加密算法難以破解,被攻擊者除了支付高額贖金外,往往沒(méi)有其他辦法解密文件,只有支付高額贖金才能解密恢復(fù)文件,對(duì)學(xué)習(xí)資料和個(gè)人數(shù)據(jù)造成嚴(yán)重?fù)p失。
根據(jù)網(wǎng)絡(luò)安全機(jī)構(gòu)通報(bào),這是不法分子利用NSA黑客武器庫(kù)泄漏的“永恒之藍(lán)”發(fā)起的病毒攻擊事件。
從被感染機(jī)器的情況來(lái)看,一是操作系統(tǒng)、Office軟件等沒(méi)有采用正版軟件,且漏洞、補(bǔ)丁更新不及時(shí);二是不常用端口沒(méi)有封閉;三是個(gè)人網(wǎng)絡(luò)安全意識(shí)淡漠,沒(méi)有定期備份文檔的習(xí)慣。
央視新聞援引英國(guó)媒體消息稱
全球超70國(guó)遭網(wǎng)絡(luò)攻擊
電腦受攻擊界面↓↓↓
在此提醒廣大師生:
1.目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞,請(qǐng)廣大師生盡快為電腦安裝此補(bǔ)丁,網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對(duì)于XP、2003等微軟已不再提供安全更新的機(jī)器,推薦使用360“NSA武器庫(kù)免疫工具”檢測(cè)系統(tǒng)是否存在漏洞,并關(guān)閉受到漏洞影響的端口,可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe。
2.安裝正版操作系統(tǒng)、Office軟件等。學(xué)校信息化工作辦公室為教職工提供正版軟件,詳情請(qǐng)?jiān)L問(wèn)信息化工作辦公室網(wǎng)站下載、安裝、激活,并將自動(dòng)漏洞、補(bǔ)丁升級(jí)設(shè)置為自動(dòng)安裝。
3.關(guān)閉445、135、137、138、139端口,關(guān)閉網(wǎng)絡(luò)共享。
4.強(qiáng)化網(wǎng)絡(luò)安全意識(shí),“網(wǎng)絡(luò)安全就在身邊,要時(shí)刻提防”:不明鏈接不要點(diǎn)擊,不明文件不要下載,不明郵件不要打開。
5.盡快(今后定期)備份自己電腦中的重要文件資料到移動(dòng)硬盤/U盤/網(wǎng)盤上。
知識(shí)科普
445端口:445端口是一個(gè)毀譽(yù)參半的端口,他和139端口一起是IPC$入侵的主要通道。有了它我們可以在局域網(wǎng)中輕松訪問(wèn)各種共享文件夾或共享打印機(jī),但也正是因?yàn)橛辛怂诳蛡儾庞辛丝沙酥畽C(jī),他們能通過(guò)該端口偷偷共享你的硬盤,甚至?xí)谇臒o(wú)聲息中將你的硬盤格式化掉!我們所能做的就是想辦法不讓黑客有機(jī)可乘,封堵住445端口漏洞。
SMB:SMB 一種客戶機(jī)/服務(wù)器、請(qǐng)求/響應(yīng)協(xié)議。通過(guò)SMB協(xié)議,客戶端應(yīng)用程序可以在各種網(wǎng)絡(luò)環(huán)境下讀、寫服務(wù)器上的文件,以及對(duì)服務(wù)器程序提出服務(wù)請(qǐng)求。此外通過(guò)SMB協(xié)議,應(yīng)用程序可以訪問(wèn)遠(yuǎn)程服務(wù)器端的文件、以及打印機(jī)、郵件槽(mailslot)、命名管道(namedpipe)等資源。
比特幣:可以兌換成大多數(shù)國(guó)家的貨幣。使用者可以用比特幣購(gòu)買一些虛擬物品,比如網(wǎng)絡(luò)游戲當(dāng)中的衣服、帽子、裝備等,只要有人接受,也可以使用比特幣購(gòu)買現(xiàn)實(shí)生活當(dāng)中的物品。
據(jù)查,此次遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的EquationGroup(方程式組織)使用黑客工具包有關(guān)。
其中的ETERNALBLUE模塊是SMB 漏洞利用程序,可以攻擊開放了 445 端口的 Windows 機(jī)器,實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。微軟在今年3月份發(fā)布的MS17-010補(bǔ)丁,修復(fù)了ETERNALBLUE所利用的SMB漏洞。
目前基于ETERNALBLUE的多種攻擊代碼已經(jīng)在互聯(lián)網(wǎng)上廣泛流傳,除了捆綁勒索病毒,還發(fā)現(xiàn)有植入遠(yuǎn)程控制木馬等其他多種遠(yuǎn)程利用方式。根據(jù)360公司的統(tǒng)計(jì),目前國(guó)內(nèi)平均每天有不低于5000臺(tái)機(jī)器遭到基于ETERNALBLUE的遠(yuǎn)程攻擊,并且攻擊規(guī)模還在迅速擴(kuò)大。
預(yù)防措施
1:在個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)屬性中禁用“文件和打印機(jī)共享”;
2:及時(shí)升級(jí)操作系統(tǒng)到最新版本;
3:勤做重要文件非本地備份;
4:停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統(tǒng)。
5:詳細(xì)方法可點(diǎn)擊超鏈接:https://mp.weixin.qq.com/s/PtEfy6WaTjwIFlRgewIxIA
此外小編建議大家:
1:可以手動(dòng)下載安裝補(bǔ)丁
2:下載360“NSA武器庫(kù)免疫工具”進(jìn)行修復(fù)
地址:https://dl.360safe.com/nsa/nsatool.exe
3:及時(shí)將系統(tǒng)更新至Windows10
近期國(guó)內(nèi)多所院校出現(xiàn)ONION勒索軟件感染情況,磁盤文件會(huì)被病毒加密為.onion后綴,該勒索軟件運(yùn)用了高強(qiáng)度的加密算法難以破解,被攻擊者除了支付高額贖金外,往往沒(méi)有其他辦法解密文件,只有支付高額贖金才能解密恢復(fù)文件,對(duì)學(xué)習(xí)資料和個(gè)人數(shù)據(jù)造成嚴(yán)重?fù)p失。
根據(jù)網(wǎng)絡(luò)安全機(jī)構(gòu)通報(bào),這是不法分子利用NSA黑客武器庫(kù)泄漏的“永恒之藍(lán)”發(fā)起的病毒攻擊事件。
從被感染機(jī)器的情況來(lái)看,一是操作系統(tǒng)、Office軟件等沒(méi)有采用正版軟件,且漏洞、補(bǔ)丁更新不及時(shí);二是不常用端口沒(méi)有封閉;三是個(gè)人網(wǎng)絡(luò)安全意識(shí)淡漠,沒(méi)有定期備份文檔的習(xí)慣。
在此提醒廣大用戶:
1.目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞,請(qǐng)盡快為電腦安裝此補(bǔ)丁,網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對(duì)于XP、2003等微軟已不再提供安全更新的機(jī)器,推薦使用360“NSA武器庫(kù)免疫工具”檢測(cè)系統(tǒng)是否存在漏洞,并關(guān)閉受到漏洞影響的端口,可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe。
2.安裝正版操作系統(tǒng)、Office軟件等。
3.關(guān)閉445、137、138、139端口,關(guān)閉網(wǎng)絡(luò)共享,防止局域網(wǎng)傳播;
4.強(qiáng)化網(wǎng)絡(luò)安全意識(shí),“網(wǎng)絡(luò)安全就在身邊,要時(shí)刻提防”:不明鏈接不要點(diǎn)擊,不明文件不要下載……
5.盡快(今后定期)備份自己電腦中的重要文件資料到移動(dòng)硬盤/U盤/網(wǎng)盤上。
科普一下:
勒索軟件是一種特殊的惡意軟件,又被人歸類為阻斷訪問(wèn)式攻擊,其與其他病毒最大的不同在于手法。一種勒索軟件單純地將受害者的電腦鎖起來(lái);另一種則系統(tǒng)性地加密受害者硬盤上的文件。所有的勒索軟件都會(huì)要求受害者繳納贖金以取回對(duì)電腦的控制權(quán),或是取回受害者根本無(wú)從自行獲取的加密密鑰。勒索軟件通常通過(guò)木馬病毒的形式傳播,將自身為掩蓋為看似無(wú)害的文件。
勒索軟件通常通過(guò)木馬病毒的方式傳播,例如通過(guò)下載文件夾帶,或是通過(guò)網(wǎng)絡(luò)系統(tǒng)的漏洞而進(jìn)入受害者的電腦。勒索軟件在進(jìn)入后,會(huì)直接運(yùn)行,或是通過(guò)網(wǎng)絡(luò)下載病毒的實(shí)體數(shù)據(jù),并恐嚇受害者。恐嚇消息隨著不同的病毒而異,例如假借執(zhí)法機(jī)關(guān)的名義,恐嚇受害者的電腦被發(fā)現(xiàn)進(jìn)行非法行動(dòng),如色情、盜版媒體,或是非法的操作系統(tǒng)等。
某些實(shí)體數(shù)據(jù)只將操作系統(tǒng)鎖住,直到受害者付清贖金后才將電腦解鎖。實(shí)體數(shù)據(jù)可能以數(shù)種手段來(lái)達(dá)成恐嚇,包括將Windows的用戶界面(Windows Shell)綁定為病毒程序,或甚至修改磁盤的主引導(dǎo)扇區(qū)、硬盤分區(qū)表等。最嚴(yán)重的一種實(shí)體數(shù)據(jù)將受害者的文件加密,以多種加密方法讓受害者無(wú)法使用文件,唯一的方法通常就是向該病毒的作者繳納贖金,換取加密密鑰,以解開加密文件。
獲得贖金是這類病毒的最終目標(biāo)。要讓病毒的開發(fā)者不易被執(zhí)法單位發(fā)現(xiàn),匿名的繳款管道是開發(fā)者的必要元素。有數(shù)種的管道發(fā)現(xiàn)被開發(fā)者用作匿名繳款,例如匯款、短信小額付款、在線虛擬貨幣(Ukash、Paysafecard)、數(shù)字貨幣比特幣等。
勒索類病毒一般先使用AES加密文件,再使用非對(duì)稱密鑰RSA加密來(lái)將AES密鑰加密,且密鑰長(zhǎng)度為2048位、如果用戶想使用爆破的方式來(lái)解密,哪怕是使用目前最先進(jìn)的超級(jí)計(jì)算機(jī)也得好幾年才能解開。