勒索病毒W(wǎng)annaCry在全球蔓延,據(jù)不完全統(tǒng)計(jì),目前已經(jīng)入侵99個(gè)國家7.5萬臺電腦,其中中國高校受到的傷害最嚴(yán)重,而這個(gè)學(xué)生們帶來的打擊也是超級大的,畢竟已經(jīng)是論文季了。
WannaCry的背后制作者利用了去年被盜的美國國家安全局(NSA)自主設(shè)計(jì)的Windows系統(tǒng)黑客工具Eternal Blue,然后稍加修改后讓它開始在全球蔓延肆意勒索,其實(shí)今年3月份微軟曾發(fā)出過緊急修復(fù)補(bǔ)丁,不知道為何這個(gè)病毒又開始集中爆發(fā)。
鑒于這個(gè)勒索病毒擴(kuò)散的越來越廣泛,微軟也是公開回應(yīng),他們?yōu)樾碌膼阂廛浖ensom添加了檢測和保護(hù):Win32.WannaCrypt,同時(shí)還正在與客戶合作提供額外的幫助。
為了打消更多用戶的顧慮,現(xiàn)在微軟再次發(fā)出公告,如果用戶使用的是全新版本的Windows 10系統(tǒng),并開啟Windows Defender的話,那么就會免疫這些勒索病毒。
對于那些失去安全更新支持的Windows XP和Windows Vista操作系統(tǒng),其非常容易遭受此類病毒的感染,微軟建議用戶盡早更新至全新操作系統(tǒng)應(yīng)對。
目前應(yīng)對的解決辦法是:
1、為計(jì)算機(jī)安裝最新的安全補(bǔ)丁,微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞,請盡快安裝此安全補(bǔ)丁,對于Windows XP、2003等微軟已不再提供安全更新的機(jī)器,可以借助其它安全軟件更新漏洞。
2、關(guān)閉445、135、137、138、139端口,關(guān)閉網(wǎng)絡(luò)共享。
3、強(qiáng)化網(wǎng)絡(luò)安全意識:不明鏈接不要點(diǎn)擊,不明文件不要下載,不明郵件不要打開……
4、盡快(今后定期)備份自己電腦中的重要文件資料到移動(dòng)硬盤、U盤,備份完后脫機(jī)保存該磁盤。
5、建議仍在使用Windows XP,Windows 2003操作系統(tǒng)的用戶盡快升級到Window 7/Windows 10,或Windows 2008/2012/2016操作系統(tǒng)。
作為美國政府機(jī)構(gòu)、美國國防部最重要的情報(bào)部門,美國國家安全局(National Security Agency,簡稱:NSA)專門負(fù)責(zé)收集和分析外國及本國通訊資料,負(fù)責(zé)追蹤監(jiān)控包括電臺廣播、通訊、互聯(lián)網(wǎng),尤其是涉及軍事和外交的秘密通訊。
日前,NSA 發(fā)布了一份報(bào)告,指出微軟的 Windows 系統(tǒng)中證書驗(yàn)證和加密消息傳遞功能中存在嚴(yán)重安全漏洞,建議企業(yè)立即對其進(jìn)行修補(bǔ),或?qū)Τ休d關(guān)鍵基礎(chǔ)結(jié)構(gòu)(如域控制器,VPN 服務(wù)器或 DNS 服務(wù)器)的系統(tǒng)進(jìn)行優(yōu)先級排序。
消息人士稱,微軟已經(jīng)率先將這個(gè)漏洞的補(bǔ)丁發(fā)送給了美軍分支機(jī)構(gòu)以及管理關(guān)鍵互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的其他高價(jià)值客戶 / 目標(biāo),并且這些組織已經(jīng)被要求簽署協(xié)議,保證不對外透露漏洞的細(xì)節(jié)。
圖|NSA 發(fā)布的安全漏洞報(bào)告(來源:NSA)
1 月 14 日,Microsoft 官方回應(yīng)將會發(fā)布一組補(bǔ)丁修補(bǔ) Windows 版本中的這一嚴(yán)重漏洞。有意思的是,這也是 NSA 首次接受 Microsoft 的漏洞報(bào)告歸屬。知情人士表示,NSA 此舉旨在使軟件供應(yīng)商和公眾都能了解該機(jī)構(gòu)的研究成果;微軟方面則認(rèn)為,尚未看到漏洞被積極利用,因此將其標(biāo)記為了“重要”而非最高的“關(guān)鍵”級別。
這是個(gè)什么樣的漏洞?存在問題的漏洞位于一個(gè)名為 crypt32.dll 的 Windows 核心組件中,Microsoft 稱該組件處理“ CryptoAPI 中的證書和加密消息傳遞功能。” Microsoft CryptoAPI 提供使開發(fā)人員能夠保護(hù)基于 Windows 的安全服務(wù)以及使用加密的應(yīng)用程序,包括使用數(shù)字證書對數(shù)據(jù)進(jìn)行加密和解密的功能。
圖|微軟對漏洞的修補(bǔ)措施(來源:Microsoft)
攻擊者可以利用此漏洞使用欺騙性的代碼簽名證書對惡意可執(zhí)行文件進(jìn)行簽名,從而使該文件似乎來自可靠的合法來源。用戶將無法知道文件是惡意的,因?yàn)閿?shù)字簽名來自受信任的程序。攻擊者還可進(jìn)行中間人攻擊,并在與受影響軟件的用戶連接上解密機(jī)密信息。
NSA 指出,該漏洞影響范圍包括 Windows 10,Windows Server 2016 和 Windows Server2019。不過,業(yè)內(nèi)人士表示,此漏洞組件早在 20 多年前的 Windows NT 4.0 系統(tǒng)開始就已經(jīng)引入了,因此,所有版本的 Windows 都可能受到影響,包括廣泛應(yīng)用的 Windows XP,Microsoft 的補(bǔ)丁程序目前已不再支持 Windows XP,以及微軟從 2020 年 1 月 14 日開始正式停止提供相關(guān)的技術(shù)支持、更新或修正的 Windows 7 系統(tǒng)。
圖|CERT-CC 的安全研究員的推文(來源:Twitter)
作為國內(nèi)用戶,貌似通常對 Windows 的補(bǔ)丁更新很少關(guān)注和重視,認(rèn)為是沒有什么必要的,甚至有些用戶會主動(dòng)關(guān)閉系統(tǒng)的升級更新,防止電腦越用越卡。不過來自 CERT-CC 的安全研究員威爾 · 多爾曼(Will Dormann)提醒所有 Windows 用戶說:“人們應(yīng)該密切注意及時(shí)安裝近期發(fā)布的 Microsoft Patch 更新。”
Windows 系統(tǒng)在全球的應(yīng)用極其廣泛,黑客曾利用 Windows 漏洞攻擊金融網(wǎng)絡(luò)。2017 年 5 月,基于一個(gè) Windows 漏洞的大規(guī)模勒索軟件 “Wanna Decryptor” 導(dǎo)致英國 16 家醫(yī)院的工作陷入困境,造成預(yù)約取消和醫(yī)院運(yùn)營混亂。黑客凍結(jié)了系統(tǒng)并加密了文件,當(dāng)員工嘗試訪問計(jì)算機(jī)時(shí),他們被要求提供 300 美元,這是一種經(jīng)典的勒索軟件策略。
相同的攻擊感染了 74 個(gè)國家 / 地區(qū)的多達(dá) 45000 臺計(jì)算機(jī),其中包括西班牙、俄羅斯的許多公用事業(yè)部,盡管俄羅斯內(nèi)政部堅(jiān)稱沒有丟失任何機(jī)密數(shù)據(jù),但該國內(nèi)政部的 1000 臺計(jì)算機(jī)成為了攻擊的受害者。
圖|NSA 的標(biāo)識(來源:NSA)
據(jù)研究人員的說法,2017 年的這次網(wǎng)絡(luò)攻擊黑客們利用了名為 EternalBlue 的漏洞進(jìn)行,據(jù)悉該漏洞是由 NSA 開發(fā)的,旨在突破和驗(yàn)證 Windows 的安全性。更早的時(shí)候,2016 年 8 月黑客組織 Shadow Brokers 曾入侵了 NSA 的方程式小組,獲取了部分軟件和黑客工具,揭示了用于對 Windows 和某些金融網(wǎng)絡(luò)進(jìn)行黑客攻擊的新技術(shù),甚至通過比特幣交易公開出售這些黑客工具。
系統(tǒng)安全的矛和盾總是相對的,你打算為你的 Windows 升級漏洞補(bǔ)丁了么?