日,臭名昭著的的暗云Ⅲ病毒再次卷土重來,在全國范圍內發起網絡攻擊。
6月11日下午,哈爾濱工業大學緊急發布《關于防范暗云木馬的通知》,援引 CERNET黑龍江用戶網絡空間安全工作組根據Panabit提供的威脅情報,稱病暗云III病毒攻擊仍在繼續,主流安全軟件仍無法查殺暗云III病毒,提醒用戶盡快對計算機的數據進行備份,并采用騰訊電腦管家專殺工具進行查殺。
而根據騰訊電腦管家暗云III攻擊實時監控數據顯示,此次攻擊行為仍未減弱,全國多地均出現“僵尸電腦”,沿海地區和中部地區成為重災區。
騰訊電腦管家:暗云III攻擊警報仍未解除,堪比勒索病毒
6月9日,騰訊電腦管家經過持續追蹤分析,發現多個下載暗云Ⅲ木馬的惡意程序,進而偽裝成“赤月傳說”、“傳奇霸業”等游戲微端進行補丁修復,通過各大下載站的下載器等各種傳播渠道進行海量推廣。騰訊電腦管家安全專家隨即表示,暗云系列木馬異常狡猾,此次突然爆發有很大可能會引發牽連范圍極廣的DDoS攻擊。而幾個小時之后,騰訊電腦管家就監控到大量感染暗云Ⅲ木馬的“肉雞”,正在攻擊搭建在某云服務商上的棋牌類網站,導致該網站訪問變得異常卡慢。
早前,騰訊安全云鼎實驗室就監測到一起大面積的DDoS網絡攻擊活動,有被攻擊者反映,單個IP遭受黑客組織攻擊的流量規模高達650G。通過對攻擊源機器進行分析,工程師在機器中發現暗云Ⅲ的變種,通過對流量、內存DUMP數據等內容進行分析,騰訊云鼎實驗室確定本次超大規模DDoS攻擊由“暗云”黑客團伙發起。為了避免廣大用戶中招,甚至發生去年導致半個美國斷網的DDoS攻擊事件,騰訊電腦管家第一時間發布安全預警,并對病毒進行了查殺,避免造成大規模的病毒攻擊。
而根據騰訊電腦管家暗云III攻擊實時監控數據顯示,此次攻擊行為仍未減弱,全國多地均出現“僵尸電腦”,沿海地區和中部地區成為重災區。
安全行業已緊急聯合響應,行業協同效率初步顯現
針對此次來勢洶洶的“暗云Ⅲ”病毒,騰訊電腦管家、金山、知道創宇、騰訊云等國內安全廠商及云服務商積極響應,謹防勒索病毒式的網絡危機再次發生。
騰訊電腦管家第一時間發布安全預警,并將技術分析情報分享給了安全廠商和云服務商,并通報給政府網信辦等部門,拉響了抗擊暗云III攻擊的安全警報。騰訊電腦管家還聯合騰訊云率先布局了云加端防御,騰訊云大禹系統專業抗D(抵抗DDos攻擊)布局防御云端服務器安全,騰訊電腦管家保障用戶終端電腦安全,構建云加端的堅實防御體系。針對此次暗云III的突施“毒”手,騰訊電腦管家除了快速反應發出安全預警,還針對暗云III隱秘性極強,用戶染毒后無明顯感知的特點,連夜技術攻關研發了全球首個“暗云III檢測工具”,用戶使用該工具可一鍵識別電腦內是否藏有暗云III病毒,趁早防御避免變成黑客遠程控制的“肉雞”。
金山毒霸迅速發出安全預警,并指出暗云Ⅲ病毒會感染硬盤MBR,即使格式化也不能清除。與此同時,騰訊安全云鼎實驗室也發布詳盡的分析報告,指出暗云Ⅲ病毒已經發生變種,與前不久一起在線內網攻擊地址數百萬的超大規模DDoS攻擊有關,知道創宇也轉述相關研究。
CNCERT發出安全預警,暗云III危害比勒索病毒還厲害
雖然WannaCry勒索病毒讓全球頗為緊張,但其實際感染規模有限。此次“暗云Ⅲ”病毒攻擊的波及程度,要遠遠大于勒索病毒,已有數百萬電腦成為黑客攻擊“肉雞”,如果云服務器被攻擊癱瘓,產生影響不可估量。
6月11日下午,哈爾濱工業大學緊急發布《關于防范暗云木馬的通知》,援引 CERNET黑龍江用戶網絡空間安全工作組根據Panabit提供的威脅情報,稱病暗云III病毒攻擊仍在繼續,主流安全軟件仍無法查殺暗云III病毒,向校園網用戶發出提醒,盡快對計算機的數據進行備份,并采用騰訊電腦管家專殺工具進行查殺。
自暗云Ⅲ發起二次攻擊以來,騰訊電腦管家對其進行了密切的追蹤,發現暗云病毒目前仍在繼續擴散,全國多地均出現“僵尸電腦”,沿海地區和中部地區成為重災區,其中不乏校園網用戶。據騰訊電腦管家實時監控數據圖顯示,暗云III攻擊仍在繼續,單IP攻擊流量650G,目前已有數百萬用戶遭感染。
假冒官方網站”、“偽造商業郵件”、“網站掛馬”,時下的不法分子作案手法多樣,新型網絡詐騙呈現高發態勢。近期,騰訊電腦管家發布《10月病毒木馬安全形勢報告》(以下簡稱報告),報告指出本月病毒數量持續降低,云查殺攔截病毒日均次數最高達1000萬次,較上月最高下降了40%。但詐騙類木馬及其變種持續活躍,借助網站掛馬、群發郵件的形式,引誘用戶點擊附帶木馬的文件和鏈接,進行傳播,且均可對用戶財產安全造成嚴重侵害。針對此類情況,《報告》重點曝光了兩類比特幣敲詐木馬,并作出針對性方案,向用戶提供防御手段,保障其上網安全。
(10月攔截病毒次數統計)
《報告》指出,10月出現了遠控木馬、廣告木馬、敲詐木馬等多種類型的木馬,其中廣告類木馬呈現出活躍態勢,數量占到本月木馬全量一半以上。十月上旬,騰訊電腦管家曾接到網友反饋,電腦右下角經常自動彈出低俗廣告信息且無法關閉,稍有不慎還會跳轉至低俗網站,嚴重影響了網友的上網體驗。經騰訊電腦管家發現,此類情況系網友所在地的某運營商流量遭惡意劫持所致。不僅如此,廣告木馬還會進行鎖定電腦主頁、推廣網址導航、刷流量、推廣安裝軟件、直播刷粉等行為。
除廣告木馬外,本月比特幣敲詐木馬依舊比較活躍。十月較活躍的敲詐木馬主要為兩大家族,一是以掛馬傳播的cerber家族敲詐者,該家族通常以色情類網站掛馬為傳播渠道;二是以郵件傳播的locky敲詐者家族,該家族依舊以js、vbs等腳本作為載體通過群發巨量郵件的方式傳播,運行后致使用戶電腦內所有圖片類文件、文檔類文件、壓縮包文件、源代碼等類型文件均被加密,不法分子以此要挾并詐騙用戶財產,嚴重威脅用戶財產安全。目前騰訊電腦管家正持續對抗查殺。
(10月中毒機器數量統計)
《報告》指出,10月云查攔截病毒次數日均近900萬次,整體呈現平穩趨勢,在上旬有多次波動,最高攔截次數超過1000萬次,較上月較大回落。同時,10月中毒機器數量呈現上升趨勢,總量相較上月有所增長,最高接近240萬臺,但在月末逐漸降低。在中毒機器全國分布方面,廣東最多,占比達到了10%,江蘇較上月略有上升,與山東并列,占總體的8%。
(10月中毒機器全國分布)
當前隨著“互聯網+”的快速發展,不法分子所使用的黑客手段發生新的變化,新型病毒木馬及變種持續增長,嚴重威脅網絡安全,使得用戶和企業所面臨的網絡安全威脅越來越隱蔽與多變。10月騰訊云查攔截病毒主要集中在廣告彈窗、靜默推廣、感染型病毒、下載器木馬等。針對此類惡意病毒木馬,建議用戶提高上網安全意識,定期使用安全類軟件進行全面檢查,并時刻保持騰訊電腦管家這類安全軟件處于開啟狀態,以保證能及時攔截相關木馬病毒。
(10月TOP病毒)
《報告》還顯示,10月流氓軟件整體活躍較低,基本維持80萬次以下,最低僅為30萬,全月呈現持續增長趨勢。這些流氓軟件會出現靜默推廣安裝、篡改瀏覽器快捷方式、彈窗廣告等流氓行為。另外,10月游戲整體安全環境較好,游戲盜號木馬較少。
(10月流氓軟件檢出統計)
騰訊安全反病毒實驗室專家馬勁松表示,10月敲詐木馬及其變種持續活躍,主要通過郵件附件的形式進行傳播,廣大用戶一定要加強安全防范意識,切勿輕易下載和運行未知來源的文件,開啟騰訊電腦管家類安全軟件可有效攔截此類敲詐木馬。此外,建議用戶不要點擊安全性不明網站,下載文件應盡量選擇從正規渠道獲取,同時不要運行被騰訊電腦管家報毒的文件,一旦發現可疑木馬風險,立即使用騰訊電腦管家等安全類軟件進行查殺。
擊運行word文檔竟然會使所有office文檔中毒?近日,某醫院對接人員A遇到一件這樣的煩心事。他收到一個來自合作單位發來的《xx市婦幼保健院設備采購管理規范.doc》文檔,運行該文檔后,其機器上的所有文檔皆被感染病毒。同時他把該文檔發送給了其他同事,導致該醫院因office文檔被殺軟頻繁報毒,日常辦公節奏受到嚴重影響。
經騰訊電腦管家安全人員排查,判斷該病毒為宏病毒,其主要通過感染office模板文件而獲得強大的傳播能力,只有打開過帶宏病毒的文檔,所有新建或重新保存的文檔就會被“感染”。目前,該病毒并無明顯惡意行為,但不排除今后有植入后門監控用戶電腦、植入勒索病毒或挖礦木馬獲取加密貨幣等惡意行為。
(圖:該宏病毒的感染原理)
作為歷史最為“悠久”的病毒之一,宏病毒是一種寄存在文檔或模板的宏中的計算機病毒,感染主要集中在醫院、學校等一對多場景。用戶一旦打開這樣的文檔,其電腦中的宏就會被執行,于是宏病毒就會被激活,轉移到計算機上,并駐留在Normal模板上。由此開始,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
一直以來,宏病毒因其傳播速度快、隱蔽性高、易變種等特點,成為企業辦公網用戶和個人用戶的頭號威脅。針對宏病毒的防范,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大用戶,務必提高網絡安全防范意識,養成良好的上網習慣,不要輕易打開來歷不明的文檔文件,及時關閉office宏默認開啟功能。
(圖:企業級安全防護產品騰訊御點)
除了個人用戶加強防范以外,徹底封堵病毒的攻擊之門才是應對危機的最佳途徑。對于規模較大、設備類型眾多的企業,馬勁松建議使用終端殺毒軟件統一查殺,統一攔截清除此類宏病毒,增強防御方案的完整性和立體性,將絕大多數病毒剿滅在網絡之外,真正實現在源頭杜絕宏病毒的感染。
---------------------------------------------------------
1.本文援引自互聯網,旨在傳遞更多網絡信息,僅代表作者本人觀點,與本網站無關。
2.本文僅供讀者參考,本網站未對該內容進行證實,對其原創性、真實性、完整性、及時性不作任何保證。