如果中招了,那可真是欲哭無淚了!因為電腦被這種勒索病毒感染后,其中文件會被加密鎖住,支付黑客所要求贖金后才能解密恢復。據悉,勒索金額最高達5個比特幣,目前價值人民幣5萬多元。
這個令人聞風喪膽的WannaCry病毒,屬于蠕蟲式勒索軟件,通過利用編號為MS17-010的Windows漏洞(被稱為“永恒之藍”)主動傳播感染受害者。自5月12日以來,由它發起的一次迄今為止最大規模的勒索病毒網絡攻擊席卷全球。目前至少有150個國家受到網絡攻擊,國內多所高校及多家單位也遭攻擊,未來還可能進一步升級。
那么,勒索病毒從何處來?爆發原因是什么,有什么危害,如何應對?
什么是勒索軟件?
美國加利福尼亞大學教授約翰.比利亞塞尼奧爾介紹,勒索軟件是一種惡意軟件,通過對電腦上的文件進行某種形式的加密操作,使用戶無法打開文件,隨后向用戶發出勒索通知。
病毒從何而來?
病毒發行者利用了去年被盜的美國國家安全局(NSA)自主設計的Windows系統黑客工具Eternal Blue,將2017年2月的一款勒索病毒升級。被感染的Windows用戶必須在7天內交納比特幣作為贖金,否則電腦數據將被全部刪除且無法修復。勒索病毒要求用戶在被感染后的三天內交納相當于300美元的比特幣,三天后“贖金”將翻倍。英國NHS官方宣布,襲擊該系統的勒索病毒叫做WannaCry(想哭嗎)或Wanna Decryptor(想解鎖嗎)。
你的電腦如何“中招”?
電腦用戶往往會收到一封經過偽裝的電子郵件,例如有關招聘信息、購貨清單等。一旦點擊相關鏈接或打開附件,就會感染該病毒,導致電腦文件被黑客鎖住。
當用戶主機系統被該勒索軟件入侵后,彈出如下勒索對話框,提示勒索目的并向用戶索要比特幣。而對于用戶主機上的重要文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,都被加密的文件后綴名被統一修改為“.WNCRY”。目前,安全業界暫未能有效破除該勒索軟的惡意加密行為,用戶主機一旦被勒索軟件滲透,只能通過重裝操作系統的方式來解除勒索行為,但用戶重要數據文件不能直接恢復。
勒索軟件界面圖
用戶文件被加密
如何防范勒索病毒?
5月13日下午消息,國家網絡與信息安全信息通報中心緊急通報,呼吁廣大計算機用戶盡快升級安裝補丁,地址為:https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。Windows 2003和XP沒有官方補丁,相關用戶可打開并啟用Windows防火墻,進入“高級設置”,禁用“文件和打印機共享”設置;或啟用個人防火墻關閉445以及135、137、138、139等高風險端口。
已感染病毒機器請立即斷網,避免進一步傳播感染。
惡意勒索
據捷克網絡安全企業愛維士公司統計,全球99個國家和地區12日共遭遇超過7.5萬次電腦病毒攻擊,其中俄羅斯、烏克蘭等國遇襲尤其嚴重。
這款病毒名為“想哭”,屬于一種勒索軟件。電腦用戶會收到一封電子郵件,往往是打著工作邀約、發貨清單、安全警告等“幌子”,但一旦打開相關鏈接,就會導致電腦中招。
該勒索軟件隨即會對電腦儲存的文件進行加密,使用戶無法打開。電腦屏幕上彈出警告語:“你或許會試圖奪回文件,還是別浪費時間了!”
接著,電腦提示用戶在規定期限內支付300美元贖金,便可恢復電腦資料;每耽擱數小時,贖金額度就會上漲一些。
據俄羅斯卡巴斯基實驗室研究員庫爾特·鮑姆加特納觀察:“在支付贖金的用戶中,多數人在最初幾小時內就乖乖掏出300美元。”
多國遭殃
據Splunk網絡安全公司主管里奇·巴杰描述,“這是全球迄今最大的勒索軟件攻擊事件之一”。
卡巴斯基全球研究和分析團隊表示,俄羅斯所受攻擊遠遠超過其他受害者,而中國大陸和臺灣地區也受到較多攻擊。
英國公共衛生體系國民保健制度的服務系統12日被病毒入侵后,多家醫院電腦癱瘓,不得不停止接待病人,一些救護車等醫療服務也受影響。英國首相特雷莎·梅當天說,英國國家網絡安全中心正與國民保健制度聯手應對這次危機。
西班牙、葡萄牙、阿根廷等多國電信企業,以及美國聯邦快遞公司均受這款病毒侵襲。
俄羅斯內務部、梅加豐電信公司遭遇同種病毒攻擊,據信已控制住病毒擴散規模。俄羅斯國際文傳電訊社援引俄內務部發言人伊琳娜·沃爾克的話報道,俄內務部大約1000臺電腦被感染,不到該部門電腦總數的1%。另一名消息人士稱,俄政府文件未在此次攻擊中泄密。
美國挨批
目前,尚未有黑客組織認領這次襲擊。但業界人士的共識是,這款“想哭”病毒來源于美國國安局的病毒武器庫。上個月,美國國安局遭遇泄密事件,其研發的病毒武器庫被曝光于網上。不少網絡安全專家指責,美國斥巨資研發黑客攻擊工具、而非自衛機制,結果造成全球網絡環境“更不安全”。
路透社援引美國聯邦政府公布的數據以及情報部門官員的話報道,美國網絡項目開支中,90%用于研發黑客攻擊武器,例如侵入“敵人”的電腦網絡、監聽民眾、設法讓基礎設施癱瘓或受阻等。
得知最新攻擊事件后,“棱鏡”監聽項目曝光者、美國前防務承包商雇員愛德華·斯諾登12日發推文說,“盡管多次被警告,(美國國安局)仍然研制了危險的攻擊工具。今天,我們見到代價……醫院里的病人生命受到威脅”。
面對外界批評,美國國安局尚未作出回應。美國國土安全部計算機緊急應對小組表示,正密切關注這起波及全球的黑客攻擊事件。
【國內情況】
校園網成勒索病毒重災區
國內方面,校園網成勒索病毒肆虐之所。5月12日晚間20點左右,國內部分高校學生反映電腦被病毒攻擊,文檔被加密。攻擊者稱需支付比特幣解鎖。目前受影響的有賀州學院、桂林電子科技大學、桂林航天工業學院、大連海事大學、山東大學等。正直畢業季,北辰提醒廣大學子及時備份畢業論文,升級電腦安全等級,避免遭受損失。
據360安全中心分析,此次校園網勒索病毒是由NSA泄漏的“永恒之藍”黑客武器傳播的。“永恒之藍”可遠程攻擊Windows的445端口(文件共享),如果系統沒有安裝今年3月的微軟補丁,無需用戶任何操作,只要開機上網,“永恒之藍”就能在電腦里執行任意代碼,植入勒索病毒等惡意程序。
360針對校園網勒索病毒事件的監測數據顯示,國內首先出現的是ONION病毒,平均每小時攻擊約200次,夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊,并在中國的校園網迅速擴散,夜間高峰期每小時攻擊約4000次。
由于國內曾多次出現利用445端口傳播的蠕蟲病毒,部分運營商對個人用戶封掉了445端口。但是教育網并無此限制,存在大量暴露著445端口的機器,因此成為不法分子使用NSA黑客武器攻擊的重災區。正值高校畢業季,勒索病毒已造成一些應屆畢業生的論文被加密篡改,直接影響到畢業答辯。
目前,“永恒之藍”傳播的勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁盤文件會被篡改為相應的后綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復。
多家單位遭病毒攻擊
5月12日晚,WannaCry勒索病毒在全球多個國家蔓延,國內多所高校的網絡遭受到勒索病毒的攻擊,大量學生畢業論文等重要資料被病毒加密,只有支付贖金才能恢復。
記者了解到,受到該病毒影響的不僅僅是校園網,還包括部分企事業單位。
據一名中國聯通鄭州分公司的工作人員稱,5月14日,因為受到比特幣勒索病毒的影響,單位電腦全部癱瘓。
5月13日,響水公安局出入境辦事處發布消息稱,因公安網遭遇新型病毒攻擊,暫時停辦出入境業務,具體恢復時間等待通知。
“弄了一宿,數據也沒有恢復過來。”昨天,山東的一名民警告訴記者,受到勒索病毒影響,單位存儲資料的電腦被鎖定,學習計算機專業的他最終也只能束手無策。
中石油部分加油站受影響
同樣受影響的還有中國石油加油站。昨日,中國石油在其官網中發布公告稱,5月12日22點30分左右,因全球比特幣勒索病毒爆發,公司所屬部分加油站正常運行受到波及。病毒導致加油站加油卡、銀行卡、第三方支付等網絡支付功能無法使用。不過,加油及銷售等基本業務運行正常,加油卡賬戶資金安全不受影響。
昨日下午,記者與北京地區五個中國石油加油站取得了聯系。
其中中國石油首汽12號加油站的工作人員表示,13日起,因為受到新型病毒的影響,加油站的手機支付、加油卡支付等多種支付方式均受到影響,雖然上午進行了緊急搶修,但仍存在網絡不穩定的情況。中國石油國門加油站的工作人員告訴北青報記者,截至下午4點,國門加油站仍只接受現金支付或國門加油站的加油卡支付費用。
中國石油昨天下午表示,根據現場驗證過的技術解決方案,開始逐站實施恢復工作。80%以上加油站已經恢復網絡連接,受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。
中國石油大湖山莊西南、中國石油東鵬加油站、中國石油京順加油站的工作人員告訴北青報記者,已經在中午前恢復了手機支付和加油卡支付的功能。
【事件進展】
病毒傳播一度被意外攔阻
來自英國的消息似乎為戰勝勒索病毒帶來了一絲希望。
英國媒體13日報道,一名22歲的英國網絡工程師12日晚注意到,這一勒索病毒正不斷嘗試進入一個極其特殊、尚不存在的網址,于是他順手花8.5英鎊(約合75元人民幣)注冊了這個域名,試圖借此網址獲取勒索病毒的相關數據。
令人不可思議的是,此后勒索病毒在全球的進一步蔓延竟然得到了阻攔。
這名工程師和同事分析,這個奇怪的網址很可能是勒索病毒開發者為避免被網絡安全人員捕獲所設定的“檢查站”,而注冊網址的行為無意觸發了程序自帶的“自殺開關”。
也就是說,勒索病毒在每次發作前都要訪問這個不存在的網址,如果網址繼續不存在,說明勒索病毒尚未引起安全人員注意,可以繼續在網絡上暢行無阻;而一旦網址存在,意味著病毒有被攔截并分析的可能。
在這種情況下,為避免被網絡安全人員獲得更多數據甚至反過來加以控制,勒索病毒會停止傳播。
勒索病毒已經出現新變種
意外攔阻勒索病毒的英國網絡工程師和一些網絡安全專家都表示,這種方法目前只是暫時阻止了勒索病毒的進一步發作和傳播,但幫不了那些勒索病毒已經發作的用戶,也并非徹底破解這種勒索病毒。
他們推測,新版本的勒索病毒很可能不帶這種“自殺開關”而卷土重來。這種推測果然很快成為現實。
昨天國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球范圍內爆發的WannaCry勒索病毒出現了變種:WannaCry2.0,與之前版本的不同是,這個變種不能通過注冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。
北京市委網信辦、北京市公安局、北京市經信委也聯合發出《關于WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。
該通知要求各單位立即組織內網檢測,一旦發現中毒機器,立即斷網處置,嚴格禁止使用U盤、移動硬盤等可執行擺渡攻擊的設備。《通知》稱,目前看來對硬盤格式化可清除病毒。
歐盟刑警組織下屬的歐洲網絡犯罪中心13日表示,此次勒索病毒攻擊的規模之大前所未有,需要通過復雜的國際調查尋找犯罪嫌疑人,歐盟刑警組織已和多國合作對此次攻擊展開調查。
美國加利福尼亞大學洛杉磯分校計算機科學和網絡安全教授彼得?賴海爾提醒,應及時更新電腦操作系統,尤其是安裝安全補丁。
【勒索病毒應急處理須知】
一、病毒影響范圍
MS17-010漏洞主要影響以下操作系統:Windows 2000,Windows 2003,Windows2008,Windows2012,Windows XP,Windows Vista,Windows7,Windows8,Windows10。
二、應急解決方案
對于未開機或未被感染的計算機:
第一步:斷開網絡(拔掉網線);
第二步:使用U盤或光盤自帶的PE系統啟動電腦,將計算機中所有重要文件(尤其文檔、圖片、照片、壓縮包、音頻、視頻等)備份到移動存儲設備上。
第三步:開啟系統防火墻,并利用系統防火墻高級設置阻止向445端口進行連接。
第四步:對系統進行ms17010、ms10061、ms14068、ms08067、ms09050補丁更新。
三、啟動防火墻及阻止445端口處理流程
Win7、Win8、Win10的處理流程:
1、打開控制面板-系統與安全-Windows防火墻,點擊左側啟動或關閉Windows防火墻。
2、選擇啟動防火墻,并點擊確定。
3、點擊高級設置。
4、點擊入、出站規則,新建規則。
5、選擇端口,下一步。
6、選擇阻止連接,下一步。
7、特定本地端口,輸入445,下一步。
8、配置文件,全選,下一步。
9、名稱,可以任意輸入,完成即可。
XP系統的處理流程:
1、依次打開控制面板,安全中心,Windows防火墻,選擇啟用
2、點擊開始,運行,輸入cmd,確定執行下面三條命令
net stop rdr
net stop srv
net stop netbt
四、如何分辨是否中毒:
當系統被該勒索軟件入侵后,會彈出勒索對話框:
或在桌面及各個文件夾內出現以下文件:
所有被感染文件以“.WNCRY”為后綴:
該病毒目前沒有專殺工具,加密文件無法暴力破解。如不幸感染病毒,系統中有重要文件的請等待解密工具,沒有重要文件的可以選擇格式化全盤并重做系統。
該勒索軟件采用包括英語、簡體中文、繁體中文等28種語言進行“本地化”。會將自身復制到每個文件夾下,并重命名為“@WanaDecryptor@.exe”。同時衍生大量語言配置等文件,該勒索軟件AES和RSA加密算法,加密的文件以“WANACRY!”開頭,加密如下后綴名的文件:
【應對措施】
6步驟抵御“勒索病毒”
安全工作組提出兩條預防措施:未升級操作系統的處理方式(不推薦,臨時緩解):啟用并打開“Windows防火墻”,進入“高級設置”,在入站規則里禁用“文件和打印機共享”相關規則;升級操作系統的處理方式(推薦):建議使用自動更新升級到Windows的最新版本。
對于學校等單位,建議在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接,同時,在校園網絡核心主干交換路由設備禁止上述端口的連接。
騰訊公司的安全專家指出,微軟已支持所有主流系統的補丁,建議用戶使用電腦管家修補補丁,開啟管家進行防御。
針對NSA黑客武器利用的Windows系統漏洞,微軟在今年3月已發布補丁修復。此前360安全中心也已推出“NSA武器庫免疫工具”,(NSA武器庫免疫工具:http://dl.360safe.com/nsa/nsatool.exe)免疫工具可以關閉漏洞利用的端口,防止電腦被NSA黑客武器植入勒索病毒等惡意程序。建議電腦用戶盡快使用360“NSA武器庫免疫工具”進行防御。
國家互聯網應急中心建議,用戶及時更新Windows已發布的安全補丁更新,地址為:https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。Windows 2003和XP沒有官方補丁,相關用戶可打開并啟用Windows防火墻,進入“高級設置”,禁用“文件和打印機共享”設置;或啟用個人防火墻關閉445以及135、137、138、139等高風險端口。已感染病毒機器請立即斷網,避免進一步傳播感染。
在升級安裝補丁的同時做好如下工作:
1.關閉445等端口(其他關聯端口如135、137、139)的外部網絡訪問權限,在服務器上關閉不必要的上述服務端口;
2.加強對445等端口的內部網絡區域訪問審計,及時發現非授權行為或潛在的攻擊行為;
3.及時更新操作系統補丁;
4.安裝并及時更新殺毒軟件;
5.不要輕易打開來源不明的電子郵件;
6.定期在不同的存儲介質上備份信息系統業務和個人數據。
【首度回應】
中央網信辦:“蠕蟲”式勒索軟件傳播速度放緩
5月15日,千龍網記者就“蠕蟲”式勒索軟件攻擊事件采訪了中央網信辦網絡安全協調局負責人。
據該負責人介紹,5月12日起,一款勒索軟件在全球較大范圍內傳播,感染了包括醫院、教育、能源、通信、制造業等以及政府部門在內的多個領域,我國一些行業和政府部門的計算機也受到了感染,造成了一定影響。事件發生后,公安、工信、教育、銀行、網信等有關部門都立即做了部署,對防范工作提出了要求。奇虎360、騰訊、安天、金山安全、安恒、遠望等相關企業迅速開展研究,主動提供安全服務和防范工具。各相關媒體做了大量報道,對提高全社會的防范意識、遏制勒索軟件發揮了重要作用。目前,該勒索軟件還在傳播,但傳播速度已經明顯放緩。
該負責人表示,幾天來應對該勒索軟件的實踐表明,對廣大用戶而言最有效的應對措施是要安裝安全防護軟件,及時升級安全補丁,即使是與互聯網不直接相連的內網計算機也應考慮安裝和升級安全補丁。作為單位的系統管理技術人員,還可以采取關閉該勒索軟件使用的端口和網絡服務等措施。
此次勒索軟件較大范圍傳播是近年來少有的,再一次給人們敲響了警鐘。互聯網等信息技術的快速發展,在給人們帶來巨大福祉的同時,也帶來了前所未有的網絡安全挑戰。該負責人建議,各方面都要高度重視網絡安全問題,及時安裝安全防護軟件,及時升級操作系統和各種應用的安全補丁,設置高安全強度口令并定期更換,不要下載安裝來路不明的應用軟件,對特別重要的數據采取備份措施等。
近肆虐全球的勒索病毒無疑掀起了一場互聯網安全風暴,由于該病毒的擊方式均為通過向 Windows 服務器發送特殊設計的消息,從而允許執行遠程的攻擊代碼。黑客會在公網掃描開放 445 端口的 Windows 設備并植入勒索軟件,而這一過程無需用戶的任何操作,這也正是這款病毒的恐怖之處。
一旦被感染,你計算機中的所有圖片、文檔、視頻等文件都會被加密,必須向黑客支付比特幣才能解鎖文件。由于黑客采用的加密方式安全性極高,至今還沒有方法將其破譯或者找到什么后門來繞過去。
上圖便是計算機被勒索病毒入侵后的樣子,看著這滿屏地道的中文,小編不禁要感嘆,這年頭連國外的病毒都要搞個中文版,還真是“貼心”呢。隨著互聯網的發展與個人PC的普及,電腦硬盤中往往存放著大量重要數據,比如自己搜集的各種資料、密碼表單、工作文件和客戶資料等等,這些數據一旦遭到破壞,對于我們個人的損失那真是太大了。
不過對于國內的普通家庭用戶而言,由于此前國內曾被利用類似技術的蠕蟲病毒攻擊過,因此國內運營商在主干網上封掉了 445 端口,但是國內高校的教育網并未封掉 445 端口,所以本次國內各大高校的電腦可就成了病毒泛濫的重災區,不少學生黨紛紛表示自己的畢業論文神馬的全被劫持了。
看到這,估計不少人都要站出來對Windows系統的電腦來批判一番,看人家蘋果的電腦不久沒事兒嗎?要知道,本次勒索病毒入侵的目標根本不是蘋果用戶,原因不是蘋果系統多么安全而無法攻破,因為同Windows相比,蘋果系統的電腦裝機量過低,黑客們忙活半天也入侵不了多少電腦,也就沒被黑客們盯上。
就算是中了病毒的電腦,這口鍋也不應該讓微軟來背,要知道早在三月份的時候微軟就發布相關的安全補丁將本次勒索病毒利用的系統漏洞及時封堵了。很多人自己不去更新系統,等中了毒,反過來說Windows太垃圾。微軟表示,這個鍋我可不背。所以現在沒有安裝更新文件的同學們,趕快去安裝安全補丁吧!
很好奇這些的電腦是否安康
還有很多裝了win10系統的同學們來“吐槽”微軟,win10的兼容性真差,病毒都無法正常運行!
我的電腦太渣,沒法安裝win10,難道只能任由病毒去綁架勒索了嗎?也不盡然,這要取決于你的電腦到底有多渣,一位網友用的是XP系統加古董配置,他的電腦在感染了勒索病毒后,卻被系統提示“失去響應”而強制終止。疑似配置太低無法滿足運行需求……
這種爛電腦連中毒的資格都沒有了。
這次勒索病毒事件,無疑給大家的網絡安全意識敲響了警鐘,平時記得要保持良好的使用電腦習慣,及時安裝安全更新文件,確保個人信息資料的安全。
這個數字時代,信息變得越來越重要,但同時也面臨著被攻擊的風險。尤其是勒索軟件這種東西,簡直就像是黑暗中的小偷一樣,悄無聲息地潛伏在網絡中,等待著抓住不注意的人。所以,我們必須要想辦法,保護好我們的信息,讓它們遠離這些壞家伙的魔爪。
首先,咱們得從自己的電腦上下手。通過安裝一些牛X的殺毒軟件,把我們的電腦包裹得嚴嚴實實,不給勒索軟件們任何可乘之機。而且,還要提高自己的警惕意識,不要隨便點開不明來歷的鏈接,以免掉進陷阱里。
其次,要加強網絡防護。就好像我們家門口裝了一個大門一樣,要保證我們網絡的安全,得裝上一道防火墻,擋住那些壞蛋的入侵。而且,還得關照那些常常上網的朋友,告訴他們一些防范勒索軟件的小竅門,讓大家都能一起守護著我們的網絡家園。
但是,有時候事情還是會出現意外。一旦我們的信息被綁架了,我們可不能束手無策,得想辦法解救它們。首先,得趕緊隔離被綁架的設備,切斷它們和網絡的聯系,以免病毒繼續擴散。然后,得找來一些厲害的殺毒軟件,對被綁架的設備進行全面掃描,清除掉所有的病毒,把我們的信息從病毒的魔掌中解救出來。
當然,除了自己動手,還可以找一些專業的人來幫忙。比如,有些專業的技術人員,他們懂得很多關于網絡安全的知識,可以幫我們找出病毒的攻擊路徑,甚至可以幫我們把被加密的文件解密出來,讓我們的信息重見天日。
總的來說,保護好我們的信息,不讓它們被綁架,是我們每個人都應該做的事情。通過加強電腦和網絡的防護,提高自己的安全意識,以及及時處理信息被綁架的情況,我們完全可以讓我們的信息遠離危險,安全無虞。