紧急通知!电脑大面积中毒!请立即按此方法操作!否则损失惨重!
美国《纽约时报》已经证实,今天全球爆发的这次恶性病毒袭击事件,正是一群匿名黑客在盗取了美国国家安全局的病毒代码后,直接利用该代码强化了一种之前的恶性病毒,然后就引发了这次全球的病毒危机!
而且,根据《纽约时报》的报道,从去年夏天开始,美国国家安全局就已经被这群黑客盗取了多种病毒代码。更吓人的是,根据“维基解密”网站的曝光,这些病毒代码几乎每一种都可以引发全球电脑的混乱!
然而,美国政府从来没有承认过此事。但美国的前情报人员表示,这些病毒程序确实是美国国家安全局研发出来入侵和锁定别国电脑系统的。
而且,有专家还表示,普通黑客研发的电脑病毒不可能有这么猛烈的传播性。这些专家甚至表示今天这轮的病毒飓风,是“十年未见”的……
2017 年 5 月 12 日全球多个国家和地区爆发的一次黑客利用先前泄露的 NSA 攻击工具「永恒之蓝」(Eternal Blue)进行的大规模攻击勒索,该攻击导致大量用户文档和图片无法打开,并被要求支付赎金。
昨日起,中国、英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,只有支付赎金电脑才能恢复文档,目前没有好的解决方法。
目前,教育网等类似的内网电脑也出现勒索病毒。请收到此通知后迅速检查本单位的所有电脑,如有出现电脑中毒,迅速断网关机,并将电脑送相关部门。为避免病毒进一步的扩散,没有使用的电脑赶紧关机。一旦中毒数据很难恢复。
没中毒的单位电脑赶紧按以下方法操作!!!
未中毒的电脑防疫方法:
1、目前360有一个“NSA武器库免疫工具”可以应对本次网络袭击,下载地址是:http://dl.360safe.com/nsa/nsatool.exe 打开后有明确的提醒,点“立即修复”后等一会儿就实现免疫了;
2、最简单的,还是打补丁,这波利用的是MS17-010,补丁下载地址在:https://technet.microsoft.com/zh-cn/library/security/MS17-010 有兴趣的可自行研究,Vista、Win7、Win8.1、Win10、Server 2008、Server 2012、Server 2016无一幸免。什么?XP?2003?更别说了,妥妥的会中招!另外,建议您安装360、Symantec、Kaspersky、McAfee等安全防护软件!
3、建议内网电脑在出口防火墙封禁445端口,其实,135/136/137/139/445都可以……个人电脑上,也可以通过Windows自带防火墙进行封禁操作。
目前有一个“一键封禁445端口”的脚本,操作简单,特别适用于高校、政府等用户!下载地址:http://www.secboot.com/445.zip。
4、陌生人传的文件、陌生的电子邮件……一定不要点开!小心驶得万年船。
建议立即把电脑的重要文档进行备份
单位电脑立即打补丁免疫!!
中毒的电脑马上关机断网!!
请把此文分享到圈子和单位的群里!万分重要!
安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发
1. 概述
安天安全研究与应急处理中心(Antiy CERT)发现,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。
据BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校……
经过安天CERT紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。
安天CERT在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》[1]中提到“网络军火”的扩散全面降低攻击者的攻击成本和勒索模式带动的蠕虫的回潮不可避免等观点。结果未满1个月,安天的这种“勒索软件+蠕虫”的传播方式预测即被不幸言中,并迅速进入全球性的感染模式。
安天依托对“勒索软件”的分析和预判,不仅能够有效检测防御目前“勒索软件”的样本和破坏机理,还对后续“勒索软件”可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“wannacry”加密用户磁盘文件。
2. 事件分析
经过安天CERT紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。
2.1 本地行为
当系统被该勒索软件入侵后,弹出勒索对话框:
图 1 勒索界面
加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。
图 2 加密后的文件名
攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档” (该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击 <Decrypt> 按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。
图 3 可解密数个文件
该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。
图 4 28种语言
该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置等文件:
c:\Users\gxb\Desktop\@Please_Read_Me@.txt
c:\Users\gxb\Desktop\@WanaDecryptor@.exe
c:\Users\gxb\Desktop\@WanaDecryptor@.exe.lnk
c:\Users\gxb\Desktop\b.wnry
c:\Users\gxb\Desktop\c.wnry
c:\Users\gxb\Desktop\f.wnryc:\Users\gxb\Desktop\msg\m_bulgarian.wnry
c:\Users\gxb\Desktop\msg\m_chinese (simplified).wnry
c:\Users\gxb\Desktop\msg\m_chinese (traditional).wnry
c:\Users\gxb\Desktop\msg\m_croatian.wnry
c:\Users\gxb\Desktop\msg\m_czech.wnry
c:\Users\gxb\Desktop\msg\m_danish.wnry
c:\Users\gxb\Desktop\msg\m_dutch.wnry
c:\Users\gxb\Desktop\msg\m_english.wnry
c:\Users\gxb\Desktop\msg\m_filipino.wnry
c:\Users\gxb\Desktop\msg\m_finnish.wnry
c:\Users\gxb\Desktop\msg\m_french.wnry
c:\Users\gxb\Desktop\msg\m_german.wnry
c:\Users\gxb\Desktop\msg\m_greek.wnry
c:\Users\gxb\Desktop\msg\m_indonesian.wnry
c:\Users\gxb\Desktop\msg\m_italian.wnry
c:\Users\gxb\Desktop\msg\m_japanese.wnry
c:\Users\gxb\Desktop\msg\m_korean.wnry
c:\Users\gxb\Desktop\msg\m_latvian.wnry
c:\Users\gxb\Desktop\msg\m_norwegian.wnry
c:\Users\gxb\Desktop\msg\m_polish.wnry
c:\Users\gxb\Desktop\msg\m_portuguese.wnry
c:\Users\gxb\Desktop\msg\m_romanian.wnry
c:\Users\gxb\Desktop\msg\m_russian.wnry
c:\Users\gxb\Desktop\msg\m_slovak.wnry
c:\Users\gxb\Desktop\msg\m_spanish.wnry
c:\Users\gxb\Desktop\msg\m_swedish.wnry
c:\Users\gxb\Desktop\msg\m_turkish.wnry
c:\Users\gxb\Desktop\msg\m_vietnamese.wnry
c:\Users\gxb\Desktop\r.wnry
c:\Users\gxb\Desktop\s.wnry
c:\Users\gxb\Desktop\t.wnry
c:\Users\gxb\Desktop\taskdl.exe
c:\Users\gxb\Desktop\taskse.exe
该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头:
加密如下后缀名的文件:
.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF .XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE .GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML .KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC .DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY .KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR .RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014 .TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF .AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP .DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK .DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG |
注:该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。
图 6 无法找到语言配置文件
2.2 网络行为
该勒索软件执行后会生成随机IP,并自动向生成的IP发起攻击。 内网传播
3.临时解决方案
开启系统防火墙
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)
打开系统自动更新,并检测更新进行安装
Win7、Win8、Win10的处理流程
打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
选择启动防火墙,并点击确定
点击高级设置
点击入站规则,新建规则
选择端口、下一步
特定本地端口,输入445,下一步
选择阻止连接,下一步
配置文件,全选,下一步
名称,可以任意输入,完成即可。
XP系统的处理流程
依次打开控制面板,安全中心,Windows防火墙,选择启用
点击开始,运行,输入cmd,确定执行下面三条命令
net stop rdr |
由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。
4 安天的有效应对策略建议
安天CERT曾发布多篇勒索软件报告[2]:
《揭开勒索软件的真面目》
《"攻击WPS样本"实为敲诈者》
《邮件发送js脚本传播敲诈者木马的分析报告》
《首例具有中文提示的比特币勒索软件"LOCKY"》
《多起利用POWERSHELL传播恶意代码的事件分析》
《勒索软件简史》[3]
安天CERT曾在2004年绘制了当时的主流蠕虫与传播入口示意图,该图曾被多位研究者引用。可以肯定的是,尽管其中很多方式在DEP和ASLR等安全强化措施下已经失效,但存在问题的老版本系统依然存在。勒索模式带动的蠕虫回潮不可避免,同时利用现有僵尸网络分发,针对新兴IoT场景漏洞传播和制造危害等问题都会广泛出现。而从已经发生的事件来看,被敲诈者不仅包括最终用户,而且在大规模用户被绑架后,厂商也遭到敲诈。
图 8蠕虫时代的传播入口到勒索软件的传播入口
图 9需要警惕的勒索软件入口
勒索软件给国内政企网络安全也带来了新的挑战。在较长时间内,国内部分政企机构把安全的重心放在类似网站是否被篡改或DDoS等比较容易被感知和发现的安全事件上,但对网络内部的窃密威胁和资产侵害则往往不够重视,对恶意代码治理更投入不足。因为多数恶意代码感染事件难以被直观地发现,但“敲诈者”以端点为侵害目标,其威胁后果则粗暴可见。同时,对于类似威胁,仅仅依靠网络拦截是不够的,必须强化端点的最后一道防线,必须强调终端防御的有效回归。安天智甲终端防御系统研发团队依托团队对“敲诈者”的分析和预判,依托安天反病毒引擎和主动防御内核,完善了多点布防,包括文档访问的进程白名单、批量文件篡改行为监控、诱饵文件和快速文件锁定等。经过这些功能的强化,安天不仅能够有效检测防御目前“敲诈者”的样本,并能够分析其破坏机理,还对后续“敲诈者”可能使用的技巧进行了布防。除了PC端的防护产品,安天AVL TEAM对Android平台的反勒索技术做了很多前瞻性的研究工作,并应用于安天移动反病毒引擎中。安天能在网络流量侧使用探海威胁检测系统检测勒索软件的传播。
针对勒索软件的防护,安天采用回溯判定、分级防护的策略,通过安天追影威胁分析系统自动化判定勒索软件,并提供检出规则和特征分发到其他安全产品中,探海威胁检测系统可对进入企业的勒索软件进行威胁感知,镇关威胁阻断系统对勒索软件进行传播阻断,智甲终端防御系统进行主机侧的检出、阻断与阻止勒索软件加密磁盘文件。
金钱夜未眠,在巨大的经济利益驱使下,未来勒索软件的传播途径和破坏方式也会变得愈加复杂和难以防范。作为安天智甲的开发者,我们期望帮助更多用户防患于未然。
5 完善内网纵深防御体系和能力势在必行
从NSA网路军火泄露ETERNALBLUE漏洞利用工具,到本次利用相关漏洞传播的勒索软件全球爆发,安天在本年度首次启动了A级风险预警到大规模安全风险应急。
这是自心脏出血、破壳和mirai之后,安天又一次启动A级风险应急,并为本次事件逐步从A级安全风险提升到大规模A级安全灾难。
在过去几年间,类似“红色代码”、“震荡波”、“冲击波”等大规模蠕虫感染带来的网络拥塞,系统大面积异常等事件日趋减少。而对基于PC节点的大规模僵尸网络的关注也开始不断下降,类似Mirai等IoT僵尸网络开始成为注意力的焦点。这使传统IT网络开始陷入一种假想的“平静”当中。由于Windows自身在DEP、ASLR等方面的改善, 使一击必杀的系统漏洞确实在日趋减少,主流的攻击面也开始向应用开始转移。在这种表面上的平静之中,以窃密、预制为目的的APT攻击,则由于其是高度隐秘的、难以为IT资产的管理者感知到的攻击,始终未能得到足够的重视。而黑产犯罪的长尾化,针对性的特点,也使其并不依赖极为庞大的受害人群分布,即可获得稳定的黑色收益。因此在过去几年,内网安全风险是围绕高度隐蔽性和定向性展开的,这种风险难以感知的特点,导致内网安全未得到有效的投入和重视。也为导致今天的大规模安全灾难形成了必然基础。勒索软件的一大特点,是其威胁后果是直接可见的。这种极为惨烈的损失,昭示了内网安全的欠账。也说明我们长期在简单的边界防护、物理隔离和内部的好人假定的基础上经营出安全图景,是一种“眼不见为净”式的自欺,无法通过攻击者的检验。
当前,我国在内网安全体系上的能力缺陷,一方面是安全产品未能得到全面部署和有效使用,另一方面则首先是其规划建设中没有落实“三同步”的原则,缺少基础的安全架构。安天、360等能力型安全厂商共同认同的滑动标尺模型,认为安全能力可以划分成架构安全、被动防御、积极防御、威胁情报等层次。各层次构成一个有机的整体,网络安全规划以基础的安全架构和可靠的被动防御手段为基础,叠加有效的积极防御和威胁情报手段。如果没有架构安全和被动防御的基础支撑,那么上层能力难以有效发挥;如果没有积极防御和威胁情报的有效引入,仅靠基础措施也无法有效的对抗深度的威胁。每个安全层次解决不同的问题,有不同的价值。相对更低的层次付出的成本更低,但解决的问题更基础广泛。从网络安全投入上看,越是网络初期越要打好底层的工作,而越是保障高等级的资产,就需要在积极防御和威胁层面做出投入延展。
习近平总书记在4.19网络安全与信息化工作座谈会上已经告诫我们“网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念并特别指出了 “物理隔离”防线可被跨网入侵”等若干值得关注的安全风险。要求我们全天候全方位感知网络安全态势。
在2月17日国家安全工作座谈会上,总书记又进一步强调要“实现全天候全方位感知和有效防护”。
防护的有效性最终要在与攻击者的对抗中检验,尽管这次事件带来的损失已经是非常惨痛的,但我们需要警醒的是,相对更为深度、隐蔽的针对关键信息基础设施的攻击,这种后果可见的大规模灾难依然是一种浅层次风险。有效完善纵深防御体系和能力势在必行。
附录一:参考资料
来源:《2016年网络安全威胁的回顾与展望》http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
来源:安天安全响应报告 http://www.antiy.com/response.html
《中国信息安全》杂志2017年第4期
附录二:关于安天
安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。
全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AVTEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。