网络勒索病毒大规模爆发 专业机构正重点研究“文件解锁”手段

中国青年网 2017/5/13 20:01:00

感染病毒后需要支付比特币才能恢复。

中国青年网北京5月13日电 (记者 孙钊) 日前,不法分子使用NSA泄漏的黑客武器攻击电脑系统的漏洞,令ONION、WNCRY等勒索病毒在校园网内快速传播感染。同时,部分企业甚至包括一些基础设施的隔离内网也遭遇攻击。今天下午,国家信息技术安全研究中心肖彪处长在接受中国青年网记者采访时表示,未感染病毒用户开启主流杀毒软件和终端防火墙即可最大限度的抵御病毒入侵和破坏;针对已经感染用户,目前尚无完美的解决途径,而相关专业机构正在研究解决策略。

该勒索病毒软件是一种黑客用来攻击用户计算机,对计算机内部的信息、资源进行加密,并以解密为交换条件对用户进行钱财勒索的恶意软件。它收取的赎金一般以“比特币”支付,目的在于隐蔽黑客身份。当系统被该勒索软件入侵后,弹出勒索对话框,要求电脑用户支付“赎金”赎回被加密的文件。中国青年网记者注意到,在弹出的对话框信息中,黑客要求用户在三天之内支付费用,否则“费用就会翻倍”。

加密之后的文件名。 来源:合肥网警

据了解,该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,攻击者扫描全网开放的445端口,再利用自动化攻击脚本生成恶意文件感染主机。

肖彪介绍,这款网络勒索病毒主要有两方面的内容:首先起到“蠕虫”的功能;其次起到“勒索”的功能。“‘蠕虫’是一种攻击方式,能够实现自我的感染,在局域网中,如果一台机器受到感染,那么病毒将会借助内网对其他有问题的机器进行感染;而‘勒索’则是黑客释放病毒的最终目的。”

如果互联网用户已经感染了该网络勒索软件,目前尚无完美的处理方法。肖彪称,“由于该网络勒索病毒密码强度非常大,能够破解的难度也非常高,我们也正在抓紧研究。”肖彪提醒广大用户,及时备份重要文件,采用基于“云”的方式保证重要文件的安全。

普通的互联网用户如何保护自己电脑上的重要文件不受勒索病毒的影响?肖彪解释,“病毒”是重点通过内网的445端口进行攻击,由于互联网已经屏蔽该端口,所以是无法通过互联网进行传播的。但是需要警惕通过点击邮件的附件链接或者下载可执行程序的过程中感染病毒。“肖彪表示,普通的互联网用户在上网中需要及时安装微软发布的补丁以及主流的杀毒软件并且开启防火墙的话,是可以有效抵御该网络勒索病毒的。

针对企业或者其他单位,可以采取如下的措施:

1.建议管理员周末在接入交换机或者核心交换机抓包,查看是否有大量扫描内网139、135、445端口的网络行为,并且定位谁发起的扫描,对扫描设备进行下线查病毒处理。

2.建议管理员周末做相关的Vlan策略,并且开启ACL措施,防止大规模网络感染的情况存在。

3.重点提醒防范周一起来随意接收邮件的行为,对邮件附件采用专业的安全团队进行分析判断。

4.抓紧升级补丁以及开启终端防火墙

主机层防护措:

1、临时措施:用单机版防火墙关闭windows终端的的135、139、445端口;

启用并打开”Windows防火墙“,进入”高级设置“,在入站规则里禁用”文件和打印机共享“相关规则。

2、针对windows xp,2003以上系统需要升级最新的MS17-101补丁;

3、针对windowsXP 以及 2003,建议升级操作系统版本

4、针对windows服务器照样受到蠕虫影响,建议采取以上3点措施;

主动防御层面:

1、开展针对病毒及APT的监测工作,防范带有恶意行为的可执行文件传入内网,包括开展针对邮件、U盘文件以及其他互联网下载文件等;

2、针对内网进行网络区域隔离,屏蔽445、135、139端口的互相访问;

3、采用终端防病毒措施;

主动检测层面:

扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS17-010补丁,如没有安装则受威胁影响。

免责声明: 本文仅代表作者个人观点,与重庆微发布无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

微信扫描二维码关注重庆微发布公众号

数据加载中... ...