咨詢熱線:400-0029-112
新聞資訊
Encyclopedia of hairy crabs
推薦信息
各個醫院的同仁們注意啦,WannaCrypt勒索病毒原來是這么一回事
瀏覽人數:1107人    時間:2019-01-23

想哭!一個被稱為“WannaCry”(也有稱WannaCrypt)的勒索病毒近期在全球范圍內肆虐。這個傳說中屬于“網絡戰武器”的病毒,到底是怎么回事?

什么是WannaCrypt勒索病毒?

篮球巨星壁纸 www.poigg.icu 北京時間2017年5月12日晚上22點30分左右,全英國上下16家醫院遭到大范圍網絡攻擊,醫院的內網被攻陷,導致這16家機構基本中斷了與外界聯系,內部醫療系統幾乎停止運轉,很快又有更多醫院的電腦遭到攻擊,這場網絡攻擊迅速席卷全球。

這場網絡攻擊的罪魁禍首就是一種叫WannaCrypt的勒索病毒,該病毒是由不法分子通過改造“永恒之藍”網絡攻擊工具而制作。

勒索病毒本身并不是什么新概念,勒索軟件Ransomware最早出現在1989年,是由Joseph Popp編寫的叫"AIDS Trojan"(艾滋病特洛伊木馬)的惡意軟件。在1996年,哥倫比亞大學和IBM的安全專家撰寫了一個叫Cryptovirology的文件,明確概述了勒索軟件Ransomware的概念:利用惡意代碼干擾中毒者的正常使用,只有交錢才能恢復正常。

哪些地方的系統成為病毒重災區?

因為NSA的永恒之藍漏洞太強大了,除了更新了的Windows 10系統(版本1703)之外的其它Windows系統都可能受到漏洞影響。

目前已知的受影響的系統有: Windows Vista、Windows 7、Windows 8.1、Windows Server 2008(含R2)、Windows 2012(含R2)、Windows2016、已脫離服務周期的Windows XP、Windows Server 2003、Windows 8以及關閉自動更新的win10用戶。

英國醫院成為病毒入侵重災區的一個重要原因,就在于系統的落后,英國醫院的IT系統一直沒有及時更新,仍然在使用Windows XP系統,而Windows XP系統在2014年4月之后就沒有發布更新的安全補丁了。

除了英國,意大利、德國、俄羅斯、西班牙等國家都大范圍爆發勒索病毒。

意大利的大學機房被攻擊

5月12日僅一夜之間,全世界就有超過99個國家遭到攻擊,共計七萬多起。

我們國家的內網受損害也很嚴重,尤其是高校的校園網,很多單位都在內網和外網之間部署了防火墻進行網絡控制,但內網的安全反而多多少少有些被忽視,因為內網機器相互訪問的需求,再加上網絡管理人員忽略了內網本身的安全控制,在不少企業的內網里,絕大多數端口甚至是完全開放的狀態。這種情況下,電腦間的網絡連接毫無限制,也就給了蠕蟲病毒以傳播機會。

WannaCry爆發一周年:醫療行業或成WannaCry 的變種病毒重點攻擊對象

距離去年5月12日勒索病毒爆發已經一周年了。一年前,一個叫“WannaCry”的勒索病毒突然大規模爆發,席卷全球150多個國家,造成高達80億美元的經濟損失。2018年以來,勒索變種仍然層出不窮,攻擊方式不斷升級,并開始從發達城市向偏遠地區擴散,大批企業用戶紛紛中招,其中不乏政府、高校、醫院等公共基礎設施。

國內越來越多的醫院正成為黑客攻擊的靶子:2017年5月,“永恒之藍”勒索軟件對成都市傳染病醫院等部分醫院造成影響;2018年2月,湖南省某醫院遭受勒索病毒攻擊,服務器所有數據文件被強行加密;同一時間,上海某公立醫院系統被黑,黑客勒索價值2億元的以太幣;2018年4月,杭州某醫院受到勒索病毒攻擊。

勒索病毒已發展成為威脅網絡安全的重大毒瘤,嚴重威脅著企業和個人用戶的文檔和數據安全,一旦中招,不但會受到經濟損失,還會嚴重影響醫院正常工作,造成十分惡劣的影響。據媒體報道,2018年2月24日,某醫院遭受勒索病毒攻擊時,服務器所有數據文件被強行加密,導致醫院系統癱瘓,取號、辦卡、掛號、收費、診療等業務均受到影響。此時正值流感高發季,醫院大廳人滿為患。據悉該院多臺服務器感染勒索病毒,數據庫文件、業務文件均被病毒加密破壞,攻擊者要求院方必須在六小時內為每臺感染終端支付1個比特幣贖金,約合每臺終端解鎖需要支付人民幣66000余元。

與其他機構相比,醫院的信息系統比較特殊,如其中的醫學記錄、數據、病患資料以及預約信息等,都屬于需要緊急使用的信息,被勒索病毒加密后,會造成比較大的影響,所以勢必會想盡辦法以最快速度恢復數據,比如,馬上交贖金。醫院信息系統遭遇勒索、發生故障,無論是哪種突發狀況,都將直接影響到患者正常就醫,甚至會關系到病患的生命安全。因此,在血淚教訓面前,快速獲得應對勒索病毒攻擊的解決方案尤為重要。

病毒變種分析

本次捕獲的WannaCry變種跟之前風靡全球的對主機進行勒索的WannaCry

具體的變化:

1、KillSwitch開關不再有效

之前的Wannacry病毒擁有KillSwitch域名開關,當病毒可以訪問該域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)時,病毒終止運行和傳播,不會對主機造成任何破會。變種病毒雖然也會連接改KillSwitch域名,但并不會因訪問到該域名而終止運行。由于該變種病毒不再受KillSwitch影響,但是可能會像當年的飛客蠕蟲一樣,感染量較大。

2、勒索程序運行失效,可造成系統藍屏崩潰

WannaCry之前的版本釋放勒索程序對主機進行勒索,變種后程序在主流Windows平臺下運行失敗,無法進行勒索操作。但如果內網中多個主機感染了該種病毒,病毒之間會利用“永恒之藍”漏洞進行互相攻擊。由于該變種病毒使用了堆噴射技術進行漏洞利用,并不穩定,存在小概率出現漏洞利用失敗。在漏銅利用失敗的情況下,會造成被攻擊主機藍屏的現象。

病毒影響

變種病毒傳播方式跟之前一樣,也是通過 MS17-010 中的“永恒之藍”漏洞進行傳播。病毒傳播過程中,漏洞利用成功時主機受感染,漏洞利用失敗則造成主機藍屏,藍屏信息顯示 srv.sys 驅動出現問題,srv.sys 正是存在“永恒之藍”漏洞的驅動文件。

該變種病毒單臺主機被感染特征不明顯,容易引發內網傳播,擴大影響范圍,需小心防范。

如何應對WannaCrypt勒索病毒?

1、微軟官方在 3 月份已發布補丁 MS17-010 修復了“永恒之藍”病毒所利用的 SMB 漏洞,請前往官網下載安裝。經過前段時間 WannaCry 勒索病毒事件已打過補丁的用戶將不受影響,無需再次升級補丁。補丁地址:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、暫時無法進行升級的用戶,可臨時禁止使用 SMB 服務的 445 端口,禁用方法:

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、深信服防火墻早在一個月前就已發布針對微軟 SMB 漏洞的攻擊防護,用戶升級到 20170415 及其以上版本即可防御此漏洞的攻擊。

4、深信服千里目安全實驗室在捕獲 WannaCry 變種樣本后緊急開發專殺工具,計算機在中病毒后,可以使用專殺工具進行查殺。建議先封閉本地主機的445端口,或者打完補丁后重啟主機,再進行專殺確保專殺干凈。專殺工具下載地址:

//sec.sangfor.com.cn/download?file=WannaCryKiller.exe

5、劃重點,電腦上的文件一定要備份,并且勤備份。注意不要備份在本機和網絡硬盤上,備份盤也不要一直插在電腦上;

6、安裝反勒索防護工具,不要訪問可疑網站、不要打開可疑的電子郵件和文件,如果發現被感染,也不要支付贖金;

双色球开奖数据库 全民彩 白小中特免费网站1392 通比牛牛怎样看走势规律 重庆时时人工计划稳赢 pk10双面盘 非凡炸金花玩的人多吗 极速pk10是真是假 11选5前二组选7码复式 重庆时时直播网址多少 固定比例倍投 北京pk拾app下载 彩票跟计划亏了 云南时时三星基本走势图 江苏一分快3稳赚公式 nba投注技巧