日前,新型“蠕虫式”勒索软件 WannaCry
在全球爆发,攻击各国政府,学校,医院等网络。目前已知有99个国家受害,据报英国医疗系统、快递公司FedEx、俄罗斯第2大电信公司Megafon都是这轮攻击的受害者。
因为要求受害人在3天内支付300美元同等价值的比特币赎金,超时翻倍。因此,又叫“比特币病毒”。
我国众多行业大规模受到感染,其中教育网受损最为严重,攻击造成大量教学系统瘫痪。
全球90多个国家成为攻击对象
今次包括中国、英国、俄罗斯、西班牙等
超过90国家的计算机都成为黑客攻击对象
规模之大几乎使正使用PC的用户都有机会中招。
另据中新网北京5月13日报道,今日全国多地的中石油加油站无法进行网络支付,只能进行现金支付。
最先遭到攻击的是英国NHS(英国国家医疗服务体系)系统。
另据BBC报道,英国多家医院同样受到勒索软件攻击,攻击者向每家医院索要300比特币(接近400万人民币)的赎金,否则将删除所有资料。
截至今晨,全球74个国家的7万多台电脑遭到感染。
WannaCry中毒后症状
annaCry 勒索软件是不法分子通过改造NSA泄露出来的黑客武器库“Eternalblue”攻击程序发起的网络攻击事件。
该勒索软件传播过程如下:
黑客发送邮件给用户,该邮件包含一个指向该勒索软件的恶意链接
用户如果没有更新微软最新补丁,点击该链接就会感染勒索软件
勒索软件进入局域网后通过445端口自动感染其他未打补丁的系统。
一旦磁盘文件被该勒索软件加密,只有支付高额赎金才能解密恢复文件,目前全球还不具备解密该勒索软件加密的文件。
当系统被该勒索软件入侵后,弹出勒索对话框:
加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。
攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档”。
勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。
该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。
该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件:
该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头:
注:该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。
如何应对
由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。
1、在无法判断是否感染该勒索软件的情况下,立即断网,检查电脑主机,修复MS17-010漏洞、关闭445端口。
2、对已经感染勒索软件攻击的机器建议立即隔离处置,防止感染范围进一步扩大。
3、出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。
4、及时备份重要业务系统数据,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。
5、目前亚信、安天、360、北信源、瑞星5家公司已经研发出针对该病毒的最新专杀工具。
Win7、Win8、Win10的处理流程
1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙。
2、选择启动防火墙,并点击确定
3、点击高级设置
4、点击入站规则,新建规则
5、选择端口,下一步
6、特定本地端口,输入445,下一步
7、选择阻止连接,下一步
8、配置文件,全选,下一步
9、名称,可以任意输入,完成即可。
