5月12日,全球多个国家遭受勒索软件攻击。电脑被感染后,文件会被加密锁住。
攻击者称需支付价值相当于300美元(约合人民币2069元)的虚拟货币才可解锁。
中国多所高校中招,许多学生的毕业论文被篡改加密。云南农业大学也有8名学生的电脑感染“比特币勒索病毒”。
此外,全国多地的中石油加油站无法进行网络支付,疑因受到该病毒攻击。
1、已有99个国家遭受了攻击
上图为目前被电脑病毒袭击的地区。
据央视新闻报道,目前已有99个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利。
而对英国的攻击主要集中于英国国家医疗服务体系(NHS),英国国内共有45家医院电脑系统受到攻击,出现救护车无法派遣,手术被取消的情况,极有可能耽误病人治疗,造成性命之忧。
2、云南农业大学8名学生的电脑感染“病毒”
据悉,贺州学院、桂林电子科技大学、桂林航天工业学院、宁波大学,浙江中医药大学、浙江工商大学、浙江理工大学、大连海事大学、山东大学等众多高校都受到了病毒攻击。
5月13日下午,有网友在微博评论称,云南农业大学已有学生电脑中招,由于毕业论文都在电脑里,为了不影响今天答辩,同学们只有昨夜连夜赶制答辩ppt。同时,在多个QQ群中,也有学生证实云南农业大学学生电脑中勒索病毒的真实性,学校已发通知让学生们不要上校园网。
云南农业大学网络中心主任吴兴勇,他表示,12日夜里11时左右,网络中心确实接到了8名同学电脑中了“勒索病毒”的消息。经了解,除校内网络,他们都自己从校外接通了联通网络。学校得知情况后,马上采取了应急措施,彻查学校校园网络办公区及宿舍区中病毒情况,通知联通、移动公司负责农大校内网络连接负责人,在病毒猖獗期屏蔽网络相关端口。学校还在校园网络中通知学生注意防范病毒威胁。吴主任称,通过紧急防范,目前校内学生可以安全使用校园网,但最好不要使用其他外接网络。
3、中国多地中石油加油站无法网络支付
据中新网消息,5月13日,全国多地包括北京、上海、重庆、成都等多城的部分中石油旗下加油站在今日0点左右突然断网,而因断网目前无法使用支付宝、微信等联网支付方式,只能使用现金。
中石油有关负责人表示,目前公司加油站的加油业务和现金支付业务正常运行,但是第三方支付无法使用,怀疑受到病毒攻击,具体情况还在核查处置中。
4、黑客组织曾在网上叫卖
新华社13日援引俄罗斯网络安全企业卡巴斯基实验室发布的一份报告说,这次网络攻击所用的黑客工具“永恒之蓝”,来源于美国国家安全局的网络武器库。
今年4月14日,一个名为“影子中间人”的黑客组织曾经进入美国国家安全局(NSA)网络,曝光了该局一批档案文件,同时公开了该局旗下的“方程式黑客组织”使用的部分网络武器。据报道,其中包括可以远程攻破全球约70% “视窗”系统(Windows)机器的漏洞利用工具。经紧急验证这些工具真实有效。
据了解,这些曝光的文件包含了多个Windows“神洞”的利用工具,不需要用户任何操作,只要联网就可以远程攻击,和多年前的冲击波、震荡波、Conficker等蠕虫一样可以瞬间血洗互联网。
据美国有线电视新闻网(CNN)4月15日报道,公开这些网络武器正是这个名为“影子中间人”(Shadow Brokers)的黑客组织。报道称,这批网络武器针对安装有微软公司windows系统的电脑和服务器的安全漏洞,可能会被用于攻击全球银行系统。
实际上早在去年,“影子中间人”就已经窃取了美国国家安全局的网络武器。2016年8月13日,黑客组织“影子中间人”通过社交平台称,已攻入美国国家安全局(NSA)的网络“武器库”——“方程式组织”,并泄露了其中部分黑客工具和数据。
据CNN报道,该黑客组织曾经尝试在网络上出售这批网络武器,但是未能成功。据报道,该黑客组织曾经宣称如果他们收到100万个比特币(总价值约为5.68亿美元),就会公布所有工具和数据。
美国“截击”网站2016年8月19日证实,根据“棱镜门”事件曝光者、爱德华·斯诺登提供的最新文件,黑客组织此前称要在网上拍卖的强悍“网络武器”携带有美国国家安全局(NSA)的虚拟指纹,因此显然属于该局使用的黑客工具,其中不少可秘密攻击全球计算机。据报道,最重要的证据,来源于斯诺登最新提供的一份绝密文件——美国国家安全局“恶意软件植入操作手册”。
复旦大学美国研究中心副研究员汪晓风表示,很多系统漏洞是由NSA先发现的,但并不告知公众,而是故意利用漏洞来开发网络武器和实施网络攻击。虽然从法律上NSA并没有义务向公众公开自己发现的漏洞,但这至少可以说明美国政府在类似问题上对公众利益不够重视。
据媒体报道,“方程式组织”开发机构实际上与美国国家安全局关系密切,是一个该局可能“不愿承认的”部门,这在黑客圈几乎是尽人皆知的秘密。“方程式组织”的开发机构已经活跃近20年,是全球技术“最牛”的黑客组织。
如何应对?
事前预防
事前预防包含三招:“封堵漏洞、预防中毒”、“云端服务封堵漏洞”、以及“备份数据,安装安全软件。
封堵漏洞,预防中毒
本指南提供A、B两种方案,选择任意一种方案即可。如对操作系统不熟悉,推荐使用A方案。
方案A:(推荐方案)使用腾讯电脑管家勒索病毒免疫工具
下载地址: https://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/VulDetector.exe
使用方案:下载后直接运行。如出现下图的操作系统用户账户控制,请选择“是”。
方案B:手动关闭端口,下载安装补丁
在微软官方页面下载操作系统补丁
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
利用防火墙添加规则屏蔽入口
● 开始菜单 打开控制面板 选择Windows防火墙
● 如果防火墙没有开启,点击“启动或关闭 Windows防火墙”启用。
● 在打开窗口哦选择要创建的规则类型为“端口”,并点击“下一步”。
● 在“特定本地端口”处填入445并点击“下一步”,选择“阻止连接”,一直点击“下一步”,并给规则任意命名后点击完成即可。
注:不同系统可能有些差异,不过操作类似
云端服务、封堵漏洞
如果支付服务部署在腾讯云,请按照下述方法配置 安全组规则屏蔽445端口:
选择需要操作机器所属的安全组,点击“编辑规则”。
直接点击快捷配置按钮“封堵安全漏洞”就可以自动添加规则。
该快捷按钮将会添加“137、139、445”三个端口的屏蔽规则。
如果只想添加本次所影响的445端口,可以在保存前进行调整(请注意:如非业务需要,不建议调整)。
备份数据、安装安全软件、开启防护
对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份。
部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失。
目前,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,避免遭受攻击。
可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用)。
事后病毒处理
首先可以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器。
病毒清理。相关安全软件(如电脑管家)的杀毒功能能直接查杀勒索软件,可以直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装)。
也可以在备份了相关数据后直接进行系统重装,并在重装后参考"事前预防"进行预防操作。
参考链接
[1] 微软MS17-010漏洞公告及补丁下载
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
[2] 微软Windows XP/2003补丁下载
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
[3] 腾讯云事件预警
https://bbs.qcloud.com/thread-29948-1-1.html
[4] 勒索病毒”爆发 腾讯云安全专家教你来防范
https://v.qq.com/live/p/topic/29893/review.html
[5] 电脑管家下载及事件专题页面
https://guanjia.qq.com/wannacry/index2.html
[6] 腾讯电脑管家对于WannaCry蠕虫的详细分析
https://slab.qq.com/news/tech/1575.html
[7] 腾讯云针对方程式工具包预警及修复建议
https://bbs.qcloud.com/thread-28531-1-1.html
[8] 腾讯安全反病毒实验室解读“Wannacry”勒索软件
https://tech.qq.com/a/20170513/018532.html
感谢小燕子推荐提醒