上海证券公司联盟

证监会拉响警报!勒索病毒来袭!

证券时报财富资讯2019-06-21 04:41:32

 昨日(5月13日),网友都被这样的一则新闻刷了屏:中国大批高校出现勒索病毒感染情况,众多师生电脑文件都被病毒加了密,只有支付高达5万元的赎金才能恢复,已经有学生因此耽误了答辩可能毕不了业。在国内,不少企业内网也已经面临此类威胁,而高校和医院则成了重灾区。


紧急!比特币勒索病毒爆发

5月14日,勒索病毒爆发,各大机构草木皆兵,证监会要求券商自查并做好防护。据悉,某券商信息技术总部接到通知,证监会机构部和协会十分重视勒索病毒事件,要求券商自查并做好预防保护,并于今天中午12点前反馈。从该券商的应对下发通知中可以看出,该券商已经制定相关技术应急处置方案,并已在进行各业务系统的检查和持续加固中。通知及技术应急处置方案通过邮件、短信、OA通知等发出,烦请各位提醒各部门、各分公司、子公司、营业部老总安排人员14日中午前完成协同检查,落实防护措施。


 而高校则是本次勒索病毒爆发的重灾区。360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。


 这是在国内,全球已经有近100个国家遭遇勒索病毒的袭击,在英格兰,至少16家医院和相关机构遭遇了攻击,苏格兰还有5家。每家医院除了面临约400万人民币的勒索,还面临电脑系统瘫痪、电话线路被切断、急诊病人被迫转移…

勒索病毒咋这么狂?


 这种勒索病毒名为WannaCry,从部分学校遭遇的大量感染事件上看,大量论文等重要文件被加密,只有使用比特币支付赎金才能恢复。

  

 此病毒的传播手段利用了4月14日黑客组织ShadowBrokers公布的EquationGroup黑客工具,其中ETERNALBLUE模块是SMB 漏洞利用程序,可以攻击开放了445端口的 Windows 机器,实现远程命令执行。


       当系统被该勒索软件入侵后,弹出勒索对话框

  

        传播原理


该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁,请尽快修复。


         Wannacry 细节描述


 由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育、医疗等网络并没有做此限制,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。

·      

         病毒细节


        1、病毒会加密如下后缀名的文件:

        .PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG


  2、密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。


 3、该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件


 事实上,勒索软件干这样的勾当已经不是一天两天了,比这更为缺德、更奇葩的行径也很常见。


 比如说:拉两个无辜者下水能解密文件,就是考验人性你能咋滴?


 去年在国外爆发的勒索病毒Popcorn Time走的是网络传销路线,感染电脑后,给你两个选择,要么缴纳大笔赎金,要么感染其他两个无辜者,并让他们缴纳赎金,卑鄙的做法为敲诈者病毒的传播推波助澜。面对“给不给别人种病毒”的考验,你会如何选择?



  还有这种:我没那么多耐心,限时两天,不交赎金就撕票!


 通常情况下,为了金钱利益,敲诈病毒感染电脑后会留出一定的时间给受害用户,考虑是否缴纳赎金获得解密钥匙。可是一个名为“达芬奇密码”的敲诈木马偏偏是个急性子,要求中招用户必须在48小时内支付规定的赎金,否则直接撕票,根本没有回旋余地。



 而勒索软件最闻名的一场战役,莫过于它和FBI的过招中,FBI竟然认怂了!


  话说在去年,洛杉矶一家医院被勒索病毒入侵,全部文件被锁死,医生们被迫拿起纸笔写病历,想解锁?OK,拿9000比特币(当时约合370万美元)来换。


如此嚣张的病毒惊动了FBI,更让他们祭出了头号通缉令,但之后却不了了之。FBI在无奈之下,竟然公开表示:如果感染了勒索软件,就按黑客的要求支付赎金吧,不要期待FBI会帮你救出数据。言下之意是,不好意思,我们怂了!


  

没错,今天爆发的勒索病毒,不过是过往其种种行径的集中重现。这种病毒2014年刚刚在国外出现时,就以加密文件并勒索赎金、变种频出且危害重大被中招者称为“史上最缺德的病毒”,2016年更是一度以500万次的攻击数量被冠以“病毒之王”的称号。


你需要做到的主要有以下几点

  据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。


           目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

  

 针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”,能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。


        虽然无法解密,但好在这个病毒还能够防得住,你需要做到的主要有以下几点:


        1、  重要文件提前备份!云盘、移动硬盘、U盘都备份一份,以防不测!


        2、  打补丁,打补丁,打补丁!微软补丁MS17-010网址http://t.cn/RaSv6qq


        3、  关闭445端口,防止“永恒之蓝”利用开启端口进行攻击,方法如下:http://t.cn/RAc0GlM


        4、 觉得2、3步太麻烦的用户请使用360安全卫士的“NSA武器库免疫工具”,它能一键检测修复NSA黑客武器攻击的漏洞,并关闭漏洞利用的端口,防止电脑被NSA黑客武器植入病毒。下载地址:http://dl.360safe.com/nsa/nsatool.exe


        5、加强安全意识,不明链接不要点,不明文件不要下载,不明邮件不要点开。

  

        此次的病毒只是利用了大部分落后电脑的漏洞,但对我们很多企事业单位、校园网、公司局域网提了个醒,对网络安全的不重视,就很容易成为攻击的对象。



来源:(中金在线、360公司(ID:i360qihoo)、福州大学(ID:ifzu1958)、华三大安全;转载请标注来源ID否则视为侵权) 









文末广告为系统匹配,并非小薇推荐,请谨慎点击!






Copyright © 上海证券公司联盟@2017