從5月12日起, 互聯網世界遭遇一種名為WannaCry(想哭)的勒索病毒攻擊, 這波攻擊來勢洶洶, 席捲了全球150多個國家, 數千家企業和機構、超過30萬台設備受到影響。 美國白宮官員博賽特5月15日表示, 駭客目前已非法攫取7萬美元贖金, 但其身份仍未查明。
同時, 多名網路安全專家指出, 目前病毒事態只是由於多種原因而稍顯緩和, 但許多網路使用者特別是中國使用者仍面臨風險關口。
從圖中我們可以看到, 受攻擊的範圍集中在歐洲、美國以及亞太地區, 我國也遭受了大量攻擊。 學校、政府單位和企業成為重災區, 業務癱瘓, 大量檔被加密, 被要求支付贖金。
面對這突如其來的病毒攻擊, 作為普遍線民的我們該怎麼處置, 保護個人財產安全?網易雲安全(易盾)實驗室就此整理了八大問題, 幫助用戶簡明分析這個蠕蟲的前世今生, 有效地學習應對措施。
問題一:已經感染病毒的如何降低影響?
如果你的電腦被勒索病毒感染, 或者你的朋友中招, 向你求助, 那我們該怎麼處理將影響降到最低呢?
首先, 這是一款勒索蠕蟲, 蠕蟲病毒的特點是會通過網路進行自動複製和傳播, 就像電影《釜山行》中, 被僵屍噬咬過的人也會變成僵屍去傳染給更多的人。 所以第一步需要做的就是斷開網路, 防止自己的電腦去感染更多的電腦。 其次, 網易雲安全(易盾)建議中招使用者將硬碟進行格式化處理, 徹底消除硬碟上蠕蟲病毒, 就像一次徹底的細胞切除手術。 然後, 再重新安裝系統, 並安裝相應的系統補丁。 最後, 還需要安裝殺毒軟體, 並把殺毒軟體的病毒庫更新到最新版本。
目前, 許多人最常犯的錯誤就是心存僥倖,
問題二:未中毒者如何排除風險?
如果你是幸運兒, 並未在此次攻擊中受影響, 那麼也請別做一個普通的吃瓜群眾, 只要你使用的是Windows系統, 很久不曾更新補丁, 就仍有很大的中毒風險。 網易雲安全(易盾)建議通過“三步法”提前排除這個風險:
第一步:關網路。 該勒索蠕蟲需要通過網路傳播, 關閉網路也就切斷了病毒的傳播途徑。 針對普通的桌上型電腦, 最直接的方式就是拔掉網線;如果家裡使用的是筆記型電腦, 可以關閉本機的無線網卡;家中如果使用了無線路由器的, 也可以關閉無線路由器;最後, 還可以通過在已開機的PC中禁用網路的方法進行關閉。
第二步:關埠。 該勒索蠕蟲是通過掃描電腦上的TCP 445埠(Server MessageBlock/SMB)進行攻擊的, 所以關閉445埠也就關閉了勒索蠕蟲的攻擊大門。 該動作分為以下幾步:
a. 打開控制台-系統與安全-Windows防火牆, 點擊左側啟動或關閉Windows防火牆
b. 選擇啟動防火牆, 並點擊確定
c. 點擊高級設置
d. 點擊入站規則, 新建規則, 以445埠為例
e. 選擇埠、下一步
f. 選擇特定本地埠, 輸入445, 下一步
g. 選擇阻止連接, 下一步
h. 設定檔, 全選, 下一步
i. 名稱, 可以任意輸入, 完成即可
第三步:打補丁。 前兩步屬於指標不治本的方式, 只是臨時阻止了勒索蠕蟲的攻擊, 如果要治本還需要及時利用官方的系統補丁堵上系統漏洞
問題三:手機會不會中毒?
保證了電腦萬無一失,那麼我們使用頻率更高的手機會不會面臨風險呢?
網易雲安全(易盾)表示:手機不會受該勒索蠕蟲影響。該勒索蠕蟲利用的是windows系統漏洞,受影響的系統是從win xp到xin 2016的各個版本。而目前手機的作業系統則是ios、android、winphone等,並不屬於windows,所以不受該勒索蠕蟲的影響。
問題四:為什麼此次勒索病毒傳播如此迅速?
要瞭解這個原因,我們還得從勒索蠕蟲的原理說起。
首先,WannaCry蠕蟲利用的漏洞非常普遍,絕大部分的個人PC機仍然使用微軟的windows作業系統,而windwos系統預設打開了445埠,並且大量的windows用戶沒有定期更新補丁的習慣,這給蠕蟲的傳播提供了大量宿主。其次,傳統的勒索軟體需要靠“騙”,也就是說需要哄騙受害者主動點擊某個附件、某個網址等等。而此次蠕蟲病毒可以進行自我傳播和自動複製,也就是可以進行主動的探測和傳播。這個從“被動”到“主動”的轉化,造成了傳播速度上質的差異。
其次,WannaCry勒索病毒傳播利用了一個特殊的漏洞工具,叫“永恆之藍”,聽起來像是某顆名貴鑽石的名字。這個漏洞工具來源於美國國家安全局(NSA)的網路武器庫。今年4月14日,一個名為“影子中間人”的駭客組織曾經進入美國國家安全局網路,曝光了該局一批檔案檔,同時公開了該局旗下的“方程式駭客組織”使用的部分網路武器。據報導,這批網路武器中就包括可以遠端攻破全球約70% 視窗系統(Windows)機器的漏洞利用工具“永恆之藍”。經緊急驗證這些工具真實有效。當時,該事件引起了安全圈子的轟動。儘管微軟早就對該漏洞發佈了補丁,但是並未給企業和機構敲響警鐘,大量的企業和組織並沒有安裝補丁。
“永恆之藍”工具被公佈後,立刻受到追捧,因為它能夠搭載任意病毒進行全網蠕蟲化自動傳播,其中最厲害的就是這次的WannaCry病毒。
問題五:WannaCry病毒勒索為何只要比特幣?
事實上,勒索病毒本身與比特幣並無直接關係,而駭客之所以要求以比特幣進行贖金支付,恰恰是看中了比特幣在支付轉帳時的全球化、去中心化和匿名性等“優勢”。
首先,比特幣有一定的匿名性,便於駭客隱藏身份;其次它不受地域限制,可以全球範圍收款、轉帳;再次比特幣還有“去中心化”的特點,可以讓駭客通過程式自動處理受害者贖金。
眾所周知,正常的跨國匯款需要經過層層外匯管制機構審查,交易記錄會被包括銀行在內的多方記錄在案,甚至交易超過一定額度後,為防止洗錢等違規行為,還需向有關部門上報。但如果用比特幣交易就簡單多了,只要輸入數字位址,點幾下滑鼠,等待確認交易後,就可以完成交易(目前國內已經暫停提幣)。
同時,相比於其他數位貨幣,比特幣目前佔有最大的市場份額,具有最好的流動性。近期比特幣價格大幅上漲,也是其被駭客看中的原因。
問題六:為什麼學校、醫院、政府等公共機構是重災區?
對於這個問題,或許一般的用戶也都有這樣的直觀感覺:學校、醫院等公共機構中的電腦設備使用的系統往往是最落後的,甚至速度也是最慢的,加上缺乏專業技術人才,安全意識較低。這類機構的電腦不能做到及時更新補丁,成為被攻擊的首要原因。
其次,當前大部分學校基本是一個大的內網互通的局域網,不同的業務未劃分安全區域。例如:學生管理系統、教務系統等都可以通過任何一台連入的設備訪問。同時,實驗室、多媒體教室、機器IP分配多為公網IP,如果學校未做相關的許可權限制,所有機器直接暴露在外面。各大高校通常接入的網路是為教育、科研和國際學術交流服務的教育科研網,此骨幹網出於學術目的,大多沒有對445埠做防範處理,這是導致這次高校成為重災區的原因之一。
問題七:病毒得到遏制了麼?會不會出現新的變種?
從目前的資料分析,該勒索蠕蟲已經得到了遏制,新增的受感染系統正在下降。同時,有國外網路安全公司捕獲到該病毒的2.0版本,所以不排除新一輪攻擊的擴大。“就像地震往往會有餘震一樣,我們需要警惕病毒的各種變種”,網易雲安全(易盾)表示,不過我們只要做好防禦準備,打了最新的系統補丁就不用擔心。
問題八:我們從這次勒索病毒事件中學到了什麼?
安全意識薄弱是很多人中招的最重要原因,這次事件之後,網易雲安全(易盾)強烈建議網路使用者至少做好一下四項預防工作:
1、重要檔一定要隨時備份,可以通過網盤、u盤等介質進行備份。如果是企業,也可以搭建集中的檔案伺服器進行檔的集中管理和備份。
2、系統一定保持最高安全等級,及時升級到最新版本,建議打開自動更新功能。同時,系統需要安裝殺毒軟體,更新病毒庫。
3、不要輕易打開陌生檔,尤其是陌生郵件和IM通信軟體中的檔。
4、安裝正版作業系統、Office軟體,儘量不用來歷不明的盜版軟體。
網易雲安全(易盾)屬於網易雲旗下一站式安全服務產品,業務覆蓋內容安全、業務安全和網路安全。網易雲安全依託網易20 年的技術積累和對網易數十條業務線的保障經驗,擁有海量特徵庫和成熟的安全機制。結合雲計算及人工智慧技術,網易雲安全推出有針對金融、電商、娛樂等行業的安全解決方案,可幫助企業提升安全保障,降低運營成本。
以上由網易企業服務-企業資訊化服務提供者:湖南領先網路科技有限公司 整理發佈。
網易企業服務(qiye163.co)是網易憑藉其20年品牌優勢與經驗打造的企業級產品矩陣,致力於提供一站式企業資訊化解決方案。網易企業服務的推出,是網易在企業郵箱的基礎上對企業市場的進一步重要佈局。湖南領先網路科技是網易企業產品一級經銷商,專業為企業提供一站式資訊化解決方案。
保證了電腦萬無一失,那麼我們使用頻率更高的手機會不會面臨風險呢?
網易雲安全(易盾)表示:手機不會受該勒索蠕蟲影響。該勒索蠕蟲利用的是windows系統漏洞,受影響的系統是從win xp到xin 2016的各個版本。而目前手機的作業系統則是ios、android、winphone等,並不屬於windows,所以不受該勒索蠕蟲的影響。
問題四:為什麼此次勒索病毒傳播如此迅速?
要瞭解這個原因,我們還得從勒索蠕蟲的原理說起。
首先,WannaCry蠕蟲利用的漏洞非常普遍,絕大部分的個人PC機仍然使用微軟的windows作業系統,而windwos系統預設打開了445埠,並且大量的windows用戶沒有定期更新補丁的習慣,這給蠕蟲的傳播提供了大量宿主。其次,傳統的勒索軟體需要靠“騙”,也就是說需要哄騙受害者主動點擊某個附件、某個網址等等。而此次蠕蟲病毒可以進行自我傳播和自動複製,也就是可以進行主動的探測和傳播。這個從“被動”到“主動”的轉化,造成了傳播速度上質的差異。
其次,WannaCry勒索病毒傳播利用了一個特殊的漏洞工具,叫“永恆之藍”,聽起來像是某顆名貴鑽石的名字。這個漏洞工具來源於美國國家安全局(NSA)的網路武器庫。今年4月14日,一個名為“影子中間人”的駭客組織曾經進入美國國家安全局網路,曝光了該局一批檔案檔,同時公開了該局旗下的“方程式駭客組織”使用的部分網路武器。據報導,這批網路武器中就包括可以遠端攻破全球約70% 視窗系統(Windows)機器的漏洞利用工具“永恆之藍”。經緊急驗證這些工具真實有效。當時,該事件引起了安全圈子的轟動。儘管微軟早就對該漏洞發佈了補丁,但是並未給企業和機構敲響警鐘,大量的企業和組織並沒有安裝補丁。
“永恆之藍”工具被公佈後,立刻受到追捧,因為它能夠搭載任意病毒進行全網蠕蟲化自動傳播,其中最厲害的就是這次的WannaCry病毒。
問題五:WannaCry病毒勒索為何只要比特幣?
事實上,勒索病毒本身與比特幣並無直接關係,而駭客之所以要求以比特幣進行贖金支付,恰恰是看中了比特幣在支付轉帳時的全球化、去中心化和匿名性等“優勢”。
首先,比特幣有一定的匿名性,便於駭客隱藏身份;其次它不受地域限制,可以全球範圍收款、轉帳;再次比特幣還有“去中心化”的特點,可以讓駭客通過程式自動處理受害者贖金。
眾所周知,正常的跨國匯款需要經過層層外匯管制機構審查,交易記錄會被包括銀行在內的多方記錄在案,甚至交易超過一定額度後,為防止洗錢等違規行為,還需向有關部門上報。但如果用比特幣交易就簡單多了,只要輸入數字位址,點幾下滑鼠,等待確認交易後,就可以完成交易(目前國內已經暫停提幣)。
同時,相比於其他數位貨幣,比特幣目前佔有最大的市場份額,具有最好的流動性。近期比特幣價格大幅上漲,也是其被駭客看中的原因。
問題六:為什麼學校、醫院、政府等公共機構是重災區?
對於這個問題,或許一般的用戶也都有這樣的直觀感覺:學校、醫院等公共機構中的電腦設備使用的系統往往是最落後的,甚至速度也是最慢的,加上缺乏專業技術人才,安全意識較低。這類機構的電腦不能做到及時更新補丁,成為被攻擊的首要原因。
其次,當前大部分學校基本是一個大的內網互通的局域網,不同的業務未劃分安全區域。例如:學生管理系統、教務系統等都可以通過任何一台連入的設備訪問。同時,實驗室、多媒體教室、機器IP分配多為公網IP,如果學校未做相關的許可權限制,所有機器直接暴露在外面。各大高校通常接入的網路是為教育、科研和國際學術交流服務的教育科研網,此骨幹網出於學術目的,大多沒有對445埠做防範處理,這是導致這次高校成為重災區的原因之一。
問題七:病毒得到遏制了麼?會不會出現新的變種?
從目前的資料分析,該勒索蠕蟲已經得到了遏制,新增的受感染系統正在下降。同時,有國外網路安全公司捕獲到該病毒的2.0版本,所以不排除新一輪攻擊的擴大。“就像地震往往會有餘震一樣,我們需要警惕病毒的各種變種”,網易雲安全(易盾)表示,不過我們只要做好防禦準備,打了最新的系統補丁就不用擔心。
問題八:我們從這次勒索病毒事件中學到了什麼?
安全意識薄弱是很多人中招的最重要原因,這次事件之後,網易雲安全(易盾)強烈建議網路使用者至少做好一下四項預防工作:
1、重要檔一定要隨時備份,可以通過網盤、u盤等介質進行備份。如果是企業,也可以搭建集中的檔案伺服器進行檔的集中管理和備份。
2、系統一定保持最高安全等級,及時升級到最新版本,建議打開自動更新功能。同時,系統需要安裝殺毒軟體,更新病毒庫。
3、不要輕易打開陌生檔,尤其是陌生郵件和IM通信軟體中的檔。
4、安裝正版作業系統、Office軟體,儘量不用來歷不明的盜版軟體。
網易雲安全(易盾)屬於網易雲旗下一站式安全服務產品,業務覆蓋內容安全、業務安全和網路安全。網易雲安全依託網易20 年的技術積累和對網易數十條業務線的保障經驗,擁有海量特徵庫和成熟的安全機制。結合雲計算及人工智慧技術,網易雲安全推出有針對金融、電商、娛樂等行業的安全解決方案,可幫助企業提升安全保障,降低運營成本。
以上由網易企業服務-企業資訊化服務提供者:湖南領先網路科技有限公司 整理發佈。
網易企業服務(qiye163.co)是網易憑藉其20年品牌優勢與經驗打造的企業級產品矩陣,致力於提供一站式企業資訊化解決方案。網易企業服務的推出,是網易在企業郵箱的基礎上對企業市場的進一步重要佈局。湖南領先網路科技是網易企業產品一級經銷商,專業為企業提供一站式資訊化解決方案。