专栏名称: 雷峰网
中国智能硬件第一媒体
目录
51好读  ›  专栏  ›  雷峰网

详解|NSA “永恒之蓝” 勒索蠕虫爆发,开机即中招到底怎么回事(附解决办法)

雷峰网  · 公众号  · 科技媒体  · 2017-05-13 22:10

正文

200 多家明星企业,20 位著名投资机构顶级投资人共同参与!「新智造成长榜」致力于发掘 AI 领域有 “三年十倍” 成长潜力的创新公司,下一波 AI 独角兽,会有你么?点击阅读原文了解详情!

雷锋网按:5 月 12 日晚上 20 时左右,全球爆发大规模勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。 

[来源:中国之声]

攻击次数高,勒索金额大

据雷锋网了解,这次事件是不法分子通过改造之前泄露的 NSA 黑客武器库中 “永恒之蓝” 攻击程序发起的网络攻击事件。

这次的 “永恒之蓝” 勒索蠕虫,是 NSA 网络军火民用化的全球第一例。一个月前,第四批 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布,包含了涉及多个 Windows 系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括 “永恒之蓝” 攻击程序。

恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

目前,“永恒之蓝” 传播的勒索病毒以 ONION 和 WNCRY 两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是 5 个比特币和 300 美元,折合人民币分别为 5 万多元和 2000 多元。

安全专家还发现,ONION 勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒 “大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。

没有关闭的 445 端口 “引狼入室”

据 360 企业安全方面 5 月 13 日早晨提供给雷锋网的一份公告显示,由于以前国内多次爆发利用 445 端口传播的蠕虫,部分运营商在主干网络上封禁了 445 端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露 445 端口且存在漏洞的电脑,导致目前蠕虫的泛滥。

因此,该安全事件被多家安全机构风险定级为 “危急”。

雷锋网尚未获得中国范围内具体 445 端口开放的机器数量。但是,雷锋网了解到,国内首先出现的是 ONION 病毒,平均每小时攻击约 200 次,夜间高峰期达到每小时 1000 多次;WNCRY 勒索病毒则是 5 月 12 日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约 4000 次。

大型企业、高校、政府网络安全管理方面可以赶快测定是否受到了影响:

扫描内网,发现所有开放 445 SMB 服务端口的终端和服务器,对于 Win7 及以上版本的系统确认是否安装了 MS07-010 补丁,如没有安装则受威胁影响。Win7 以下的 Windows XP/2003 目前没有补丁,只要开启 SMB 服务就受影响。

个人可自行判定电脑是否打开了 445 端口。

不过,在对 360 企业安全资深专家汪列军的采访中,雷锋网了解到,目前 90 % 未关闭的 445 端口集中在中国台湾和香港地区,大陆地区虽然占比很少,但基数很大。虽然,在 2008 年遭受类似的蠕虫攻击后,运营商已经封闭了大多数 445 端口,但是很多类似于教育网、大型企业内网等相对独立的网络没有自动关闭 445 端口,所以影响范围很大。

汪列军判定,该攻击已经肆虐到了全世界多个国家和地区,这种大规模的勒索攻击十分罕见,他昨晚甚至在通宵加班,紧急处理该问题。

雷锋网发现,多家安全公司都进行了紧急处理,在今晨 5、6 点左右开始对外发布紧急通知。

最恐怖的一点在于,对装载 Win7 及以上版本的操作系统的电脑而言,目前微软已发布补丁 MS17-010 修复了 “永恒之蓝” 攻击的系统漏洞,可以立即电脑安装此补丁。汪列军说,对个人电脑,可能可以自行学习及装载,但是对于大型组织机构而言,面对成百上千台机器,必须使用集中管理的客户端,尤其如果大型组织管理机构之前没有做好安全防护措施,处理起来十分棘手。

之前提到,有两个勒索家族出现,汪列军认为,不排除该勒索蠕虫出现了多个变种。

不法分子是将此前公布的 “永恒之蓝” 攻击程序改装后进行的攻击。汪列军解析,可以理解为该 NSA 攻击工具内核没变,但是不法分子改变了其 “载核”,加上了勒索攻击的一系列调动工具,由于该 NSA 攻击工具可以被公开下载,不排除可有多个不法分子改装该工具发动勒索袭击。

应急处理办法

以下为 360 企业安全提供给雷锋网的一份处理办法建议:

网络层面

目前利用漏洞进行攻击传播的蠕虫开始泛滥,强烈建议网络管理员在网络边界的防火墙上阻断 445 端口的访问,如果边界上有 IPS 和 360 新一代智慧防火墙之类的设备,请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断,直到确认网内的电脑已经安装了 MS07-010 补丁或关闭了 Server 服务。

终端层面

暂时关闭 Server 服务。

检查系统是否开启 Server 服务:

1、打开 开始 按钮,点击 运行,输入 cmd,点击确定

2、输入命令:netstat -an 回车

3、查看结果中是否还有 445 端口

如果发现 445 端口开放,需要关闭 Server 服务,以 Win7 系统为例,操作步骤如下:

点击 开始 按钮,在搜索框中输入 cmd ,右键点击菜单上面出现的 cmd 图标,选择 以管理员身份运行 ,在出来的 cmd 窗口中执行 “net stop server” 命令,会话如下图:

感染处理

对于已经感染勒索蠕虫的机器建议隔离处置。

根治方法

对于 Win7 及以上版本的操作系统,目前微软已发布补丁 MS17-010 修复了 “永恒之蓝” 攻击的系统漏洞,请立即电脑安装此补丁。出于基于权限最小化的安全实践,建议用户关闭并非必需使用的 Server 服务,操作方法见 应急处置方法 节。

对于 Windows XP、2003 等微软已不再提供安全更新的机器,推荐使用 360“NSA 武器库免疫工具” 检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe 。这些老操作系统的机器建议加入淘汰替换队列,尽快进行升级。

恢复阶段

建议针对重要业务系统立即进行数据备份,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。

此外,已有安全厂商发布了预防处理类产品,大家自行搜索一下吧!