今天,
類似這樣的消息刷屏了……
這種文風,搭配字母、數字的組合,和平時朋友圈裡的謠言一模一樣,當時就隨手關掉,繼續刷微博,然後……發現……這並不是謠言!!!
一種新型的電腦病毒正在肆虐,全球大範圍中招!英國大量醫院被入侵!我國部分高校學生電腦淪陷!
據微博上學生爆料情況看,受影響範圍很廣,又恰逢畢業季,同學們心都揪緊了……
所有中招的人電腦上都出現了同一個畫面,要求被病毒感染者支付價值300美元的比特幣(一種虛擬貨幣,可以購買現實或虛擬物品,也可以兌換成大多數國家的貨幣)來解鎖資料,同時還有一個倒計時鐘表,顯示的截至日期是下周五。
連圖書館的電子屏都沒能倖免……
圖據知乎網友@Mikaleong
影響範圍之大,鈦媒體報導稱,英國,俄羅斯,西班牙等都有類似入侵現象。
△藍色點塊代表被黑掉的地區
根據此前病毒影響區域分析,目前受影響的區域主要集中於:
因教育邊界網絡、主幹交換路由交換設備多數允許135/137/139/445埠,非法分子入侵後,能夠直接批量化利用。
醫療因行業特殊性,一直以來是非法分子入侵的主要對象。
政府、重點企業普遍建設有自己的內部專網,相較於運營商主動屏蔽受影響埠外,政府、企業內網的邊界網絡、主幹網等普遍響應較慢,一旦發生攻擊,反映時間較慢。
據英國媒體報導,5月12日英國國家醫療服務體系遭遇了大規模網絡攻擊,多家公立醫院的電腦系統幾乎同時癱瘓,電話線路也被切斷,導致很多急診病人被迫轉移。
醫院員工說,他們的電腦屏幕上彈出窗口。黑客們發送的消息說,醫院的電腦已經被控制,必須繳納贖金才能阻止所有的文件被刪除。
由於目前尚未發現可以清除病毒的方法,各國都在盡力提醒用戶:
👉醫療機構紛紛發出緊急通知:如非必要,儘量不要聯繫醫生!
👉高校發布相關微博提醒學生:
5月12日20時左右,全球爆發大規模勒索軟體感染事件,我國大量行業企業內網大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。
據BBC報導,今天全球很多地方爆發一種軟體勒索病毒,只有繳納高額贖金(有的要比特幣)才能解密資料和數據,英國多家醫院中招,病人資料威脅外洩,同時俄羅斯,義大利,整個歐洲,包括中國很多高校……
經過安天CERT緊急分析,判定該勒索軟體是一個名稱為「wannacry」的新家族,目前無法解密該勒索軟體加密的文件。該勒索軟體迅速感染全球大量主機的原因是利用了基於445埠傳播擴散的SMB漏洞MS17-101,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的「網絡軍火」中包含了該漏洞的利用程序,而該勒索軟體的攻擊者或攻擊組織在借鑑了該「網絡軍火」後進行了這次全球性的大規模攻擊事件。
當系統被該勒索軟體入侵後,彈出勒索對話框:
圖1 勒索界面
加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,被加密的文件後綴名被統一修改為「.WNCRY」。
圖 2 加密後的文件名
攻擊者極其囂張,號稱「除攻擊者外,就算老天爺來了也不能恢復這些文檔」 (該勒索軟體提供免費解密數個加密文件以證明攻擊者可以解密加密文件,「點擊 <Decrypt> 按鈕,就可以免費恢復一些文檔。」該勒索軟體作者在界面中發布的聲明表示,「3天內付款正常,三天後翻倍,一周後不提供恢復」)。現實情況非常悲觀,勒索軟體的加密強度大,沒有密鑰的情況下,暴力破解需要極高的運算量,基本不可能成功解密。
圖 3 可解密數個文件
該勒索軟體採用包括英語、簡體中文、繁體中文等28種語言進行「本地化」。
圖 4 28種語言
該勒索軟體會將自身複製到每個文件夾下,並重命名為「@WanaDecryptor@.exe」。同時衍生大量語言配置等文件:
圖5 衍生文件
該勒索軟體AES和RSA加密算法,加密的文件以「WANACRY!」開頭:
圖6 加密文件
加密如下後綴名的文件:
.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG
註:該勒索軟體的部分版本在XP系統下因文件釋放未成功而未加密用戶文件。
針對所有windows伺服器(含內網,外網),為預防病毒感染應開展如下工作應對:
1.請在windows系統中控制面板->程序->啟用或關閉windows功能,取消勾選SMB 1.0/CIFS 文件共享支持並重啟系統;
2.開啟系統防火牆,利用防火牆高級設置, 關閉445埠,設置方法可參考以下辦法:
臨時解決方案
開啟系統防火牆
利用系統防火牆高級設置阻止向445埠進行連接(該操作會影響使用445埠的服務)
打開系統自動更新,並檢測更新進行安裝
Win7、Win8、Win10的處理流程打開控制面板-系統與安全-Windows防火牆,點擊左側啟動或關閉Windows防火牆
選擇啟動防火牆,並點擊確定
點擊高級設置
點擊入站規則,新建規則
選擇埠、下一步
特定本地埠,輸入445,下一步
選擇阻止連接,下一步
配置文件,全選,下一步
名稱,可以任意輸入,完成即可。
XP系統的處理流程依次打開控制面板,安全中心,Windows防火牆,選擇啟用
點擊開始,運行,輸入cmd,確定執行下面三條命令
net stop rdr
net stop srv
net stop netbt
由於微軟已經不再為XP系統提供系統更新,建議用戶儘快升級到高版本系統。
3.更新系統3.14微軟補丁,地址https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx?from=groupmessage&isappinstalled=0
4.不要點擊不明郵件內的連結信息
5.伺服器一旦感染病毒立即斷開本地網絡,防止進一步擴散請儘快操作,避免被病毒侵入。