5月12日,WannaCry勒索蠕虫病毒席卷全球,多个国家和地区的网络系统遭遇大规模攻击。5月14日,记者从威海市公安局网络安全保卫支队获悉,经监测发现威海市部分单位、个人用户的电脑被病毒感染,经过近几日的应急处置后,网络安全保卫部门又发布了WannaCry勒索蠕虫病毒出现变种的最新预警,以及相应的处置方法。
据悉,中国国家网络与信息安全中心经监测发现,WannaCry勒索蠕虫病毒出现了一个新变种WannaCry2.0。与之前版本的不同是,这个变种取消了所谓的KillSwitch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。
勒索病毒为何如此猛
电脑屏幕突然显示一封勒索信,能选择中文、韩文、日文、英文等,大致内容是,想要解锁文档,需支付300美金等价的比特币……
5月12日起,我国多所高校遭遇网络勒索病毒攻击。
国家网络与信息安全信息通报中心称:5月12日20时许,新型“蠕虫”式勒索病毒爆发,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染。
罪魁祸首是“永恒之蓝”病毒
昨日上午,360公司董事长周鸿祎发微博称,此次校园网勒索病毒是由NSA泄露的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
当用户主机系统被该勒索软件入侵后,弹出勒索对话框,提示勒索目的并索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名统一修改为“.WNCRY”。
另据《纽约时报》报道,周五开始,黑客利用从美国国家安全局窃取的恶意软件,执行破坏性的网络攻击。本次攻击似乎是迄今为止范围最广的一次勒索软件袭击,损失暂时还无法估量。
“勒索病毒”的特点
腾讯公司的安全专家指出,这次病毒爆发事件,实际上是一次蠕虫攻击,威力等同于当年的conficker。该蠕虫一旦攻击进入能链接公网的用户机器,就会利用内置了EnternalBlue的攻击代码,自动在内网里寻找开启了445端口的机器进行渗透。一旦发现内网中存在漏洞的机器,不仅继续传播内置漏洞扫描的蠕虫病毒,还会传播敲诈者病毒,从而导致用户机器上的所有文档被加密。
为何高校成“重灾区”
国家互联网应急中心发布公告称,此次攻击主要基于445端口,互联网上共900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。
中国信息安全研究院副院长左晓栋表示,由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。
杭州安恒信息技术有限公司创始人、总裁范渊表示,某些特定行业网成为“重灾区”,是因为没有限制445端口,因此攻击变成有效的攻击,影响了很多学校,还有一小部分医疗机构。