勒索病毒大爆发、扰乱全球IT系统, WannaCryptor为罪魁祸首


事态迅速升级!你们当中的人,要是错过了周五新闻(或宁愿逃避现实),需要了解一场恶意软件的狂涛骇浪刚刚洗劫了地球,在信息安全业界掀起了滔天巨浪,对于受害者而言则更为严重。罪魁祸首是谁?是一款勒索病毒,ESET将其命名为WannaCryptor,也被称为Wanna Cry和Wcrypt,利用美国国家安全局文件泄密之际,即名为 eternalblue 的伺服器讯息块漏洞,迅速传播。

与多数数据加密类恶意软件不同的是,它具有蠕虫的能力,能够自行传播,因此传播速度非常快。该病毒英文版受害者所看到的界面如下:

Hat tip to @fendifille for sharing this screenshot with the world

病毒最初爆发于西班牙电信业,之后迅速向内、向外传播。意大利文版本如下:

许多用户上报称,最初出现时受影响的是医疗保健机构,然后蔓延至各类商业网站、整个企业网站,以及交互其中的各类网络。

Hat tip to @fendifille for sharing this photo

受害者所面临的最大困境是:被勒索病毒攻击后,文件会自动加密;从攻击者获取解密密码,是解锁文件的唯一途径。这一过程可能会造成严重后果,尤其是对于医疗行业。患者病历、医生记录和其他资料加密后便无法使用或读取,除非已妥善预留备份、可以还原。

解密文件需要缴纳约300美元的赎金,相比我们检测到的其他勒索病毒,胃口实际要小一些,但真实成本是时间和文件损失,以及该病毒所导致的其他间接损失。

此次病毒大爆发之后所凸显的另一主题是:责任。病毒传播所利用的漏洞工具eternalblue,可通过大量论坛公开下载。本人全力赞成学术交流,但通过公共论坛提供精心设计的漏洞工具,可能会威胁到成千上万台正在运行的计算机安全,这样做似乎有些过份,至少从我现在所处环境而言的确欠妥。发布者的责任心上哪儿去了?

负责任的反应

幸运的是,有效保护自己、防范这一最新威胁,可以从很多方面入手。此类措施最好尽早落实,以免悔之晚矣:

  • 安装防毒软件 – 听上去貌似老生常谈,现在提起来更是多此一举。但要不是我经常听到这样的说辞:“这是台服务器,我们有防火墙,所以这台机器不准备安装防毒软件”,以及“这台服务器上安装防毒软件后问题多多”,我根本不会重提这一点。但问题已经发生,因此我不得不再次强调。请安装知名防毒软件,使自己有机会抵御和拦截病毒,以免遭受感染。

  • 举例来说,ESET网络防护模块能够早在该恶意程序生成之前,已经阻止利用被泄露的已知漏洞发起的网络攻击。ESET已将该病毒特征添加到病毒库,以便进一步强化防护水平。该病毒的检测名称为;Win32/Filecoder.WannaCryptor.D,已于中欧标准时间2017年5月12日13:20时(格林威治时间+02:00),首次添加进病毒库版本15404之中。在此之前,ESET LiveGrid已能够从中欧时间11:26时起,防范这一威胁。

  • 更新Windows系统 – 非常重要!我知道整个网络统一部署安全补丁的难度很大。但这 个补丁是必须安装的。它早在四月中旬就已发布,能够有效阻止该威胁渗透您的系统。该补丁的整个方程组文件列表,可在此处查阅

  • 掌握疫情!- 作为研究病毒感染、各类漏洞和IT安全信息的专业人员,掌握知识犹如战场上已经胜利了一半。尤其是在重大信息泄露并以惊人速度传播之时,更需要提高警惕。我本人根据病毒疫情创建了适当的YARA规则,能够有效识别下载器、已泄露漏洞攻击文件及其特点,已成功检测大量此类对象。过去几星期以来,我的桌面监测台就像圣诞树那样闪烁不停,预计严峻的病毒疫情还将持续更长时间。此类疫情知识,更重要的是其所提供的信息,能够帮助您更好地选定保护对象以及保护方式(例如安装微软补丁时,明确是否针对我公司情况等等)。

有关WannaCryptor病毒以及ESET独有防护策略的详细介绍,请阅读此篇ESET知识库文章。预知恶意软件作者从此次病毒大爆发中收入的比特币金额, 请点击这一链接.

更新:为了反映这种威胁的严重性,微软一夜之间发布了一个安全更新程序来修补Windows版本。这包括Windows XP,Vista,Windows 8,Server 2003和2008 Edition。

点击此处,查看防御措施建议