时政频道> 国内> 正文

勒索病毒连续两月袭击多国 拷问信息系统防护能力

2017-06-29 19:08 来源:光明网 
2017-06-29 19:08:08来源:光明网作者:责任编辑:孙宗鹤

  光明网记者 李政葳 张紫璇

  席卷150多个国家的“想哭”(Wannacry)勒索病毒事件刚刚平息,“必加”(Petya)勒索病毒变种又开始肆虐。北京时间6月27日晚,乌克兰、俄罗斯等多个国家遭遇该病毒袭击。

  与“想哭”相比,“必加”不仅利用“永恒之蓝”等黑客武器攻击系统漏洞,还利用“管理员共享”功能在内网自动渗透;且新病毒变种的传播速度更快,每10分钟可以感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施沦陷。

勒索病毒连续两月袭击多国 拷问信息系统防护能力

  Petya勒索病毒变种感染后系统被锁(图片来源于网络)

  利用“永恒之蓝”漏洞加密磁盘敲诈

  “必加”与普通勒索软件类似,都是通过远程锁定设备后索要赎金。虽然与之前的“想哭”勒索金额均为300美元比特币,但根据比特币交易市场的公开数据显示,病毒爆发最初1小时就有10笔赎金付款,其“吸金”速度超越了“想哭”。

  腾讯电脑管家分析发现,该病毒样本运行后,会枚举内网中的电脑,并尝试在135、139、445等端口使用SMB(一种协议名)协议连接。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作;电脑重启后,会显示一个伪装的界面,假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作;加密完成后,病毒才露出真正的嘴脸,要求受害者支付比特币赎金。

  360企业安全集团发布预警通告也显示,本次勒索病毒爆发使用了已知OFFICE漏洞、永恒之蓝SMB漏洞、局域网感染等网络自我复制技术,使得病毒可以在短时间内呈爆发态势。

  另外,该病毒与普通勒索病毒不同,其不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,相较普通勒索病毒对系统更具破坏性。

  内网用户仍可能遭遇病毒攻击

  这次事件发生后,安天启动了“A级”预警响应,经分析研判发现该病毒的传播方式有较大风险,但鉴于病毒初始投放具有较强地域性,同时我国在“想哭”病毒应急工作中打下了良好基础,现阶段该病毒尚未在我国大面积传播,因此建议将事件降为“B级”。

  “其复合的传播手段具有较大安全风险。”安天CERT研究员认为,鉴于样本会利用本机口令尝试登录其他计算机进行传播,因此进行包括口令强度在内的系统安全配置加固和及时的系统补丁策略,才可以较好地防御这一病毒。

  “企业内网仍可能出现受害者。”猎豹移动安全专家李铁军表示,企业内网修补漏洞会比普通用户慢,且系统较为复杂,加上系统管理员能力参差不齐,可能仍然存在未修补漏洞的系统,因此内网用户仍可能遭遇病毒攻击。

  360安全监测与响应中心负责人赵晋龙介绍,根据已经掌握的情况看,这次攻击有很强的定向性,所以欧洲感染较多,目前国内感染量还很少,主要集中在与欧洲有联系的机构。

  “但考虑到定向性以及以往病毒从境外向境内扩散的规律看,未来国内传播还存在较高风险;同时,该病毒会获取被攻击主机的登陆凭证尝试内网扩散,需要提高警惕做好应对工作。”赵晋龙说。

  建议“裸奔”电脑断网后再开机

  “‘必加’勒索病毒最早出现在2016年初,以前主要利用电子邮件传播;最新爆发的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。”360首席安全工程师郑文彬说。

  360安全卫士官方微博表示,如果电脑“裸奔”,建议用户先断网再开机,通过U盘使用360免疫工具,进行免疫后再联网,就可以确保不会被病毒感染。为了保护一些电脑“裸奔”的用户,360安全卫士还紧急发布了升级版的NSA武器库免疫工具,在免疫“永恒之蓝”等黑客武器的基础上,帮助用户一键关闭“必加”病毒变种使用的内网共享攻击通道,全方位封堵病毒攻击途径。

  国家互联网应急中心也建议用户近期采取积极的安全防范措施:不要轻易点击不明附件,尤其是rtg、doc等格式文件;内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作;更新操作系统补丁(MS),禁用WMI服务。

  腾讯反病毒实验室特别提到,除非真正需要,不要随意给用户开设管理员权限;加强对域控制服务器的安全防护,更新补丁;加固策略,禁止域控管理员帐号登录终端;禁止使用域控管理员等高权限帐号运行业务服务,避免域控帐号泄露;终端网络屏蔽非必要来源的入站445和135端口请求。

  灾难响应、数据恢复同时,更要防患于未然

  安天在2016年基础威胁年报中对比了“蠕虫时代的传播入口到勒索软件的传播入口”,对其复合型的传播趋势做了预判。安天CERT研究员表示,从“必加”新版本复合手段传播感染进一步看出,通过邮件进入内部网络传播的方式,可能会带来比类似“想哭“这种单纯的扫描植入方式更严重的后果;同时,“必加”所使用的是陈旧漏洞,其他传播方式也是利用类似弱口令、空口令这种基本的配置问题,再次说明“系统策略加固和及时升级补丁”是安全的必要手段。

  从“想哭”到“必加”,信息系统防护无效情况被一一暴露。“通过类似邮件或浏览器等入口的单点注入、之后横向移动扫荡内部网络,这本身是传统定向攻击到APT(高持续性威胁)攻击的基本手段,但由于APT攻击的隐蔽性,使其并没有有效驱动内网安全治理的改善,而勒索病毒攻击却是一种后果高度可见的安全风险。”安天CERT研究员认为,面对这种局面,与其夸大病毒本身的能力和威胁,不如认真思考安全基础工作的是否扎实,不能更多立足于灾难响应、数据恢复甚至是破解解密,必须立足于尽可能地防患于未然,最大程度地将易被攻陷的节点减到最小。

  要实现“全天候全方位感知和有效防护”,在安天CERT研究员看来,“有效”对关键信息技术设施保障的基本要求,如果说态势感知能力是信息安全的顶层价值,那么有效防护就是其能力的基本盘,“没有有效防护这个基本盘,威胁情报等各种能力手段都无法落地”。

[责任编辑:孙宗鹤]
独家策划

数读习近平在APEC工商领导人峰会上的讲话

习近平应邀出席在越南岘港举行的apec工商领导人峰会并发表主旨演讲,想知道习主席说了什么吗?

来,看看四年来精准扶贫成果有多赞!

一晃四年,精准扶贫政策以每年减贫1300万人以上的成就,书写了人类反贫困斗争史上“最伟大的故事”。

新时代新征程 文化建设者们信心满满

在文化建设者们看来,文化发展的蓝图已经绘就,关键是要认真领会好,深刻把握好,全面落实好。

新时代新征程 科技工作者怎么做?

党的十九大报告提出,创新是引领发展的第一动力,是建设现代化经济体系的战略支撑。

手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明员工 | 光明网邮箱 | 网站地图

光明网版权所有

立即打开