新聞中心
勒索病毒大爆發、擾亂全球IT系統, WannaCryptor為罪魁禍首
2017.05.15

事態迅速升級!你們當中的人,要是錯過了周五新聞(或寧願逃避現實),需要了解一場惡意軟件的狂濤駭浪剛剛洗劫了地球,在信息安全業界掀起了滔天巨浪,對於受害者而言則更為嚴重。罪魁禍首是誰?是一款勒索病毒,ESET將其命名為WannaCryptor,也被稱為Wanna Cry和Wcrypt,利用美國國家安全局文件泄密之際,即名為 eternalblue 的伺服器訊息塊漏洞,迅速傳播。

與多數數據加密類惡意軟件不同的是,它具有蠕蟲的能力,能夠自行傳播,因此傳播速度非常快。該病毒英文版受害者所看到的界面如下:

Hat tip to @fendifille for sharing this screenshot with the world

病毒最初爆發於西班牙電信業,之後迅速向內、向外傳播。意大利文版本如下:

許多用戶上報稱,最初出現時受影響的是醫療保健機構,然後蔓延至各類商業網站、整個企業網站,以及交互其中的各類網絡。

Hat tip to @fendifille for sharing this photo

受害者所面臨的最大困境是:被勒索病毒攻擊後,文件會自動加密;從攻擊者獲取解密密碼,是解鎖文件的唯一途徑。這一過程可能會造成嚴重後果,尤其是對於醫療行業。患者病歷、醫生記錄和其他資料加密後便無法使用或讀取,除非已妥善預留備份、可以還原。

解密文件需要繳納約300美元的贖金,相比我們檢測到的其他勒索病毒,胃口實際要小一些,但真實成本是時間和文件損失,以及該病毒所導致的其他間接損失。

此次病毒大爆發之後所凸顯的另一主題是:責任。病毒傳播所利用的漏洞工具eternalblue,可通過大量論壇公開下載。本人全力贊成學術交流,但通過公共論壇提供精心設計的漏洞工具,可能會威脅到成千上萬臺正在運行的計算機安全,這樣做似乎有些過份,至少從我現在所處環境而言的確欠妥。發布者的責任心上哪兒去了?

負責任的反應

幸運的是,有效保護自己、防範這一最新威脅,可以從很多方面入手。此類措施最好盡早落實,以免悔之晚矣:

  • 安裝防毒軟件 – 聽上去貌似老生常談,現在提起來更是多此一舉。但要不是我經常聽到這樣的說辭:“這是臺服務器,我們有防火墻,所以這臺機器不準備安裝防毒軟件”,以及“這臺服務器上安裝防毒軟件後問題多多”,我根本不會重提這一點。但問題已經發生,因此我不得不再次強調。請安裝知名防毒軟件,使自己有機會抵禦和攔截病毒,以免遭受感染。

  • 舉例來說,ESET網絡防護模塊能夠早在該惡意程序生成之前,已經阻止利用被泄露的已知漏洞發起的網絡攻擊。ESET已將該病毒特征添加到病毒庫,以便進一步強化防護水平。該病毒的檢測名稱為;Win32/Filecoder.WannaCryptor.D,已於中歐標準時間2017年5月12日13:20時(格林威治時間+02:00),首次添加進病毒庫版本15404之中。在此之前,ESET LiveGrid已能夠從中歐時間11:26時起,防範這一威脅。

  • 更新Windows系統 – 非常重要!我知道整個網絡統一部署安全補丁的難度很大。但這 個補丁是必須安裝的。它早在四月中旬就已發布,能夠有效阻止該威脅滲透您的系統。該補丁的整個方程組文件列表,可在此處查閱

  • 掌握疫情!- 作為研究病毒感染、各類漏洞和IT安全信息的專業人員,掌握知識猶如戰場上已經勝利了一半。尤其是在重大信息泄露並以驚人速度傳播之時,更需要提高警惕。我本人根據病毒疫情創建了適當的YARA規則,能夠有效識別下載器、已泄露漏洞攻擊文件及其特點,已成功檢測大量此類對象。過去幾星期以來,我的桌面監測臺就像聖誕樹那樣閃爍不停,預計嚴峻的病毒疫情還將持續更長時間。此類疫情知識,更重要的是其所提供的信息,能夠幫助您更好地選定保護對象以及保護方式(例如安裝微軟補丁時,明確是否針對我公司情況等等)。

有關WannaCryptor病毒以及ESET獨有防護策略的詳細介紹,請閱讀此篇ESET知識庫文章。預知惡意軟件作者從此次病毒大爆發中收入的比特幣金額, 請點擊這一鏈接.

更新:為了反映這種威脅的嚴重性,微軟一夜之間發布了一個安全更新程序來修補Windows版本。這包括Windows XP,Vista,Windows 8,Server 2003和2008 Edition。