北京时间5月12日凌晨,永恒之蓝勒索蠕虫全球性大爆发,该蠕虫使用了NSA近期泄露的网络军火及永恒之蓝远程漏洞,所以所向披靡。
截至12日凌晨5点,已有包括美国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,危害目前仍在持续快速扩大。
我国大量行业的企业内网遭受大规模感染,其中教育网受损严重。
被攻击国家分布
根据此前病毒影响区域分析,目前受影响的区域主要集中于:
教育行业
因教育边界网络、主干交换路由交换设备多数允许///端口,非法分子入侵后,能够直接批量化利用。
医疗行业
医疗因行业特殊性,一直以来是非法分子入侵的主要对象。
政府企业
政府、重点企业普遍建设有自己的内部专网,相较于运营商主动屏蔽受影响端口外,政府、企业内网的边界网络、主干网等普遍响应较慢,一旦发生攻击,反映时间较慢。
一、事件样本分析与关联验证
该软件利用了基于端口传播扩散的SMB漏洞,MS17-。
年4月14日黑客组织ShadowBrokers(影子经纪人)公布的EquationGroup(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。
风险等级:严重
影响系统及版本:winxp、win7、win8、win10、winserver
备注
由于该漏洞为系统默认组件造成,因此开启共享服务的机器均可能被漏洞利用。
二、影响演示
1
当系统被该勒索软件入侵后,弹出勒索对话框
勒索界面
2
加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”
加密后的文件
3
勒索软件提供免费解密个数,以证明攻击者能够解密加密文件。“点击Decrypt按钮,就可以免费恢复一些文档。”现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。
个别解密的文件
三、安全建议
个人预防措施
1.未升级操作系统的处理方式(不推荐,仅能临时缓解)
启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
2.安装微软发布的MS17-最新安全补丁(推荐)
转载请注明:http://www.wangguoqiangq.com/sglbly/3623.html
