勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

小王数码
2017-05-15 08:09:36 百事网整理

5月12日起,Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,大量个人和企业、机构用户中招。

与以往不同的是,这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的“永恒之蓝”0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播。

没有安装安全软件或及时更新系统补丁的其他内网用户极有可能被动感染,所以目前感染用户主要集中在企业、高校等内网环境下。

一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密,并勒索高额的比特币赎金,折合人民币2000-50000元不等。

从目前监控到的情况来看,全网已经有数万用户感染,QQ、微博等社交平台上也是哀鸿遍野,后续威胁也不容小觑。

敲诈勒索病毒+远程执行漏洞蠕虫传播的组合致使危险度剧增,对近期国内的网络安全形势一次的严峻考验。

事发后,微软和各大安全公司都第一时间跟进,更新旗下安全软件。金山毒霸也特别针对本次敲诈者蠕虫,给出了详细的安全防御方案、传播分析,以及其他安全建议。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

我们也汇总了所有Windows系统版本的补丁,请大家务必尽快安装更新。

勒索病毒是什么?

1、WannaCry病毒与其他同类勒索病毒不同,它是一种可自动感染其他电脑进行传播的蠕虫病毒,因链式反应而迅猛爆发。

2、这种勒索病毒主要感染Windows系统,它会利用加密技术锁死文件,禁止用户访问,并以此勒索用户。

3、袭击者声称,索要价值300美元以上的比特币后方能解锁文件。实际上,即使支付赎金,也未必能解锁文件。

为什么会被感染?

该勒索蠕虫一旦攻击进入能连接公网的用户机器,则会扫描内网和公网的ip,若被扫描到的ip打开了445端口,则会使用“EnternalBlue”(蓝之永恒)漏洞安装后门。一旦执行后门,则会释放一个名为Wana Crypt0r敲诈者病毒,从而加密用户机器上所有的文档文件,进行勒索。

为什么使用比特币?

比特币是一种点对点网络支付系统和虚拟计价工具,通俗的说法是数字货币。比特币在网络犯罪分子之中很受欢迎,因为它是分散的、不受管制的,而且几乎难以追踪。

传播感染背景

本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种,首先在英国、俄罗斯等多个国家爆发,有多家企业、医疗机构的系统中招,损失非常惨重。

安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。

从5月12日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10W+

本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁,漏洞编号MS17-010)。

和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机,传播感染速度非常快。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

本次敲诈者蠕虫病毒变种通过“永恒之蓝”漏洞进行网络攻击

虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口,但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标。

对于企业来说尤其严重,一旦内部的关键服务器系统遭遇攻击,带来的损失不可估量。

从检测到反馈情况看,国内多个高校都集中爆发了感染传播事件,甚至包括机场航班信息、加油站等终端系统遭受影响,预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
全国各地的高校内网的敲诈者蠕虫感染攻击爆发

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
某高校机房全部遭遇WNCRY敲诈者蠕虫攻击

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
国内某地加油站系统遭遇本次敲诈者蠕虫变种攻击

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
某机场航班信息终端同样遭遇了敲诈者蠕虫攻击

敲诈蠕虫病毒感染现象

中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。

WNCRY变种一般勒索价值300-600美金的比特币,Onion变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3万左右。

此类病毒一般使用RSA等非对称算法,没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。

从某种意义上来说,这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
用户文件资料被加密,后缀改为“wncry”,桌面被改为勒索恐吓

对部分变种的比特币支付地址进行追踪发现,目前已经有少量用户开始向病毒作者支付勒索赎金。

从下图中我们可以看到这个变种的病毒作者已经收到19个用户的比特币赎金,累计3.58个比特币,市值约人民币4万元。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
某个敲诈者蠕虫的比特币支付信息追踪

防御措施建议

1、安装杀毒软件,保持安全防御功能开启,比如金山毒霸已可拦截(下载地址http://www.duba.net),微软自带的Windows Defender也可以。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
金山毒霸查杀WNCRY敲诈者蠕虫病毒

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

金山毒霸敲诈者病毒防御拦截WNCRY病毒加密用户文件

2、打开Windows Update自动更新,及时升级系统。

微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞,同时针对停止支持的Windows XP、Windows Server 2003、Windows 8也发布了专门的修复补丁。

最新版的Windows 10 1703创意者更新已经不存在此漏洞,不需要补丁。

各系统补丁官方下载地址如下:

KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

适用于Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安腾

KB4012212】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

适用于Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位

KB4012213】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

适用于Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位

KB4012214】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214

适用于Windows 8嵌入式、Windows Server 2012

KB4012606】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

适用于Windows 10 RTM 32位/64位/LTSB

KB4013198】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

适用于Windows 10 1511十一月更新版32/64位

KB4013429】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

适用于Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

3、Windows XP、Windows Server 2003系统用户还可以关闭445端口,规避遭遇此次敲诈者蠕虫病毒的感染攻击。

步骤如下:

(1)、开启系统防火墙保护。控制面板->安全中心->Windows防火墙->启用。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

开启系统防火墙保护

(2)、关闭系统445端口。

(a)、快捷键WIN+R启动运行窗口,输入cmd并执行,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

(b)、如上图假如445端口开启,依次输入以下命令进行关闭:

net stop rdr  / net stop srv / net stop netbt

功后的效果如下:

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

4、谨慎打开不明来源的网址和邮件,打开Office文档的时候禁用宏开启,网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

钓鱼邮件文档中暗藏勒索者病毒,诱导用户开启宏运行病毒

5、养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件。

本次敲诈者蠕虫爆发事件中,国内很多高校和企业都遭遇攻击,很多关键重要资料都被病毒加密勒索,希望广大用户由此提高重要文件备份的安全意识。

2017-05-14更新:金山毒霸发布比特币勒索病毒免疫工具:免费恢复文件

面对肆虐的Onion、WNCRY两类勒索病毒变种在全国范围内出现爆发的情况,金山毒霸中心已紧急发布比特币勒索病毒免疫工具及应急处置方案。

据悉,勒索病毒变种增加了NSA黑客工具包中的“永恒之蓝”0day漏洞利用,可在局域网内蠕虫式主动传播,未修补漏洞的系统会被迅速感染,勒索高额的比特币赎金折合人民币2000~50000不等。

目前已证实受感染的电脑集中在企事业单位、政府机关、高校等内网环境。毒霸安全专家指出,病毒加密用户文档后会删除原文件,所以,存在一定机会恢复部分或全部被删除的原文件。建议电脑中毒后,尽量减少操作,及时使用专业数据恢复工具,恢复概率较高。

金山毒霸11下载(推荐!拦截敲诈病毒)

专杀免疫工具戳此直接下载

详细教程:

检测当前电脑是否有免疫比特币勒索病毒攻击

金山毒比特币勒索病毒免疫工具 金山毒免费恢复文件教程

已成功免疫效果如下图

金山毒比特币勒索病毒免疫工具 金山毒免费恢复文件教程

我们知道,那些已经被加密的数据文件,在没有取得密钥的情况下,解密基本没有可能。但在了解到病毒加密的原理之后,发现仍有一定机会找回原始文件:病毒加密原文件时,会删除原文件,被简单删除文件的硬盘只要未进行大量写入操作,就存在成功恢复的可能。

使用金山毒霸数据恢复找回受损前的文档

请使用免费帐号ksda679795862,密码:kingsoft,来启用金山毒霸的数据恢复功能。

1.选择删除文件恢复

金山毒比特币勒索病毒免疫工具 金山毒免费恢复文件教程

2.选择扫描对象:在界面中选择文件丢失前所在的磁盘或文件夹,然后点击“开始扫描”。

金山毒比特币勒索病毒免疫工具 金山毒免费恢复文件教程

3.扫描过程:文件数量越多,扫描时间越长,请耐心等待。(一般扫描速度2分钟3G)

金山毒比特币勒索病毒免疫工具 金山毒免费恢复文件教程

4.扫描完结果预览:点击文件可进行预览,可预览的就是可有机会成功恢复的。勾选需要恢复文件(夹),点击开始恢复即可恢复文件。

金山毒比特币勒索病毒免疫工具 金山毒免费恢复文件教程g

5.选择恢复路径:恢复的文件将保存再您选择的文件夹路径,请选择您要恢复到哪个文件夹。(强烈建议将要恢复的文件保存到其他硬盘,而非丢失文件的硬盘,以避免造成二次损伤。)

金山毒比特币勒索病毒免疫工具 金山毒免费恢复文件教程

以下几种情况需要注意:

1.扫描出来的照片、office文档,显示不可预览的,是无法恢复的。(无法预览office文档,表示文档已部分受损)

2.不支持预览的文件类型,只能恢复后才能知道是否可以正常使用

3.使用误删除文件功能,扫描完后,每个文件会有恢复概率显示,恢复概率高,恢复成功率就高

4.视频文件极易产生碎片和数据覆盖,所以视频文件完全恢复的可能性很小。

5.物理损坏的硬盘或其他存储介质,恢复后的文件可能是已损坏的文件。

5月14日更新 360安全卫士推出了对应的解决办法

“勒索病毒”全球爆发,通过蠕虫式传播在企业、校园内网大面积感染,一台中招,一片遭殃!本次“勒索病毒”是在周五晚上爆发,星期一(5月15日)上班的企业将面临重大风险!

360安全卫士能够全面免疫和防御“勒索病毒”,安装360安全卫士的用户,这次基本不受“勒索病毒”影响。

针对未安装360安全卫士的用户,我们紧急推出360安全卫士【离线救灾版】,可以帮助企业办公电脑应对此次“勒索病毒”的攻击。

应对“勒索病毒”,周一开机操作指南:

一、准备一个U盘或移动硬盘,周一上班前,可以在家里的安全网络环境下,下载360安全卫士【离线救灾版】 下载地址http://dl.360safe.com/setup_jiuzai.exe

二、到公司后,先拔掉办公电脑的网线,关掉无线网络开关,然后再开机。

三、使用准备好的U盘或移动硬盘插入办公电脑,安装360安全卫士【离线救灾版】

四、360安全卫士【离线救灾版】的NSA武器库免疫工具会自动运行,并检测您的电脑是否存在漏洞。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

如图代表了您当前系统没有安装漏洞补丁,请您点击【立即修复】

提示:本次的【永恒之蓝】漏洞是利用Windows 系统局域网共享漏洞。如果您的系统本身存在问题(例如是GHOST精简版)可能无法正常安装补丁。出于安全考虑,工具会直接为您【关闭共享所需的网络端口 和 系统服务】

五、修复漏洞过程中,请您耐心等候,一般需要 3~5 分钟。

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

修复成功后,会弹窗提示您。请您【重启电脑】,以便修复操作彻底生效 

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

七、重启电脑后,您可以通过桌面的【勒索病毒救灾】快捷方式再次运行 NSA 防御工具,确保您的系统已经修复完成。 

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

补充说明:针对部分特殊系统(例如GHOST精简系统),由于系统本身被人为的修改导致无法正常安装本次的漏洞修复程序,出于安全考虑,工具会直接为您【关闭共享所需的网络端口 和 系统服务】,您将看到如下画面:

勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载

请大家放心!

5月15日最新新闻进展消息

“英雄拯救世界”?在近两天全球性的勒索软件网络攻击事件中,传出了一名英国网络工程师通过注册某个域名而遏制这场灾难的消息。但网络安全专家指出,目前事态只是由于多种原因而稍显缓和,许多网络用户特别是中国用户仍面临风险关口。

勒索病毒威胁远未消失:15日是重要考验关口

网络攻击级别“史无前例”

12日,全球多个国家的网络遭遇名为“想哭”的勒索软件攻击,据统计,涉及中国、英国、西班牙、俄罗斯等近百个国家和地区。电脑被勒索软件感染后文件会被加密锁定,支付黑客所要赎金后才能解密恢复,受攻击对象甚至包括医院、高校等公益性机构。欧盟刑警组织说,这次网络攻击“达到史无前例的级别”。

这一勒索软件利用的是微软“视窗”操作系统中的一个漏洞。尽管此前微软已发布安全补丁,但仍有许多没有更新的电脑被感染。鉴于事态严重,微软很快宣布采取非同寻常的安防措施,为一些它已不再支持的老“视窗”平台提供补丁。多家网络安全厂商也紧急推出了应对勒索软件的安全工具。

13日,媒体报道一个英国小伙“拯救世界”的消息,称他通过注册某个域名遏制了这场网络攻击。记者调查发现,这位迄今没有透露姓名等信息的英国网络工程师运营一家分析恶意软件的网站。他在网站上称,通过分析“想哭”软件发现,它预设如果访问某个域名就自我删除,而这个域名尚未注册,他通过注册这个域名并进行相关操作,成功阻止了“想哭”软件蔓延。

“这个说法并不全对,域名的作用其实有限,”安天公司安全研究与应急处理中心主任李柏松告诉新华社记者,“一部分已被感染的电脑,确实可以访问这个域名而使勒索软件停止破坏,但当前最大的问题是大量内网节点已被感染,而有些节点无法访问这个域名,并且勒索软件很容易修改出不带有这一特性的新变种。所以,不能指望就靠这个域名拯救世界。”

“我们监测到的攻击量和感染量并没有明显回落,只是一个缓慢的持平和下降,”360公司首席安全工程师郑文彬也对新华社记者说,“随着媒体推动和用户意识到问题,公众和机构的电脑逐渐打上补丁,这才是事态目前稍显缓和的主要原因。”

用户仍然面临风险

“这个缓和很大程度上还因为是周末,15日会是重要的考验关口,”郑文彬强调。由于时区关系,中国将是较早面临这个风险的国家。

李柏松同样判断:“勒索软件网络攻击大规模爆发于北京时间12日晚8点左右,当时国内有大量机构和企业的网络节点已关机,因此15日开机将面临安全考验。”他还说,许多重要的计算机系统处于内网环境,无法访问前述域名,并且也可能无法及时更新安全补丁,因此仍可能面临较大风险。

网络安全专家建议,用户要断网开机,即先拔掉网线再开机,这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁,或安装各家网络安全公司针对此事推出的防御工具,才可以联网。

“针对勒索软件威胁,用户必须提前做好防御工作,”李柏松强调,“因为这个勒索软件采用了RSA、AES等加密算法,没有密钥无法解密。”也就是说,对已被感染且发作的电脑,其中被锁定的文件暂时没有办法打开。他表示,网上有传闻说勒索软件作者已经公开了密钥,但已经证实这是假消息。

李柏松指出,不建议文件已被锁定的受害者按黑客要求支付赎金,“妥协就是对犯罪的纵容,而且目前无法确定传播者的真实意图,支付了赎金也不一定会收到解锁所需的密钥,我们不建议受害用户支付赎金。”

郑文彬说,文件被锁定的用户可以尝试使用一些恢复工具,根据被锁定文件的性质,有一定概率可以恢复数据。

“勒索”未来可能持续

网络安全专家都在严阵以待15日这个关口。那么,假如过了这个关口,今后又会怎么样?郑文彬认为:“这个勒索软件的攻击未来应该还会持续一段时间。”

“一些不法黑客还可能受到此次勒索软件攻击的启发,将更多技术手段与勒索软件相结合,”李柏松说,“勒索模式带动蠕虫病毒的回潮不可避免,黑客可能利用僵尸网络分发病毒,还可能针对物联网设备的漏洞制造和传播病毒软件,这些问题都会出现。”

比特币的兴起也为勒索软件提供了帮助。比特币是一种虚拟货币,在网上交易难以追踪,成为许多黑客爱用的交易媒介。在此次事件中,就有用户因一台电脑被感染而被勒索5个比特币,目前约合人民币5万元。

此次勒索软件威胁的不仅是个人用户,还有众多机构和企业。专家因此提醒,所有网络用户今后都应加强安全意识,注意更新安全补丁和使用各种杀毒工具。

0
0
热门文章