从5月12日开始,全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,一些师生的电脑文件被病毒加密,只有支付赎金才能恢复。对此,校园网用户不必过度惊慌,做好安全防范和补救措施可以避免遭受不必要的损失。
本次感染事件首先在英国、俄罗斯等多个国家爆发,新闻报道有多家企业、医疗机构的系统中招,损失非常惨重。安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。从5月12日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。专业安全公司针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
与以往不同的是,此类新变种利用了NSA黑客工具包中的“永恒之蓝”0day漏洞,通过445端口(文件共享)在内网进行蠕虫式感染传播,没有安装安全软件或及时更新系统补丁的内网用户就极有可能被动感,所以目前感染用户主要集中在企业、高校等内网环境下。一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密并勒索高额的比特币赎金。
【影响范围】Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server 2003、Windows Vista、已关闭自动更新的win10用户
【不受影响的设备】安卓手机、iOS设备、MacOS设备、Unix设备、Win10设备(最新版本)
本轮勒索病毒传播主要包括Onion、WNCRY两大家族变种,中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。WNCRY变种一般勒索价值300~600美金的比特币,而onion变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3万左右。此类病毒一般使用RSA等非对称算法,没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。从某种意义上来说这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。
【安全防范措施建议】
1、下载免疫工具、专杀工具、文件恢复工具:
360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune
安天公司免疫工具下载链接:http://www.antiy.com/response/WannaCry/Vaccine_for_WannaCry.zip
360公司专杀工具下载链接:http://www.antiy.com/response/WannaCry/ATScanner.zip
安天公司专杀工具下载链接:http://www.antiy.com/response/WannaCry/ATScanner.zip
360公司文件恢复工具下载链接:http://dl.360safe.com/recovery/RansomRecovery.exe
2、首先运行免疫工具,对勒索软件感染传播途径进行有效阻断,实现主机免疫;
3、免疫后,使用勒索软件专杀工具对已经感染的主机进行勒索软件的清除(但无法解密已经被加密的文件);
4、开启系统自动更新,并检测更新进行安装。
【已感染用户的补救方案】
1、首先拔掉网线,与内网其他机器隔离;
2、使用蠕虫勒索软件免疫工具进行主机免疫;
3、使用蠕虫勒索软件专杀工具清除病毒;
4、使用360公司文件恢复工具恢复被删除的文件,尽量减少损失;(因勒索软件工作原理是将源文件读取后加密写入硬盘,再删除源文件,保留加密文件,该恢复工具可将已删除的文件尽量恢复,并不能保证完全恢复出来)
4、使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;
5、重装系统后重复2、3步骤,开启系统自动更新,并检测更新进行安装。
最后,切记:要养成随时备份文件的好习惯!
