“勒索病毒”到底有多毒?專家教你如何防控


近日,大規模網絡勒索襲擊迅速波及全球百餘國家和地區,病毒鎖死用戶數據和電腦文件,需要用戶支付價值300-600美元的比特幣贖金。新華網特此邀請360安全衛士產品負責人孫曉駿做客訪談間,為網民解讀如何防控“勒索病毒”等話題。

隨著周一開機率的提高,以及病毒木馬的變異,勒索病毒下一步的態勢會如何?

經過72小時全國動員和應急響應,勒索病毒的威脅已經得到控製,感染態勢明顯降低。

??之前業界廣泛擔憂會出現“黑色星期一”,主要是基於大型機構和企業會迎來電腦開機高峰,而勒索病毒蠕蟲的主要特點是能夠在內網自動傳播,一台中招,一片遭殃。

??所幸在中央網信辦、公安部、工信部的領導下,360等互聯網安全公司積極提供離線救災版解決方案,本周一國內並未出現病毒大規模感染的情況,勒索病毒疫情得到有效控製。

??從360安全中心目前捕獲的勒索病毒蠕蟲最新變種來看,不同變種的區別是病毒啟動開關的域名在變化,但病毒主要的傳播方式和危害並沒有明顯變異。

??經過此次勒索病毒的攻擊,網絡安全獲得社會的廣泛關注,很多國內主機進行了應急加固,提升了對已知高危漏洞的風險控製能力。但是勒索病毒作為一個已經出現4年的網絡犯罪產業,仍然會通過電子郵件、網頁掛馬、網絡資源下載等各種形式進行攻擊,無論企業還是個人都應該提升網絡安全意識,積極使用專業安全軟件對病毒進行實時防護,以免遭遇數據資產的重大損失。


勒索病毒”為什麼能短時間大規模爆發,背後有什麼原因?關於病毒的出處現在外媒流傳一些說法,咱們是怎麼判斷的

NSA的“永恒之藍”網絡武器是槍,勒索病毒是子彈 

勒索病毒的製作門檻是比較低的,網上有很多病毒開源代碼,病毒使用的加密算法也有很多公共庫,不法分子隻要稍微改造就可以使用。

??此次WannaCrypt勒索病毒之所以造成巨大影響,最重要的並不是病毒本身,而是它使用了NSA(美國國家安全局)“永恒之藍”進行遠程攻擊。通俗的說,NSA的“永恒之藍”網絡武器是槍,勒索病毒是子彈。如果沒有“永恒之藍”的發射,勒索病毒也不會有超強的傳播能力。

??NSA“永恒之藍”能夠遠程攻擊Windows係統,以係統最高權限執行任意代碼,整個攻擊過程不需要用戶任何操作(常見的軟件漏洞需要用戶瀏覽網頁或者打開文檔等操作才會中招),電腦隻要聯網就可能被攻擊。

??永恒之藍攻擊的445文件共享端口在企業內網一般是開放的,否則無法使用打印機等辦公應用,因此特別適合互聯網、局域網的蠕蟲式自動傳播——隻要一台機器感染,它就會成為攻擊源自動掃描攻擊其他有漏洞的機器。

??這類無需用戶交互就能遠程攻擊的係統級漏洞非常稀缺和罕見,上一次出現大規模利用還是在2008年,conficker蠕蟲利用MS08-067漏洞在全球範圍內進行傳播。能夠挖掘出一個這種級別的神洞是非常難的。

??永恒之藍的攻擊代碼水平極高,漏洞利用成熟、穩定。如果“永恒之藍”武器發射的不是勒索病毒,而是其他更隱蔽的病毒,一般人根本無法察覺電腦已經被“永恒之藍”攻擊入侵過。

??簡單總結永恒之藍的技術難點:漏洞挖掘難度極高、漏洞利用水平極高、漏洞武器化水平極高,隻有高水平團隊投入大量資源才有可能實現。可以說,NSA的網絡武器泄漏公開在此次病毒爆發事件中起到了關鍵作用。

??關於外媒流傳的病毒出處的說法,以同源代碼關聯分析的方式並無法準確地追溯源頭,隻能猜測這是一種可能性,但無法確認病毒作者的真實身份。


現在關於這個病毒的說法是“可防不可解”,為什麼會有不可解的病毒?

勒索病毒使用了高強度加密算法

WannaCrypt勒索病毒使用了高強度加密算法,它在文件加密方麵的編程較為規範,流程符合密碼學標準。

??“不可解”指的是在沒有病毒作者私鑰的前提下,無法破解其加密算法,對已經被病毒加密的文件進行恢複。

??從理論上來說,通過大量計算來暴力破解高強度的加密算法,幾十萬年也不一定能實現。如果勒索病毒的加密被破解,這意味著金融等領域使用的加密算法也都是不安全的,因為都是通用的加密算法。

??盡管WannaCrypt勒索病毒的加密文件目前無法破解,但是它在處理原始文件時存在漏洞,360發現病毒的漏洞後於5月14日淩晨全球首家推出文件恢複工具。之後有多家公司紛紛模仿360推出文件恢複工具,但其實並沒有真正理解核心原理,恢複效果也遠遠落後於360的文件恢複工具。


 各方提示一旦發現感染這種病毒應給馬上“斷網關機”,這是不是唯一的解決辦法?


可以準備一個360急救盤,通過U盤引導進入係統 

斷網的作用:能夠防止病毒利用已經中毒的電腦去攻擊其他電腦;

??關機的作用:能夠防止病毒利用已經中毒的電腦去攻擊其他電腦,也可以采取措施保護還沒有被病毒加密的文件。

??但是由於病毒的勒索提示是在完成加密後才出現,絕大多數受害者隻有在這時候才會意識到中毒了,這時再關機,隻能起到阻止病毒攻擊其他電腦的作用,已經無法保護文件。

??由於病毒加密文件的過程會使電腦變慢,細心的電腦用戶發現異常後應立刻檢查下有沒有病毒;或者病毒正好加密到自己正在查看的文件目錄,能夠發現病毒,這時立刻關機,再以安全模式進入係統(不能直接進入係統,病毒會隨著開機啟動繼續加密文件),把還沒有被病毒加密的文件備份到移動硬盤中,可以減少損失;此外,也可以準備一個360急救盤,通過U盤引導進入係統,先殺毒,再保存還沒有被病毒加密的文件。


大家感覺現在網絡病毒比以前少了,但是一旦發生一次就會形成很大影響,為什麼?怎樣看待未來的網絡安全態勢?


用戶還是應該注意對係統進行安全更新,並使用專業安全軟件防範病毒 

隨著360等免費安全軟件的普及,國內網絡安全水平已得到極大提升。根據微軟安全報告顯示,中國是全球惡意軟件感染率最低的國家。已經多年沒有再出現類似熊貓燒香、灰鴿子等動輒感染成百上千萬台電腦的木馬病毒。

??此次WannaCrypt勒索病毒造成很大社會影響,但其影響的普通個人用戶極少,受到感染的主要是不打補丁、不裝安全軟件的機構和單位電腦,其感染數量也遠遠低於熊貓燒香等病毒的感染量。但是一些公共服務受到病毒影響,引起了社會各界的高度關注。

??這也說明,隨著各行各業信息化程度與日俱增,互聯網已經深入滲透到人們生活的方方麵麵。人們對互聯網的依賴度越高,網絡安全就越重要,移動互聯網和IoT等領域也同樣麵臨著勒索病毒、僵屍網絡、遠程控製、竊取網銀等不同類型網絡犯罪的威脅。

??現在智能手機上已經存在各種各樣的勒索軟件,盡管還沒有出現類似WannaCrypt快速自動傳播的勒索型蠕蟲,但不能排除未來在智能手機上也出現勒索病毒大規模爆發的情況,所以用戶還是應該注意對係統進行安全更新,並使用專業安全軟件防範病毒,才能夠保護好自己的數據和財產安全。



敬請關注竹子搭工作網絡工作室


                                                              www.zhuzih.com


下一篇 : 大盤反彈基本確立,後市如何運行?——【振華視點】第337期


微信掃一掃
分享文章到朋友圈