大规模的网络攻击:WannaCry勒索软件侵入全世界超过230,000台计算机
WannaCry 病毒是一个勒索软件类型的程序,它使用了EternalBlue 漏洞来感染运行 Microsoft Windows (微软视窗)操作系统的计算机。这个勒索软件也被称为 WannaCrypt0r、WannaCryptor、WCry 和 Wana Decrypt0r。一旦它进入目标计算机,它迅速地加密所有的文件,并以这些文件扩展名字标注:.wcry、.wncryt 和 .wncry。
这个病毒使用强大的密码让数据变得无法使用,它也会修改桌面壁纸,并创建“Please Read Me!.txt”(请阅读我)的勒索字条,然后启动一个标题为 “Wanna Decrypt0r” 的程序窗口,说明了计算机上文件已经被加密。这个恶意程序会催促受害者以比特币支付价值 $300 至 $600 的赎金,并且说明如果受害者没有在 7 天内付款,他们的所有文件将被删除。这个恶意软件会删除卷影副本,防止受害者还原被加密的数据。除此之外,这个勒索软件像蠕虫般 操作,因为一旦它进入目标计算机,它会开始寻找其他的计算机来感染。这个恶意软件利用了 Windows OS 的安全漏洞,在没有获得用户的许可下,使用文件共享工具(比如 Dropbox 或共享驱动器)迅速传播。因此,如果你已经受到网络攻击,你必须尽快移除 WannaCry 以停止它进一步蔓延。
尽管病毒承诺在你汇款后还原你的文件,但是没有理由相信犯罪份子所说的。wubingdu.cn 团队建议在“带有网络的安全模式”下,使用如 Reimage的反恶意程序来删除勒索软件。
网络犯罪份子使用这个勒索软件于上个星期五,2017 年 5 月 12 日启动了大规模的网络攻击。根据最新报告,恶意攻击成功在 150 多个国家侵入超过 230 000 台计算机。
这个网络攻击的影响是严重的——虽然病毒针对了来自各个领域的组织,但医疗保健l领域似乎受影响最大 。由于这个攻击,各种医院服务已停止服务,举个例子,上百个手术已被推迟。据报告指出,受这个勒索软件侵入的第一大公司是西班牙电信 (Telefonica)、天然气公司 (Gas Natural) 和 Iberdrola 公司。一些受侵入的公司存有备份,其他的不得不面对惨重的后果。没有任何例外,所有的受害者都被建议尽快进行 WannaCry 移除,因为这样能防止勒索软件进一步蔓延。
Wanna Cry 使用 EternalBlue 漏洞分布
WannaCry 勒索软件主要的感染载体是 EternalBlue 漏洞,这是一个从美国国家安全局 (US National Security Agency, NSA) 偷来的网络偷窥工具,然后被一个名字为 Shadow Brokers(影子经纪人)的黑客群组在网上发布。EternalBlue 漏洞把目标锁定在微软所执行的“伺服器讯息块 (Server Message Block, SMB) 协议里的 Windows CVE-2017-0145 的漏洞。该漏洞已经被修补,建议参考微软的安全公告 MS17-010 (于 2017 年 5 月 14 日发行)。
作恶者使用的漏洞代码主要是用来感染过时的 Windows 7 和 Windows Server 2008 系统;而跟据报导,Windows 10 的用户是不会被这个病毒侵入的。恶意软件通常是以含有漏洞攻击包和勒索软件本身的 trojan dropper 形式出现,该程序然后尝试连接其中一个远程伺服器以便把勒索软件下载到计算机里。最新的 WannaCry 变种是通过 girlfriendbeautiful[.]ga/hotgirljapan.jpg?i=1 在亚太区分布的。勒索软件会侵入任何一个缺乏勒索软件分布知识的用户,因此我们建议阅读这个由我们专家编写的 Wanna Cry 勒索软件预防指南:
- 安装微软刚刚发布的 MS17-010 系统安全更新。它解决了这个勒索软件所用的特定漏洞。该更新也例外地发布给甚至是旧的操作系统,比如 Windows XP 或 Windows 2003。
- 将计算机里的其他程序保持在最新版本。
- 安装一个信誉可靠的反恶意软件来防护你的计算机,对抗以恶意程序感染你计算机的非法企图。
- 从不打开来自陌生人或没有生意来往公司的电邮。
- 使用微软提供的指示禁用 SMBv1。
研究人员演示 WannaCry 攻击期间拍摄的截图。你可以看到 Wanna Decrypt0r 窗口以及 WannaCry 在感染系统并加密所有的文件之后设置为默认桌面壁纸的图像。
WannaCry 的版本
.wcry 文件扩展病毒。相信这是这个坏名声勒索软件的第一个版本,它于 2017 年 2 月被发现,起初它并不像是一个可以超越最流行病毒如 Cryptolocker、CryptXXX 或 Cerber 的病毒。这个病毒使用了以 AES-128 加密的密码,稳稳地锁住文件,并在文件名字添加了 .wcry 文件扩展名字,然后要求把 0.1 比特币汇到所提供的虚拟钱包。这个恶意软件起初是通过垃圾电邮分布。然而,这个特定的病毒并没有为其开发者带来丰富的收入。虽然被这个勒索软件加密的文件似乎无法在没有解密密钥的情况下恢复原状,但其开发者还是决定升级这个恶意程序。
WannaCrypt0r 勒索软件病毒。这是勒索软件更新版本的另一个名字。这个新的版本选用了 Windows 的漏洞作为其主要的攻击载体,并在数秒内加密所有储存在系统上的文件。受害者可以从添加在原本文件名的扩展名字里识别被侵入的文件—— .wncry、wncryt 或 .wcry。在没有备份或私钥(加密过程所创建)的情况下,没有任何方法可以还原被损坏的数据。这个病毒通常要求 $300,但如果受害者无法在三天内付款,它会把赎金提高到 $600。
WannaDecrypt0r 勒索软件病毒。WannaDecrypt0r 是这个病毒成功渗入目标系统后启动的程序。研究人员已经发现到 Wanna Decryptor 1.0 和 Wanna Decryptor 2.0 版本接触受害者。这个恶意软件显示了一个倒计时钟,显示在价格飙升之前必须支付赎金的剩余时间,并且也在同样的倒计时钟里,显示病毒即将从计算机删除所有数据的剩余时间。这个特定的版本于 2017 年 5 月 12 日震惊了虚拟社区,但在几天后它被一个名为 MalwareTech 的安全研究人员停止。
如何移除 WannaCry 并还原被加密的文件?
你应该只依靠专业的方法来移除 WannaCry 病毒,而不是尝试手动卸载这个恶意程序。这个病毒是非常危险的,它使用了复杂的方法在整个计算机系统传播,并且也会感染连接着的计算机和智能设备。你越快禁用这个病毒越好,因此不要再浪费时间了。如果你存有备份,不要急着把它连接到已受侵入的计算机里,否则这些数据副本也会被加密。为了取得最好的效果,我们建议你按照这些由 wubingdu.cne 团队提供的 WannaCry 移除指南操作。
