首页 » NetworkSec » AWD » 正文

NSA’s eternalblue+勒索软件蠕虫血洗全球

概要:

重磅消息,5 月 12 日晚上 20 时左右,全球爆发大规模勒索软件感染事件,影响到近百个国家上千家企业及公共组织,特别是校园网用户,据说用户只要开机联网开启445端口就可被攻击成功,这次事件的主要角色是NSA武器库的eternalblue和蠕虫勒索软件WNCRY以及ONION。

前情回顾:

2016-08:黑客组织The Shadow Brokers攻击了NSA并获取了部分黑客工具(一份免费一份加密)。

2017-01-14:The Shadow Brokers宣布退隐江湖。

2017-04-08:The Shadow Brokers公布加密工具的密码。

2017-04-21:The Shadow Brokers发布更多NSA的黑客工具(包含windows系统漏洞)。

2017-05-12:NSA’s eternalblue+勒索软件蠕虫开始血洗全球。

详情:

此次事件震惊全球,据BBC报道,计算机网络病毒攻击已经扩散到74个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等。中国方面,据悉,运营商已经封闭了大多数445端口,但是很多类似于教育网、大型企业内网等相对独立的网络没有自动关闭 445端口,所以影响范围很大,病毒是全国性的,疑似通过校园网传播,十分迅速。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。另外有网友反映,大连海事大学、山东大学等也受到了病毒攻击,另悉,英国多家公立医院也疑似遭到相同病毒的攻击,勒索攻击导致16家英国医院业务瘫痪,西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织, 11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。

eternalblue利用了Windows系统的smb的RCE漏洞(445端口),漏洞编号MS17-010,恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

此次ONION和WNCRY蠕虫勒索软件利用此漏洞和NSA的eternalblue工具对被攻击的用户进行勒索,一旦电脑感染了WNCRY病毒,受害者要高达300美元比特币的勒索金才可解锁。否则,电脑就无法使用,且文件会被一直封锁。 一旦你所在组织中一台计算机受攻击,蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。目前,eternalblue传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料 都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为 5 万多元和 2000 多元。

受影响的系统:

全球 70% 的 Windows 服务器,包括Windows NTWindows 2000Windows XPWindows 2003Windows VistaWindows 7Windows 8Windows 2008Windows 2008 R2Windows Server 2012 SP0

(Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows 10 Gold,1511和1607,Windows Server 2016)

防护方案:

1.关闭并禁用Server服务。

2.开启防火墙,禁用135、137、138、139和445端口。

3.使用360NSA武器库免疫工具,下载地址:http://dl.360safe.com/nsa/nsatool.exe

4.为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了eternalblue攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010

5.换成linux系统。

温馨建议:

1.尽快备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘,尽量定期备份。

2.安装正版操作系统、Office软件等。

3.不明链接不要点击,不明文件不要下载,不明邮件不要打开。

LSA总结感想:

又一场网络界的大地震,其实3月微软已经出了补丁,及时补上的话估计影响就不会那么巨大了,这说明很多人的网络安全意识还是不足。估计幕后黑手的比特币钱包已经鼓起来了,希望能尽快将幕后黑手绳之以法(虽然感觉希望不大),强大的黑客技术应该用在正道(比如破解掉一些勒索软件的加密)。还有NSA的工具也真是厉害,据说这些工具都是几年前的了,那现在的工具该多NB了啊。再次感叹备份真的很重要,数据无价啊!最后感觉真应了The Shadow Brokers的“fuck the world”。

参考链接:

http://news.qq.com/a/20170513/001170.htm

http://it.sohu.com/20170513/n492859049.shtml

http://www.leiphone.com/news/201705/iGXUMArn1cP1livY.html

http://www.freebuf.com/vuls/134508.html

http://www.freebuf.com/news/134512.html

彩蛋:

以上图片来源于网络。

 

 

 

Comment