5月12日起,，Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大范圍內(nèi)出現(xiàn)爆發(fā)態(tài)勢,，大量個人和企業(yè),、機構(gòu)用戶中招。

與以往不同的是,，這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恒之藍”0day漏洞利用,，通過445端口(文件共享)在內(nèi)網(wǎng)進行蠕蟲式感染傳播，沒有安裝安全軟件或及時更新系統(tǒng)補丁的其他內(nèi)網(wǎng)用戶就極有可能被動感染，所以目前感染用戶主要集中在企業(yè),、高校等內(nèi)網(wǎng)環(huán)境下,。

一旦感染該蠕蟲病毒變種，系統(tǒng)重要資料文件就會被加密,，并勒索高額的比特幣贖金,，折合人民幣2000-50000元不等。

從目前監(jiān)控到的情況來看,，全網(wǎng)已經(jīng)有數(shù)萬用戶感染,，QQ、微博等社交平臺上也是哀鴻遍野,，后續(xù)威脅也不容小覷,。敲詐勒索病毒＋遠程執(zhí)行漏洞蠕蟲傳播的組合致使危險度劇增，對近期國內(nèi)的網(wǎng)絡(luò)安全形勢一次的嚴(yán)峻考驗,。

事發(fā)后,，微軟和各大安全公司都第一時間跟進，更新旗下安全軟件,。金山毒霸也特別針對本次敲詐者蠕蟲,，給出了詳細的安全防御方案、傳播分析,，以及其他安全建議,。

我們也匯總了所有Windows系統(tǒng)版本的補丁，請大家務(wù)必盡快安裝更新,。

【傳播感染背景】

本輪敲詐者蠕蟲病毒傳播主要包括Onion,、WNCRY兩大家族變種，首先在英國,、俄羅斯等多個國家爆發(fā),，有多家企業(yè)、醫(yī)療機構(gòu)的系統(tǒng)中招,，損失非常慘重,。

安全機構(gòu)全球監(jiān)測已經(jīng)發(fā)現(xiàn)目前多達74個國家遭遇本次敲詐者蠕蟲攻擊。

從5月12日開始,，國內(nèi)的感染傳播量也開始急劇增加,，在多個高校和企業(yè)內(nèi)部集中爆發(fā)并且愈演愈烈。

全球74個國家遭遇Onion,、WNCRY敲詐者蠕蟲感染攻擊

24小時內(nèi)監(jiān)測到的WNCRY敲詐者蠕蟲攻擊次數(shù)超過10W+

本次感染急劇爆發(fā)的主要原因在于其傳播過程中使用了前段時間泄漏的美國國家安全局(NSA)黑客工具包中的“永恒之藍”漏洞(微軟3月份已經(jīng)發(fā)布補丁,，漏洞編號MS17-010)。

和歷史上的“震蕩波”,、“沖擊波”等大規(guī)模蠕蟲感染類似,，本次傳播攻擊利用的“永恒之藍”漏洞可以通過445端口直接遠程攻擊目標(biāo)主機,，傳播感染速度非常快,。

本次敲詐者蠕蟲病毒變種通過“永恒之藍”漏洞進行網(wǎng)絡(luò)攻擊

雖然國內(nèi)部分網(wǎng)絡(luò)運營商已經(jīng)屏蔽掉個人用戶的445網(wǎng)絡(luò)端口,，但是在教育網(wǎng)、部分運行商的大局域網(wǎng),、校園企業(yè)內(nèi)網(wǎng)依舊存在大量暴漏的攻擊目標(biāo),。

對于企業(yè)來說尤其嚴(yán)重，一旦內(nèi)部的關(guān)鍵服務(wù)器系統(tǒng)遭遇攻擊,，帶來的損失不可估量,。

從檢測到反饋情況看，國內(nèi)多個高校都集中爆發(fā)了感染傳播事件,，甚至包括機場航班信息、加油站等終端系統(tǒng)遭受影響,，預(yù)計近期由本次敲詐者蠕蟲病毒造成的影響會進一步加劇,。

全國各地的高校內(nèi)網(wǎng)的敲詐者蠕蟲感染攻擊爆發(fā)

某高校機房全部遭遇WNCRY敲詐者蠕蟲攻擊

國內(nèi)某地加油站系統(tǒng)遭遇本次敲詐者蠕蟲變種攻擊

某機場航班信息終端同樣遭遇了敲詐者蠕蟲攻擊

【敲詐蠕蟲病毒感染現(xiàn)象】

中招系統(tǒng)中的文檔、圖片,、壓縮包,、影音等常見文件都會被病毒加密，然后向用戶勒索高額比特幣贖金,。

WNCRY變種一般勒索價值300-600美金的比特幣,，Onion變種甚至要求用戶支付3個比特幣，以目前的比特幣行情,，折合人民幣在3萬左右,。

此類病毒一般使用RSA等非對稱算法，沒有私鑰就無法解密文件,。WNCRY敲詐者病毒要求用戶在3天內(nèi)付款,，否則解密費用翻倍，并且一周內(nèi)未付款將刪除密鑰導(dǎo)致無法恢復(fù),。

從某種意義上來說,，這種敲詐者病毒“可防不可解”，需要安全廠商和用戶共同加強安全防御措施和意識,。

感染W(wǎng)NCRY勒索病毒的用戶系統(tǒng)彈出比特幣勒索窗口

用戶文件資料被加密,，后綴改為“wncry”，桌面被改為勒索恐嚇

對部分變種的比特幣支付地址進行追蹤發(fā)現(xiàn),，目前已經(jīng)有少量用戶開始向病毒作者支付勒索贖金,。

從下圖中我們可以看到這個變種的病毒作者已經(jīng)收到19個用戶的比特幣贖金，累計3.58個比特幣,，市值約人民幣4萬元,。

某個敲詐者蠕蟲的比特幣支付信息追蹤

【防御措施建議】

1,、安裝殺毒軟件，保持安全防御功能開啟 ,，比如金山毒霸已可攔截(下載地址http://www.),，微軟自帶的Windows Defender也可以。

金山毒霸查殺WNCRY敲詐者蠕蟲病毒

金山毒霸敲詐者病毒防御攔截WNCRY病毒加密用戶文件

2,、打開Windows Update自動更新,，及時升級系統(tǒng)。

微軟在3月份已經(jīng)針對NSA泄漏的漏洞發(fā)布了MS17-010升級補丁,，包括本次被敲詐者蠕蟲病毒利用的“永恒之藍”漏洞,，同時針對停止支持的Windows XP、Windows Server 2003,、Windows 8也發(fā)布了專門的修復(fù)補丁,。

最新版的Windows 10 1703創(chuàng)意者更新已經(jīng)不存在此漏洞，不需要補丁,。

各系統(tǒng)補丁官方下載地址如下：

【KB4012598 】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

適用于Windows XP 32位/64位/嵌入式,、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位,、Windows 8 32位/64位,、Windows Server 2008 32位/64位/安騰

【KB4012212 】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

適用于Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位

【KB4012213 】：http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

適用于Windows 8.1 32位/64位,、Windows Server 2012 R2 32位/64位

【KB4012214 】：http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214

適用于Windows 8嵌入式,、Windows Server 2012

【KB4012606 】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

適用于Windows 10 RTM 32位/64位/LTSB

【KB4013198 】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

適用于Windows 10 1511十一月更新版32/64位

【KB4013429 】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

適用于Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位

3,、Windows XP,、Windows Server 2003系統(tǒng)用戶還可以關(guān)閉445端口，規(guī)避遭遇此次敲詐者蠕蟲病毒的感染攻擊,。

步驟如下：

(1),、開啟系統(tǒng)防火墻保護。 控制面板->安全中心->Windows防火墻->啟用,。

開啟系統(tǒng)防火墻保護

(2),、關(guān)閉系統(tǒng)445端口。

(a),、快捷鍵WIN+R啟動運行窗口,，輸入cmd并執(zhí)行，打開命令行操作窗口,，輸入命令“netstat -an ”,，檢測445端口是否開啟。

(b),、如上圖假如445端口開啟,，依次輸入以下命令進行關(guān)閉：

net stop rdr / net stop srv / net stop netbt

功后的效果如下：

4,、謹慎打開不明來源的網(wǎng)址和郵件，打開Office文檔的時候禁用宏開啟,，網(wǎng)絡(luò)掛馬和釣魚郵件一直是國內(nèi)外勒索病毒傳播的重要渠道,。

釣魚郵件文檔中暗藏勒索者病毒，誘導(dǎo)用戶開啟宏運行病毒

5,、養(yǎng)成良好的備份習(xí)慣,，及時使用網(wǎng)盤或移動硬盤備份個人重要文件。

本次敲詐者蠕蟲爆發(fā)事件中,，國內(nèi)很多高校和企業(yè)都遭遇攻擊,，很多關(guān)鍵重要資料都被病毒加密勒索，希望廣大用戶由此提高重要文件備份的安全意識,。

免責(zé)聲明：本文僅代表作者個人觀點,，其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容,、文字的真實性,、完整性、及時性本站不作任何保證或承諾,，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容,。