安全防控體系
服務(wù)與支持
關(guān)于我們
400-826-1595
你應(yīng)該知道的“WannaCry”
2017年05月15日

? ? ? 2017年5月12日,“WannaCry”勒索蠕蟲爆發(fā),短短幾個(gè)小時(shí),攻陷了中國(guó)、英國(guó)、美國(guó)、日本等近百個(gè)國(guó)家,我國(guó)也有近三萬(wàn)家機(jī)構(gòu)組織受到感染,那么什么是“WannaCry”?為何會(huì)傳播得如此迅速?

? ? ? 針對(duì)大家最關(guān)心的“WannaCry”病毒相關(guān)問(wèn)題,遠(yuǎn)望信息將為大家進(jìn)行專業(yè)的解答。

1.什么是“WannaCry”?

? ? ? 該病毒是4月14日由Shadow Brokers組織泄漏的美國(guó)國(guó)家安全局(NSA)專用黑客工具,名字叫做“永恒之藍(lán)”,是基于Windows網(wǎng)絡(luò)共享協(xié)議漏洞進(jìn)行攻擊的一種常見的計(jì)算機(jī)病毒,它的主要特點(diǎn)是利用電腦存在的漏洞,通過(guò)網(wǎng)絡(luò)進(jìn)行自主的復(fù)制和傳播,一旦釋放出來(lái),就會(huì)在無(wú)人干預(yù)的情況下以指數(shù)級(jí)快速擴(kuò)散。

?

2.“WannaCry”有什么危害?

? ? ??受害主機(jī)中招后,病毒就會(huì)在受害主機(jī)中植入勒索程序,電腦中的文檔、圖片、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件都會(huì)被加密,勒索蠕蟲病毒將要求受害者支付價(jià)值300或600美元的比特幣才能解鎖,而且越往后可能要求的贖金越多,不能按時(shí)支付贖金的系統(tǒng)會(huì)被銷毀數(shù)據(jù)。

? ? ? 因?yàn)槔账魅湎x病毒使用的是復(fù)雜的加密算法,理論上很難逆向破解,目前業(yè)內(nèi)也沒(méi)有解決方案對(duì)其解密還原,主流方案也以防御為主。受害主機(jī)一旦中招,將很難通過(guò)繳納贖金以外的方法還原文件,值得強(qiáng)調(diào)的是,即便繳納贖金,一些信譽(yù)較差的攻擊者也并不一定會(huì)信守承諾。

? ? ? 并且,由14號(hào)下午國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)出的緊急通報(bào)得知:WannaCry 2.0即將來(lái)襲,導(dǎo)致該病毒傳播速度可能會(huì)更快。

3.“WannaCry”是如何傳播的?

? ? ??該勒索蠕蟲病毒一旦被植入受害主機(jī)后,該受害主機(jī)會(huì)自動(dòng)隨機(jī)掃描網(wǎng)絡(luò)內(nèi)開放445端口有漏洞的其他主機(jī),并通過(guò)SMB協(xié)議將勒索蠕蟲病毒再植入到新的目標(biāo)主機(jī)中,新的受害主機(jī)將會(huì)執(zhí)行同樣的動(dòng)作,并且它是自動(dòng)進(jìn)行傳播和感染的,不需要點(diǎn)擊就可以執(zhí)行,因此擴(kuò)散傳播速度極快。

? ? ? 木馬母體為mssecsvc.exe,運(yùn)行后會(huì)隨機(jī)掃描互聯(lián)網(wǎng)機(jī)器,嘗試感染,也會(huì)掃描局域網(wǎng)相同網(wǎng)段的機(jī)器進(jìn)行傳播,此外會(huì)釋放敲詐者程序tasksche.exe,對(duì)磁盤文件進(jìn)行加密勒索。

? ? ??木馬加密使用AES加密文件,并使用非對(duì)稱加密算法RSA 2048加密隨機(jī)密鑰,每個(gè)文件使用一個(gè)隨機(jī)密鑰,理論上不可破解。

4.目前有哪些單位中招了

? ? ? 該勒索蠕蟲病毒已經(jīng)攻擊了近百個(gè)國(guó)家,包括中國(guó)、英國(guó)、美國(guó)、德國(guó)、日本、土耳其、西班牙等,以及這些國(guó)家的上萬(wàn)家企業(yè)及公共組織,數(shù)十萬(wàn)臺(tái)設(shè)備被勒索。

? ? ??從國(guó)內(nèi)情況來(lái)看,影響范圍遍布高校、火車站、自助終端、郵政、加油站、醫(yī)院、政府辦事終端等多個(gè)領(lǐng)域,被感染的電腦數(shù)字還在不斷增長(zhǎng)中。預(yù)計(jì)5月15日(周一)可能進(jìn)入爆發(fā)高峰。

? ? ? 從行業(yè)分布來(lái)看,教育科研機(jī)構(gòu)成為最大的重災(zāi)區(qū),其次是生活服務(wù)類機(jī)構(gòu)、商業(yè)中心(辦公樓、寫字樓、購(gòu)物中心等)、交通運(yùn)輸、政府、事業(yè)單位及社會(huì)團(tuán)體、醫(yī)療衛(wèi)生機(jī)構(gòu)、企業(yè)、以及宗教設(shè)施都被發(fā)現(xiàn)感染了“永恒之藍(lán)”勒索蠕蟲。

? ? ? 從地區(qū)分布來(lái)看,江蘇、浙江、廣東、江西、上海幾個(gè)沿海省市影響較大,位居前列。