赌钱网站_网络真人赌钱游戏平台-点击下载

当前位置: 赌钱网站» 校内公告» wana Decrypt0r 2.0 勒索软件爆发分析

校内公告

wana Decrypt0r 2.0 勒索软件爆发分析

赌钱网站_网络真人赌钱游戏平台-点击下载

 

一、事件概述

近期发现wana Decrypt0r 2.0新型恶意软件爆发,据BBC报道今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校……

尤其是英国的健保部门与中国的高校最为严重,症状是电脑中的文档被加密,壁纸遭到篡改,并且在桌面上出现窗口,勒索等价300美元的比特币到攻击者账户上,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010(方程式eternalblue 漏洞),微软在今年3月份发布了该漏洞的补丁。

天融信的入侵检测系统之前就针对此漏洞进行检测,可以有效防御MS17-010(方程式eternalblue 漏洞)漏洞的利用,版本信息ips-v2017.04.16

二、事件分析

该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010(方程式eternalblue 漏洞)。2017414日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的网络军火中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该网络军火后进行了些次全球性的大规模攻击事件。

中招的系统会弹出勒索对话框:

 

甚至会弹出中文页面,攻击者极其嚣张,号称除攻击者外,就算老天爷来了也不能恢复这些文档(该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,点击 按钮,就可以免费恢复一些文档。该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密,后果极其恶劣。

三、临时解决方案

(1)开启系统防火墙

(2)利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)

(3)打开系统自动更新,并检测更新进行安装

(4)使用使用安全厂商病毒防护软件。天融信的入侵检测系统,版本信息ips-v2017.04.16

相关信息线索:

https://arstechnica.com/information-technology/2017/05/nhs- ransomware-cyber-attack/

该文中表示,此恶意软件利用了 MS17-010 漏洞,几乎涉及到全部的Windows版本,请各位注意安装补丁。

该漏洞的相关说明、补丁:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

相关文章:英国卫生部门受到黑客大规模攻击

关注天融信微信公众号天融信科技,实时获取进展信息及其他安全服务支持,可扫描如下二维码关注。

XML 地图 | Sitemap 地图