5月12日晚,一款名為Wannacry 的蠕蟲勒索軟件襲擊全球網絡,這被認為是迄今為止最巨大的勒索交費活動,影響到近百個國家上千家企業及公共組織。 該軟件被認為是一種蠕蟲變種(也被稱為“Wannadecrypt0r”、“wannacryptor”或“ wcry”)。 像其他勒索軟件的變種一樣,WannaCry也阻止用戶訪問計算機或文件,要求用戶需付費解鎖。
一旦電腦感染了Wannacry病毒,受害者要高達300美元比特幣的勒索金才可解鎖。否則,電腦就無法使用,且文件會被一直封鎖。
研究人員還發現了大規模惡意電子郵件傳播,以每小時500封郵件的速度傳播杰夫勒索軟件,攻擊世界各地的計算機。
大量國內高校中招,其他行業也受到影響
5月12日晚,國內有不少高校學生反映電腦被惡意的病毒攻擊,文檔被加密。
勒索者源頭來自暗網,攻擊具備兼容性、多語言支持,多個行業受到影響,國內的ATM機、火車站、自助終端、郵政、醫院、政府辦事終端、視頻監控都可能遭受攻擊。據報道,今日全國多地的中石油加油站無法進行網絡支付,只能進行現金支付。中石油有關負責人表示,懷疑受到病毒攻擊,具體情況還在核查。而截至目前,一些公安系統已經遭到入侵。
勒索軟件利用NSA爆出的漏洞迅速傳播
軟件利用美國國家安全局黑客武器庫泄露的ETERNALBLUE(永恒之藍)發起病毒攻擊。遠程利用代碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用黑客工具包有關。其中ETERNALBLUE模塊是SMB 漏洞利用程序,可以攻擊開放了 445 端口的 Windows 機器,實現遠程命令執行。 蠕蟲軟件正是利用 SMB服務器漏洞,通過2008 R2滲透到未打補丁的Windows XP版本計算機中,實現大規模迅速傳播。 一旦你所在組織中一臺計算機受攻擊,蠕蟲會迅速尋找其他有漏洞的電腦并發起攻擊。
事實上,微軟已經在三月份發布相關漏洞(MS17-010)修復補丁,但很多用戶都沒有及時修復更新,因而遭到此次攻擊。
全球受攻擊情況
僅僅幾個小時內,該勒索軟件已經攻擊了99個國家近萬臺電腦。英國、美國、俄羅斯、德國、土耳其、意大利、中國、菲律賓等國家都已中招。且攻擊仍在蔓延。
據報道,勒索攻擊導致16家英國醫院業務癱瘓,西班牙某電信公司有85%的電腦感染該惡意程序。至少1600家美國組織, 11200家俄羅斯組織和6500家中國組織和企業都受到了攻擊。
Wana-Decrypt0r-WannaCry-勒索軟件
來自英國、西班牙、意大利等多個國家的用戶在網上分享了被攻擊的截圖。據報道,Wannacry相關的比特幣錢包已經開始填充現金。
西班牙計算機應急組織還針對WannaCry發布了警告:”WannaCry勒索軟件侵入計算機,將文件加密并通過SMB執行遠程命令。現在已經侵入了其他Windows系統的機器。”
目前還不清楚WannaCry的幕后黑手到底是誰。但大部分攻擊來自釣魚郵件,或是受害者訪問的含有惡意軟件的網站。早在今年二月,WannaCry的前身WeCry就已發起過攻擊,向用戶勒索比特幣。
解決方案
該攻擊涉及MS17-010漏洞,我們可以采用以下方案進行解決
漏洞名稱:
Microsoft Windows SMB遠程任意代碼執行漏洞 (MS17-010)
包含如下CVE:
CVE-2017-0143 嚴重 遠程命令執行
CVE-2017-0144 嚴重 遠程命令執行
CVE-2017-0145 嚴重 遠程命令執行
CVE-2017-0146 嚴重 遠程命令執行
CVE-2017-0147 重要 信息泄露
CVE-2017-0148 嚴重 遠程命令執行
漏洞描述:
SMBv1 server是其中的一個服務器協議組件。
Microsoft Windows中的SMBv1服務器存在遠程代碼執行漏洞。
遠程攻擊者可借助特制的數據包利用該漏洞執行任意代碼。
以下版本受到影響:
Microsoft Windows Vista SP2
Windows Server 2008 SP2和R2 SP1
Windows 7 SP1
Windows 8.1
Windows Server 2012 Gold和R2
Windows RT 8.1
Windows 10 Gold
1511和1607
Windows Server 2016
解決方法:
1.防火墻屏蔽445端口
2.利用 Windows Update 進行系統更新
3.關閉 SMBv1 服務
3.1 適用于運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶
對于客戶端操作系統:
打開“控制面板”,單擊“程序”,然后單擊“打開或關閉 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”復選框,然后單擊“確定”以關閉此窗口。
重啟系統。
3.2 對于服務器操作系統
| 
