近日,英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。据说攻击者使用的很可能是美国国家安全局开发的某些工具。 20170515-LES-9 最先是英国16家医院遭到了大范围网络攻击——电脑被锁定并且每家医院还被黑客索要支付300个比特币来脱离病毒(折合人民币也就是近400万人民币赎金),否则将删除所有资料。 20170515-LES-3 “永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

中国成为此次病毒威胁重灾区

在中国的许多高校也已经遭受到这类病毒的攻击——部分高校学生反映电脑被病毒攻击,资料文档被加密。攻击者称需支付比特币解锁,受害者还在增加。 20170515-LES-1 据悉,中国高校感染名单如下(来看看有没有你的母校):北京邮电大学、北京大学、山西农业大学、太原理工大学、桂林电子科技大学、桂林航天工业学院、贺州学院、南昌大学、中医药大学、浙江传媒学院、宁波大学、浙江中医药大学、杭州师范学院、杭州电子科技大学、浙江工商大学、山东大学、四川大学、电子科技大学、西安电子科技大学、大连海事学院、厦门工学院、华东师范大学、贵州大学、广州仲恺农业工程学院等。

20170515-LES-7

同样受影响的还有中国石油加油站。据中国石油在其官网中发布公告称,5月12日22点30分左右,因全球比特币勒索病毒爆发,公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过,加油及销售等基本业务运行正常,加油卡账户资金安全不受影响。 20170515-LES-4 这种攻击是利用了微软系统的一个漏洞。该漏洞其实最早是美国国安局发现的,他们还给漏洞取名为EternalBlue。然后,国安局研发的相关工具就被一个名为“影子经纪人”的黑客团体窃取了。 黑客们还尝试在一个网上拍卖中出售它们。但是,黑客们之后又决定免费提供这些工具,并在4月8日发布了加密密码。

目前,国家网络与信息安全信息通报中心紧急通报,在全球范围内爆发的勒索病毒出现了变种,英国小伙无意间发现的“治毒方法”已经失效。变种勒索病毒影响仍在持续,传播速度可能会更快,已经造成至少有150个国家受到网络攻击。 20170515-LES-5 现在的互联网及信息化设备已经属于重要基础设施,本次国内大批设备遭受病毒威胁,这无异于在现实中上演了一场网络战争。

此次遭到攻击的大多是使用 Windows 7的用户,其他操作系统的用户并未中招。这种勒索病毒使用的是2048位RSA加密,目前的计算机没有办法解密,暴力破解的时间可能要以百万年计或是等到量子计算机实用化。

“勒索病毒”2.0来了,拔网线、关端口没用?

此次勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的,虽然由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。

国家互联网应急中心也发布通知,提醒广大用户注意备份、及时更新杀毒软件,升级操作系统,不要轻易打开来源不明的电子邮件。

不过,根据最新消息,卡巴斯基全球分析团队总监Costin Raiu目前已经确认WannaCry2.0变种已经现身,已经检测到可以绕过域名停止开关的多个变种,不再受“停止开关”控制。

另外一位安全专家Mattew Hickey表示:下一波WannaCry攻击不可避免,目前的补丁只是权宜之计,病毒扩散还将持续,而且未来数周、数月内,还将出现大量变种,因此最根本的办法就是给计算机及时更新补丁。

有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议请各单位立即进行关注和处置。

一、将此情况快速通报相关单位,立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。

二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为: https://technet.microsoft.com/zh-cn/library/security/MS17-010

对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本。

由于本次Wannacry蠕虫事件的巨大影响,微软已发布了停服的XP和部分服务器版特别补丁: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

或使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址: http://dl.360safe.com/nsa/nsatool.exe

三、一旦发现中毒机器,立即断网。

四、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口,关闭网络文件共享。

五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

六、尽快备份自己电脑中的重要文件资料到存储设备上。

七、及时更新操作系统和应用程序到最新的版本。

八、加强电子邮件安全,有效的阻拦掉钓鱼邮件,可以消除很多隐患。

九、安装正版操作系统、Office软件等。

操作系统不安全!处理器也不安全!

就在最近,英特尔(Intel)又被爆了一个严重高危(Critical)级别安全漏洞,攻击者可以利用该漏洞进行 英特尔产品系统的远程控制提权。漏洞影响所有英特尔企业版服务器和综合利用技术,涉及版本号为 6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6 系列的所有固件产品。这意味着英特尔近十年来的固件芯片都会受到影响。

国外科技曝料网站 Semiaccurate 发布文章表示:

Intel芯片中有一个独立于CPU和操作系统的微处理器,叫做英特尔管理引擎Intel Management Engine,简称ME。多种技术都基于ME,包括代码处理、媒体DRM、可信平台模块TPM等。

ME是一个有别于CPU的独立系统,它可以在不受CPU管控下通过搭配AMT(英特尔主动管理技术)等技术用来远程管理企业计算机。

据了解,AMT技术允许IT技术员远程管理和修复联网的计算机系统,它能够自动执行一个独立于操作系统的子系统,使得在操作系统出现故障的时候,管理员能够在远程监视和管理客户端、进行远程管理和系统检测、软硬件检查、远端更新 BIOS 和病毒码及操作系统,甚至在系统关机的时候,也可以通过网络对服务器进行管理操作。

国外科技曝料网站Semiaccurate 在其文章中特别强调了一点,暗示英特尔在芯片中故意留有后门。

此外,来自瑞士安全公司Modzero的研究人员在检查WindowsActiveDomain的基础设施时发现惠普音频驱动中存在一个内置键盘记录器监控用户的所有按键输入,有近30款惠普计算机都内置有这种功能。

国产操作系统和处理器在路上

从这次病毒攻击的目标对象(医院、学校、政府机构、企业)可以看出,病毒危害波及的受害者层面广,往往都涉及到国家企事业单位层面或者公立的医疗机构企事业单位,危及国家层面上的网络安全。

据说NSA旗下的“方程式黑客组织”使用的网络武器有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。 20170515-LES-11 尤其是当前国内,从PC互联网到移动互联网均无自主操作系统的前提下,国内的互联网安全脆弱程度可以想象。

目前,除了在一些特殊领域采用了软硬件全国产化的方案外,其他领域均受制于Wintel平台,也许还有更多我们不知道的漏洞正在悄悄的入侵!

网络安全和信息化是事关国家经济社会可持续发展、事关国家长治久安、事关人民群众福祉的重大战略问题,国产操作系统和国产处理器做到安全可控已经是迫在眉睫。

从俄罗斯宣布公共部门采用“国产化操作系统”来避免类似“黑客攻击”事件再次发生的决定来看,未来信息核心技术自主可控,不受制于人就显得尤为重要。长期而言,国产化、自主可控将是解决国家安全的根本途径,是实现网络安全的核心。

国产OS包括,SPG思普操作系统、深度Linux、红旗Linux、银河麒麟、中标麒麟Linux、雨林木风操作系统、凝思磐石安全操作系统、共创Linux桌面操作系统。

国产CPU包括,龙芯、申威、兆芯、飞腾、宏芯等国产处理器架构及公司,目前,取得商业成功的,只有海思。

2017-ESM-1