写点什么

勒索软件被专家暂时阻止,但是隐患犹在

  • 2017-05-15
  • 本文字数:1576 字

    阅读完需:约 5 分钟

WannaCry(又称为 WanaCrypt0r 2.0)是一款电脑勒索病毒,通过电子邮件传播。该病毒会加密用户的数据,然后要求用户付款作为解锁数据的交换。从 2017 年 5 月 12 日开始,该病毒攻击了包括西班牙、英国、意大利、俄罗斯、中国在内的众多国家。据《卫报》报道,在西班牙,包括电信公司Telefónica 在内的许多大公司都被感染。在英国,国民健康服务体系(NHS)因为受到攻击而运营中断,X 光检查无法进行,检查结果和病历无法访问。

但是,病毒传播突然停止了,因为网络安全研究人员 @malwaretechblog Darien Huss (来自安全公司 Proofpoint)的帮助下无意间发现并激活了恶意软件中的 Kill Switch。他在接受采访时说:

我中午和朋友出去吃饭,在大约 3 点回来的时候,我看到网上突然出现了大量有关 NHS 和多个 UK 组织遭到攻击的新闻。我大致了解了一下,然后找到了一个恶意软件样本,我发现它正在连接一个特定的域名,那个域名并没有被注册。所以,我是无意间发现的,我那会并不知道它在做什么。

为了防止创建者想要阻止病毒传播,Kill Switch 被硬编码在恶意软件中。其中包括一个非常长的、没有意义的域名,恶意软件会向它发送请求,如果请求返回,则表明域名是活的,Kill Switch 就会发挥作用,而恶意软件就会停止传播。一经注册,该域名每秒就登记成千上万的连接。

按照 MalwareTech 的说法,他之所以购买这个域名,是因为他的公司追踪僵尸网络,通过注册这些域名,他们可以深入了解僵尸网络如何扩散。他说,“我的初衷只是监控其传播,看看我们后续是否可以做点相关的工作。但我们竟然通过注册这个域名阻止了传播。”但他很快就意识到“我们还需要阻止其他的攻击方法”。他计划继续持有该 URL,和他的同事一起收集 IP,并发送给执法机关,由他们通知被感染的受害者,因为并不是所有被感染的人都知道自己被感染了。同时,他建议人们升级系统,并补充说:

这事还没完。攻击者会意识到我们如何阻止了它的传播,他们会修改代码,然后重新开始。务必启用 Windows 升级功能,升级然后重启。

来自 Proofpoint 的 Ryan Kalember 表示,@malwaretechblog 注册这个域名太晚了,没能帮助欧洲和亚洲,因为许多组织已经被感染了。Kill Switch 并不能帮助那些已经被勒索软件感染的计算机。但是,他让美国人有更多的时间在被感染之前升级他们的系统,提高防护能力。另外,可能会有包含不同 Kill Switch 的恶意软件变种继续传播。

针对 WannaCrypt 攻击,微软专门发布了一份用户指南。该指南详细说明了个人和企业应该采取的防护步骤。此外,为了保护仅有用户支持服务的Windows 平台(其中包括Windows XP、Windows 8 和Windows Server 2003),他们向这些平台的用户提供了安全升级补丁。按照微软的说法,运行Windows 10 的用户目前还不是攻击目标。

3 月份的时候,微软发布了一个安全升级补丁,用于消除这些攻击利用的漏洞。已经启用 Windows 升级功能的用户可以抵御针对这个漏洞的攻击。微软建议,那些没有应用安全升级补丁的组织应该立即部署 Microsoft Security Bulletin MS17-010 。对于使用 Windows Defender 的用户,微软发布了一个可以检测到 Ransom:Win32/WannaCrypt 威胁的补丁。另外,微软提醒用户:

攻击类型可能会随时间进化,因此,任何额外的深度防护策略都会提供额外的防护。(例如,为了进一步抵御 SMBv1 攻击,用户应该考虑阻断他们网络中的遗留协议)。

……

已经观察到的部分攻击使用了常见的钓鱼式攻击策略,包括恶意附件。用户在打开来自不受信任或未知来源的文档时要保持警惕。对于 Office 365 用户,我们会继续监控和升级,以抵御这类威胁。

要了解有关该恶意软件的更多信息,可以登录微软恶意软件防护中心


感谢木环对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-05-15 19:002363
用户头像

发布了 1008 篇内容, 共 410.6 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

华为数通HCIA小型拓扑综合实验,运用OSPF动态路由协议、ACL访问控制列表,交换机生成树协议,修改交换机根桥、交换机划分vlan、链路聚合等相关数通技术、NAT地址转换以及NAT网络地址转换的配置

Python-派大星

10月月更

如何提升研发效能?我们先从指标谈起

Kyligence

数据分析 指标管理

软件要想做的好,测试必定少不了

华为云开发者联盟

测试 开发 华为云 企业号十月 PK 榜

前端面试中小型公司都考些什么

loveX001

JavaScript

KubeVela 插件指南:轻松扩展你的平台专属能力

阿里巴巴云原生

阿里云 开源 容器 云原生 KubeVela

前端面试指南之JS面试题总结

loveX001

JavaScript

订单中心架构设计与实践

小小怪下士

Java 程序员 系统架构 架构设计

36氪|元年科技发布新版数字化PaaS平台,更新多个组件

元年技术洞察

方舟 PaaS 中台战略 企业数字化

ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。

Python-派大星

10月月更

报名倒计时1天!平头哥、中科院软件所PLCT实验室等技术专家解读最新RISC-V技术

OpenAnolis小助手

报名 risc-v 云栖大会 Workshop 龙蜥峰会

手把手教你从安装CentOS7.4镜像开始,搭建IoT视频监控系统

华为云开发者联盟

后端 开发 华为云 企业号十月 PK 榜

软件测试丨接口测试该怎么做?持证上岗的Charles,可以帮你做什么?

测试人

软件测试 接口测试 charles 测试开发

FlyFish一周年,社区大咖邀你共话开源!

云智慧AIOps社区

低代码 可视化 数据可视化 大屏可视化 无代码

“程”风破浪的开发者|学习中的境界

林冲

学习方法 “程”风破浪的开发者

对话创始人:团队研发效能应该如何管理和度量?

LigaAI

团队管理 敏捷开发 研发管理 研发效能 企业号十月PK榜

JUC 浅析(三)

Andy

阿里是如何使用分布式架构的?阿里内部学习手册分享

Java全栈架构师

架构 分布式 微服务 后端 高并发

云小课|MRS基础原理之Hudi介绍

华为云开发者联盟

大数据 华为云 企业号十月 PK 榜

问:你是如何进行react状态管理方案选择的?

beifeng1996

React

腾讯前端经典react面试题汇总

beifeng1996

React

数字化时代,企业如何创新自己的客户服务

Baklib

在世界舞台MBBF一骑绝尘:永远更快一步的北京5G是怎样炼成的?

脑极体

深入理解JS作用域链与执行上下文

loveX001

JavaScript

从清华大学到苏州经贸,双一流和普通高校都在使用的数据科学教学实训平台

ModelWhale

大数据 人才培养 数据竞赛 实训 教学

JUC 浅析(四)

Andy

专访韩向东|元年科技:专业与技术并重,赋能财务数字化转型

元年技术洞察

数字化转型 财务数字化

要努力,但也别焦虑

源字节1号

程序人生

NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例。

Python-派大星

10月月更

教你处理数仓慢SQL常见定位问题

华为云开发者联盟

数据库 后端 华为云 企业号十月 PK 榜

区块链≠绿色?波卡或成Web3“生态环保”标杆

One Block Community

区块链 环保 波卡生态

JVM 组成结构分析

Andy

勒索软件被专家暂时阻止,但是隐患犹在_语言 & 开发_谢丽_InfoQ精选文章