5月12日,接山东省教育厅信息中心以及潍坊市公安局通知,“勒索”病毒“永恒之蓝”正在爆发,已经严重影响到全国多个省份和多所大学,上级要求采取紧急措施应对该病毒的侵入。
学院网络信息中心于5月12日中午紧急断网一小时,同时关闭防火墙、路由器的相关端口,关闭服务器的共享功能,并下发紧急通知,要求各部门周一上班时候需要先断网再开机,下班全部关闭电源以及教导师生如果为自己的电脑打补丁关闭端口等。同时按照防御的要求,由山东新潮信息公司以及相关技术人员对学院网络进行检测和加固,由学院毕业生彭义阳的山东极站网络科技有限公司对学院各部门安装病毒防御软件。
经过病毒爆发初期的积极防御,到后期的协作加固,截至5月23日,学院全部设备未感染该病毒,平稳度过了此次危险期。
下边简单介绍一下影响全球的永恒之蓝是什么。
今年4月,NSA(美国国家安全局)的黑客武器库被泄漏公开,其中包括一个专门远程攻击Windows文件共享端口(445端口)的“永恒之蓝”黑客武器;
此次病毒爆发就是使用“永恒之蓝”攻击有漏洞的Windows设备。由于教育网没有封禁445端口,存在大量暴露漏洞的机器,成为勒索病毒重灾区。另外,一些没有及时打补丁的企业和交通、能源等行业基础设施内网也遭到感染;通俗的说,如果系统存在NSA武器攻击的漏洞,只要开机联网,不需要你做任何操作,勒索病毒就能自动感染系统。
5月12日开始,WannaCry勒索蠕虫突然爆发,影响遍及全球100多个国家,包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者,我国的校园网和多家能源企业、政府机构也中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。而由于互联网接入极其有限,朝鲜在这大范围的攻击下守住了一方净土。它几乎是惟一在这场病毒灾难中幸免的国家。
针对国内感染状况,5月13日下午360威胁情报中心率先发布了“永恒之蓝”勒索蠕虫态势,截至到当天下午19:00,国内有28388个机构被“永恒之蓝”勒索蠕虫感染,覆盖了国内几乎所有地区。在受影响的地区中,江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。勒索病毒在全球爆发,已经影响了100多个国家和地区,包括美国、英国、中国、俄罗斯、西班牙、越南在内的国家和地区都受到这次高危事件的影响。据悉,俄罗斯受影响最为严重,中国目前已经有超过2.4万机器被感染。
国内多个高校校内网、大型企业内网和政府机构专网中招,文档被加密,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。攻击者称需支付比特币解锁。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区。
由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。
目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。
针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件,该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头,加密如下后缀名的文件。
此次“wannacry”勒索病毒疯狂传播的原因是借助了前不久泄露的Equation Group(方程式组织)的“永恒之蓝”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010 SMB协议远程代码执行漏洞,该漏洞可影响主流的绝大部分Windows操作系统版本。
MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows XP,Windows Vista,Windows7,Windows8,Windows10,Windows2008,Windows2012。
由于EternalBlue的利用代码主要针对WindowsXP以及Windows7,2008,因此此次事件对于Windows XP、Windows 7,Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445端口且没有安装MS17-010的机器则确认会受到影响。
WindowsXP/2003操作系统没有补丁,只要开启了445端口则确认受到影响。
