WannaCry勒索病毒事件分析是一款專業(yè)殺毒分析軟件,能幫你盡快找到所有感染并做出隔離,最大程度保護您的個人信息,有需要這款軟件的小伙伴歡迎下載。
病毒介紹
5月12日晚開始,WannaCry勒索病毒席卷全球。目前至少有150個國家受到網(wǎng)絡(luò)攻擊,受入侵電腦超過20萬,并且影響還在持續(xù)中,用戶依然需要加強防護措施。
WannaCry勒索病毒事件最初在英國曝光,12日晚上10點,英國時間大約下午3點半,英國全國共16家醫(yī)院同時遭到網(wǎng)絡(luò)攻擊。 所有被攻擊的電腦都被鎖定桌面!澳愕碾娔X已經(jīng)被鎖,文件已經(jīng)全部被加密,除非你支付價值300美元的比特幣,否則你的文件將會被永久刪除”。
很快,在英國地區(qū)遭受這些攻擊的同時,全球多地發(fā)出告警,一場針對全球的網(wǎng)絡(luò)攻擊,瞬時展開。我國多個行業(yè)網(wǎng)絡(luò)同樣受到WannaCry勒索病毒攻擊, 其中教育行業(yè)中的校園網(wǎng)受損尤為嚴重。目前,全球遭遇攻擊的國家超過150個,幸免的國家,要么沒有電腦,要么沒有網(wǎng)絡(luò)。
病毒分析
通過分析發(fā)現(xiàn),WannaCry勒索軟件是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件, 利用了微軟基于445 端口傳播擴散的 SMB 漏洞MS17-010。雖然微軟已在今年3月份發(fā)布了該漏洞的補丁。但是依然有大量用戶未升級補丁,導致電腦或服務(wù)器中招。
今年4月,方程式組織泄露addjob、swift、windows三個文件夾的數(shù)據(jù),其中windows目錄下是一些針對Windows系統(tǒng)的一些攻擊工具和漏洞利用程序。 本次“永恒之藍”攻擊程序就是在此文件夾中的一個攻擊程序!坝篮阒{”攻擊程序利用的是Windows SMB遠程提權(quán)漏洞,可以攻擊開放了445 端口的 Windows 系統(tǒng)并提升至系統(tǒng)權(quán)限。
漏洞影響
深信服防火墻早在一個月前就已經(jīng)發(fā)布針對微軟SMB漏洞的攻擊防護。從公網(wǎng)上攔截的攻擊來看,從5月12號晚上開始, 不到一天的時間,發(fā)現(xiàn)并攔截針對MS17-010 SMB漏洞的攻擊多達4590次,其中受災最嚴重的地區(qū)是杭州市,被攻擊次數(shù)多達1612次。具體被攻擊地區(qū)分布如下圖所示:
其實,勒索病毒并不陌生,這幾年也頻繁出現(xiàn),然而這次勒索病毒卻聯(lián)合微軟SMB漏洞在全球網(wǎng)絡(luò)制造出核彈級的網(wǎng)絡(luò)攻擊風波。 究其原因,是大家對漏洞認知較少,也不清楚是否需要防護,該如何去防護。
由于沒有相關(guān)監(jiān)測產(chǎn)品對其業(yè)務(wù)進行7*24小時的安全值守,導致很多用戶對安全漏洞感知不足,使得攻擊者通過漏洞對其業(yè)務(wù)進行勒索。
信服君希望未來能夠幫助越來越多的用戶加強安全預警的能力,提前將風險扼殺在“萌芽期”,避免安全風險帶來的損失。