WannaCrypt(永恒之藍)勒索蠕蟲近期爆發(fā),感染病毒后文件會被加密,需要支付高額贖金才可能解密恢復文件。
近日,全球多個國家爆發(fā)勒索病毒攻擊,被攻擊者被要求支付比特幣才能解鎖。
中國校園網也成為重災區(qū),包括清華、北大、上海交大、山東大學等全國各地眾多院校出現(xiàn)病毒感染情況,大量學生畢業(yè)論文等重要資料被病毒加密,只有支付贖金才能恢復。
目前安全機構暫未能有效破除該勒索軟的惡意加密行為,用戶只能進行預防,用戶中毒后可以通過重裝操作系統(tǒng)的方式來解除勒索行為,但用戶重要數(shù)據(jù)文件不能直接恢復。
360首席安全工程師鄭文彬介紹說,此次勒索病毒是由NSA泄漏的“永恒之藍”黑客武器傳播的?!坝篮阒{”傳播的勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁盤文件會被篡改為相應的后綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復。這兩類勒索病毒,勒索金額分別是5個比特幣和300美元,折合人民幣分別為5萬多元和2000多元。
據(jù)《財富》網站報道,全球網絡勒索病毒攻擊迫使歐洲汽車制造商停止了一些生產線,使俄羅斯超過一半的電腦疑似感染該病毒,并影響了中國一些學校和印尼一些醫(yī)院的網絡,盡管周六其攻擊次數(shù)似乎正在逐漸減少。
利用據(jù)信是美國國家安全局(NSA)開發(fā)的網絡間諜工具,周五發(fā)起的這次網絡攻擊已經在104個國家感染了數(shù)萬臺計算機,其中英國國家醫(yī)療服務體系(NHS)受到的破壞最嚴重。
捷克安全軟件制造商Avast的研究人員表示,他們觀察到超過12.6萬臺電腦被勒索病毒感染,其中60%位于俄羅斯,其次是烏克蘭和中國臺灣地區(qū)。
網絡勒索者將惡意軟件作為附件,附在看似包含有發(fā)票、就業(yè)信息、安全警告和其它合法文件等內容的郵件的后面,然后欺騙受害者打開附件。
一旦進入目標網絡,所謂“勒索病毒”將利用NSA最近泄露的網絡間諜工具,無需在任何人為干預下就會消消地感染其它老舊計算機。安全專家稱,這表明未來幾天和幾周內新的攻擊蔓延的風險呈現(xiàn)前所未有的擴大。
“勒索病毒” 能對受害計算機中的數(shù)據(jù)進行加密,同時要求支付300至600美元以恢復訪問權限。研究人員觀察到,一些受害者通過數(shù)字貨幣比特幣支付了勒索金。由于這種交易是匿名的,沒有人知道有多少比特幣可能轉移給了勒索者。
到目前為止,尚沒有那位黑客聲稱對這次攻擊負責,或其身份被確認。幾家私營網絡安全公司的研究人員稱,黑客利用了NSA一段名為“永恒之藍(Eternal Blue)”的間諜代碼。上月,一個被稱為“影子經紀人”(Shadow Brokers)的黑客組織發(fā)布了這段代碼。
法國雷諾汽車公司表示,昨天已經停止法國西北部桑都維爾(Sandouville)等幾個地點的汽車生產,以防止“勒索病毒”在其計算機系統(tǒng)中的傳播。
日本日產汽車公司發(fā)言人稱,該公司設在英格蘭東北部桑德蘭的制造工廠也受到此次網絡攻擊的影響,雖然對他們的業(yè)務沒有造成重大影響。
德國鐵路公司表示,其鐵路站臺一些宣布火車抵達和離港的電子顯示屏遭到感染。有旅客發(fā)布的圖片顯示,一些電子顯示屏上出現(xiàn)一條信息,要求支付現(xiàn)金來恢復訪問權限。
網絡攻擊開始消退
歐洲刑警組織(Europol)下設的歐洲網絡犯罪中心表示,正與成員國調查機構和私營的安全公司密切合作,打擊這一網絡威脅并幫助受害者。該中心在一份聲明中稱:“最近網絡襲擊事件所涉及的范圍和程度處于前所未有的水平,需要進行復雜的國際調查才能確定犯罪分子?!?/p>
一些專家稱,現(xiàn)在這一威脅已經有所消退,部分原因是英國研究人員注冊了隱藏在勒索病毒中的一個域名,并注意到惡意軟件正試圖連接該域名,因此限制了該蠕蟲病毒的傳播。這名英國研究人員拒絕透露姓名。
賽門鐵克首席研究經理維克拉姆·塔庫爾(Vikram Thakur)表示:“勒索病毒造成的威脅正處于下降過程,新增的被感染計算機數(shù)量已經極大減少,因為該惡意軟件無法連接到注冊域?!痹谙迺r兩天的贖金支付期限到期之前,研究人員正在爭分奪秒地解密受感染的計算機,并恢復受害者對文件的訪問權限。但到目前為止,數(shù)名研究人員均表示,他們沒有找到打破加密的辦法。
攻擊者可能會調整代碼并重新啟動循環(huán)。被廣泛認為以挫敗勒索病毒蔓延有功的英國研究人員對路透社表示,目前還沒有看到任何這樣的調整,但它們會肯定會發(fā)生。
一份公報草案顯示,在意大利周六舉行的七國集團財長和央行行長會議,將承諾加強打擊網絡犯罪上的合作。