比特币勒索病毒蔓延,免疫和免费文件恢复工具
从5月12日起,毒霸安全中心监测到Onion、WNCRY两类敲诈者病毒变种在全国大范围内出现爆发态势,与以往不同的是,此类新变种添加了NSA黑客工具包中的“永恒之蓝”0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播,没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染,所以目前感染用户主要集中在企业、高校等内网环境下。一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密并勒索高额的比特币赎金(折合人民币2000~50000不等)。
从目前监控到的情况来看,全网已经有数万用户感染,QQ、微博等社交平台上也是哀鸿遍野,所以本次敲诈者病毒传播感染的后续威胁不容小觑。敲诈勒索病毒+远程执行漏洞的蠕虫式传播,这样的组合极大增强了本次病毒安全威胁的程度,对近期国内的网络安全形势都是一次严峻考验。
在监测到本次敲诈者蠕虫传播威胁事件后的第一时间,我们的安全团队也迅速跟进,目前金山毒霸可以防御查杀本次的敲诈者蠕虫变种。下面给出我们针对本次敲诈者蠕虫的安全防御方案、传播分析、以及其他安全建议,尽力让用户规避或减少遭遇敲诈勒索的风险。
微软官方勒索病毒补丁下载地址:
https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx
(打开后选择对应的系统版本下载)
比特币勒索病毒免疫工具下载:
http://cd002.www.duba.net/duba/install/2011/ever/knsatool_20170514.exe
比特币勒索病毒免费文件恢复工具:http://bbs.duba.net/thread-23406770-1-1.html
百度云下载:
链接:http://pan.baidu.com/s/1dF49r13 密码:fonr
【传播感染背景】
本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种,本次感染事件首先在英国、俄罗斯等多个国家爆发,新闻报道有多家企业、医疗机构的系统中招,损失非常惨重。安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。从5月12日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。
【1】全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击
【2】24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10w+
本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁,漏洞编号:MS17-010)。和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机,传播感染速度非常快。
【3】本次敲诈者蠕虫病毒变种通过“永恒之蓝”漏洞进行网络攻击
虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口,但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标,对于企业来说尤其严重,一旦内部的关键服务器系统遭遇攻击,带来的损失不可估量。从我们检测到反馈情况看,国内多个高校都集中爆发了感染传播事件,甚至包括机场航班信息、加油站等终端系统遭受影响,预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。
【4】全国各地的高校内网的敲诈者蠕虫感染攻击爆发
【5】某高校机房全部遭遇WNCRY敲诈者蠕虫攻击
【6】国内某地加油站系统遭遇本次敲诈者蠕虫变种攻击
【7】某机场航班信息终端同样遭遇了敲诈者蠕虫攻击
【敲诈蠕虫病毒感染现象】
中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。WNCRY变种一般勒索价值300~600美金的比特币,而onion变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3万左右。此类病毒一般使用RSA等非对称算法,没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。从某种意义上来说这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。
【8】感染WNCRY勒索病毒的用户系统弹出比特币勒索窗口
【9】用户文件资料被加密,后缀改为“wncry”,桌面被改为勒索恐吓
我们对部分变种的比特币支付地址进行追踪,发现目前已经有少量用户开始向病毒作者支付勒索赎金,从下图中我们可以看到这个变种的病毒作者已经收到19个用户的比特币赎金,累计3.58个比特币,市值约人民币4万元。
有话要说