几天前,我们看到特洛伊木马加密勒索软件WannaCry全面爆发,就像是一场流行病 – 一场席卷全球的流行病。短短一天时间就发生了45,000多起攻击事件,但实际感染数字还要高得多。
感染情况
有多家大型组织同时报告发生了感染,其中有几家英国医院不得不暂停营业。根据第三方发布的数据,WannaCry已经感染了10万台以上的电脑。感染数量之多是引起人们极大关注的主要原因。
俄罗斯发生的攻击数量最多,乌克兰、印度和台湾地区的WannaCry攻击情况也十分严重。仅仅第一天攻击,我们就在74个国家/地区发现了WannaCry。
什么是WannaCry?
一般来说,WannaCry由两部分组成:第一部分是一种漏洞攻击,目的是进行感染和传播;第二部分是在感染电脑后下载到电脑中的加密器。
第一部分是WannaCry有别于大多数加密器的主要方面。为了感染使用公共加密器的电脑,用户必须犯错误才行,例如点击可疑链接、允许Word运行恶意宏或从电子邮件下载可疑附件。这样系统在用户未执行任何操作的情况下就会被WannaCry感染。
WannaCry:利用漏洞并传播
WannaCry的始作佣者利用了Windows中被称为”永恒之蓝”的漏洞。这种漏洞依赖于微软今年3月14日在安全更新MS17-010中修补的漏洞。利用”永恒之蓝”漏洞,WannaCry勒索软件可以远程访问计算机并安装加密器。
如果你已安装了上述更新,则这种漏洞就不再存在,尝试通过此漏洞远程攻击电脑会失败。然而,卡巴斯基实验室的GReAT(全球研究和分析团队)的研究人员要强调的是,修补此漏洞并不能完全阻止加密器。因此,如果你通过某种方式启动了此加密器(请参阅上面的犯错误相关信息),那么该补丁就发挥不了作用了。
在成功感染电脑后,WannaCry会试图以电脑蠕虫方式自主扩展到本地网络中的其他电脑中。加密器会扫描其他电脑是否有同样的漏洞,可以利用”永恒之蓝”进行感染。如果WannaCry发现了有漏洞的电脑,就会进行攻击并加密该电脑上的文件。
因此,通过感染一台电脑,WannaCry就可以感染整个局域网,加密网络中的所有电脑。这就是为什么大型公司遭到WannaCry攻击最多的原因 – 网络中的电脑越多,损害就越大。
WannaCry:加密器
作为加密器,WannaCry(有时称为WCrypt或者称为WannaCry解密器(不清楚为什么会有这样的名称))的行为与其他所有加密器一样;它会加密电脑上的文件,要求支付赎金才能解密文件。它最类似于声名狼藉的CryptXXX加密勒索木马变体。
WannaCry会加密各种类型的文件(完整列表请访问这里),包括办公文件、图片、视频、存档文件和可能包含关键用户数据的其他文件格式。加密文件的扩展名会重命名为.WCRY,加密后的文件完全无法访问。
之后,这种木马勒索软件会将桌面壁纸更改为一张信息图片,其中包含感染以及用户恢复文件所必须执行操作的信息。WannaCry以内容相同的文本文件形式在电脑的各个文件夹中传播通知,确保用户收到此消息。
照例这些行为要求被锁用户以比特币的形式将一定金额的钱转入攻击者的钱包。攻击者会表示,收到钱后就会解密所有文件。一开始,这些网络犯罪分子要价是300美元,但现在金额已经提高到600美元。
WannaCry勒索软件还威胁被锁用户,称三天内不完成支付,赎金将会加倍,而七天后未交赎金的,文件将无法解密。
同以往一样,我们并不建议用户支付赎金。也许最令人信服的理由是别屈服于犯罪分子,交了赎金也不能保证他们会解密你的文件。事实上,研究人员已经表明,其他网络勒索分子有时候会直接删除用户数据。
域名注册如何中止感染 – 但可能并不是终极办法的原因
有意思的是,一位叫Malwaretech的研究人员通过注册一个荒谬的长域名,成功中止了感染。
装加密器并开始进行感染。但如果有回复(即注册了域名),则这种恶意软件会停止所有活动。
在这种木马代码中找到了对该域的引用后,研究人员注册了该域,从而中止了攻击。在今天剩余时间里,该域被寻址了数万次,这意味着数以万计的电脑得以幸免被攻击。
一个理论表示这是WannaCry中的一个内置功能 – 作用就像一个断路器 – 以防万一出问题。但该名研究人员有不同的理论,他认为这是使恶意软件行为分析复杂化的一种方式。研究中使用的测试环境通常设计为任何域都会返回正面响应;在这种情况下,该木马在测试环境中不会执行任何操作。
令人遗憾的是,在这种木马的新版本中,所有犯罪分子都须更改被称为”断路器”的域名,因此感染活动将继续进行。所以,WannaCry很可能将继续肆虐全球。
如何防御WannaCry
很遗憾,目前还没有办法来解密WannaCry所加密的文件(不过我们的研究人员正在努力中)。所以目前预防是唯一的办法。
下面是如何预防感染,尽可能减少损害的若干建议。
- 如果你已经在系统上安装了卡巴斯基实验室的安全解决方案,那么我们建议您执行以下操作:手动运行扫描关键区域,如果解决方案检测到MEM:Trojan.Win64.EquationDrug.gen(我们的反病毒解决方案就是通过种方法检测到WannaCry的),会将其删除并重新启动系统。
- 如果你是卡巴斯基安全用户,请保持启用系统监控。这对于防御可能出现的这种何恶意软件的任何新变体至关重要。
- 安装软件更新。本感染用例迫切要求所有Windows用户安装MS17-010系统安全更新。微软甚至为不再正式支持的操作系统(如Windows XP或Windows 2003)发布了此更新。郑重提醒各位用户,请立即安装此安全更新;这非常非常重要。
- 定期创建文件备份,并将副本存储在不经常连到电脑的存储设备上。如果你最近备份过副本,那么加密器感染不会造成灾难性损害;你只要花几小时重新安装操作系统和应用程序,然后还原文件就能继续工作了。但若是你太忙而没有时间备份,请利
- 使用可靠的反病毒软件。卡巴斯基安全软件不仅能在本地检测到WannaCry,还能在WannaCry尝试通过网络自主传播时检测到该病毒。此外,”系统监控”内置模块可以回滚任何不需要的更改,这意味着即便反病毒数据库中还没有这些恶意软件版本,也将阻止文件加密。