全球多个国家的网络27日遭新一轮勒索病毒攻击,其中乌克兰受害严重,其政府部门、国有企业相继“中招”。据报道,有研究人员发现,与上月的勒索病毒“想哭”相似,新勒索软件使用了遭泄密的美国国家安全局网络“开锁工具”,针对的也是同一个微软“视窗”系统代码漏洞。目前,新一轮勒索病毒的来源、传播途径及其背后动机还不清楚。
乌克兰受攻击最严重
蔓延至欧洲北美多国
美联社报道,27日出现的勒索病毒看似最先攻击乌克兰,随后蔓延至欧洲、北美多国。据报道,受影响的全球大公司包括俄罗斯石油公司、全球海运巨头丹麦马士基航运集团、全球最大船舶服务企业英国WPP集团、荷兰TNT国际快递公司、美国医药巨头默克公司、美国食品业集团亿滋国际、美国欧华律师事务所等。
另据俄网络安全公司卡巴斯基实验室初步调查显示,该勒索软件当天已实施约2000次攻击,其中约60%的受攻击用户在乌克兰,约30%在俄罗斯,波兰、意大利、德国、法国、英国、西班牙、白俄罗斯、美国、印度也受到影响。
乌克兰遭此轮网络攻击影响最为严重。据报道,乌克兰高级别政府部门、中央银行、国家电力公司、首都基辅的机场、切尔诺贝利核事故隔离区监测系统、乌克兰地铁、乌克兰电信公司、飞机制造商安东诺夫公司及一些商业银行、能源公司、自动提款机、加油站、大型超市均受影响。乌克兰总理格罗伊斯曼在“脸书”上说,这样的网络袭击在乌克兰“史无前例”,但该国“重要系统未受影响”。
病毒伪装成系统更新
进入乌克兰一财会系统
美联社报道,该勒索软件的蔓延速度看似呈逐渐放缓趋势,部分原因可能是该软件需要通过电脑系统“直接接触”传播,在与乌克兰网络关联较少的地区,其传播受限。
俄罗斯网络安全公司Group-IB说,乌克兰和俄罗斯境内已有超过80家公司受影响。勒索软件侵入电脑后,将文件加密锁定,要求受害者支付价值300美元的比特币才能解锁文件。
储存比特币交易历史的“区块链”网站数据显示,勒索者已收到36笔转账,总金额近9000美元。不过,目前尚不清楚受害者在支付赎金后能否解决问题。
美国思科公司下属的塔洛斯安全情报研究机构说,该勒索病毒最初可能是伪装成一个系统更新进入了乌克兰一个名为Medoc的财会系统。尽管开发这一财会系统的公司予以否认,但多家网络安全机构认同塔洛斯的说法。
利用美国安局开锁工具
针对微软“视窗”漏洞
5月12日,名为“想哭”的勒索病毒席卷全球约150个国家、实施超过20万次攻击,影响政府部门、公共交通、医疗、邮政、通信等领域。受害者被要求限期支付价值300美元的比特币以换取文件解锁,否则赎金上涨。“想哭”病毒风波随后在较短时间内被平息。
目前,新一轮勒索病毒的来源、传播途径及其背后动机还不清楚。美国微软公司说,这一病毒软件利用了微软系统的一个漏洞,尽管该漏洞在今年3月的一次安全升级中被打过补丁。
Group-IB公司和美国信息安全公司赛门铁克安全响应团队说,新勒索软件是去年出现的Petya勒索软件变体,后者自2016年以来就存在,企业网络用户为其主要攻击对象。但卡巴斯基实验室说,这是一款“从没见过的”新型勒索软件。
美国信息安全公司赛门铁克和火眼27日表示,与“想哭”勒索病毒类似,新的勒索病毒也利用了美国国家安全局网络武器库的“黑客开锁工具”。今年4月,美国国安局遭遇泄密事件,其研发的黑客攻击工具被名为“影子中间人”的神秘组织公布在网上。
美国韦拉科德公司首席技术官威索帕尔说,两起事件针对的是同一个微软“视窗”系统代码漏洞。美国企业安全公司Proofpoint安全专家卡伦贝尔则说,即便是一些对已曝光漏洞打了补丁的电脑,也可能在此次袭击中“中招”。卡伦贝尔说,与常规网络勒索袭击不同的是,此次袭击不仅针对受害者的个人信息文件,还改写了电脑的主引导记录(MBR),因而更难对付。主引导记录是指电脑开机后系统访问硬盘时必须要读取的首个扇区。
可能比“想哭”更凶险
还不存在“自杀开关”
微软公司发言人说,正调查这起网络袭击,将采取妥善措施保护用户,并称微软公司的杀毒软件能够发现并删除该勒索软件。
美国白宫国家安全委员会在一份声明中说,美国政府机构正调查这起事件,美国“决心对相关负责人追究责任”。美国国土安全部称,正监视这起网络袭击并与其他国家协调配合;建议受害者不要支付赎金,因为即使付了赎金,也不一定能保证文件恢复。
国际刑警组织说,正密切监视网络袭击情况并与相关成员国保持联络。法国国家信息系统安全局也称正分析这起网络袭击。
有网络安全专家认为,这次勒索病毒造成的影响可能小于“想哭”病毒,因为很多电脑已在“想哭”病毒来袭时修补了相关漏洞。不过,美国朱尼珀网络公司表示,这一波病毒攻击可能更“凶险”,因为感染会导致系统反应迟钝、无法重启。此外,最新的勒索病毒不太可能存在“自杀开关”,因此可能很难阻止其传播。
综合新华社消息
□相关链接
五点防护建议
针对乌克兰、俄罗斯等多国遭遇新勒索病毒袭击,国家互联网应急中心提出防护策略五点建议:
1.不要轻易点击不明附件,尤其是rtf、doc等格式文件。
2.内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作。
3.更新操作系统补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4.更新Microsoft Office/WordPad远程执行代码漏洞(CVE -2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5.禁用WMI服务
https://zhidao.baidu.com/question/91063891.html
据国家互联网应急中心网站
本稿件所含文字、图片和音视频资料,版权均属
齐鲁晚报所有,任何媒体、网站或个人未经授权不得转载,违者将依法追究责任。
【PDF版】
