吴宁川
5月12日晚,WanaCrypt0r 2.0勒索软件在全球爆发(简称WCry2.0)。
在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。目前,病毒已经扩散至全球上百个国家。全英国上下25家医院遭到大范围攻击,中国众多高校也纷纷中招。
据媒体报道,中国多地部分中国石油旗下加油站在今日0点左右也突然出现断网,只能使用现金支付,加油站加油业务正常运行。
黑客则通过锁定电脑文件来勒索用户交赎金,而且只收比特币。
被攻击的并不止中国的校园网。BBC发布消息称,目前全球范围内有大量的机构报告,受到了“勒索”软件的攻击,这些机构分别在美国、英国、中国、俄罗斯、西班牙、意大利、越南等地。据CNN报道,英国25家医院周五也因“大规模”的黑客攻击而瘫痪。手术被取消,救护车被迫转向其他医院。
阿里云安全专家分析称,
“此次全球比特币勒索病毒是由NSA泄露的Windows系统SMB/RDP远程命令执行漏洞引起。利用该漏洞,黑客可远程实现攻击Windows的445端口(文件共享)。”
针对NSA黑客武器利用的Windows系统漏洞, 微软在今年3月曾发布补丁修复。此前,阿里云第一时间发布预警,并推出一键检测修复NSA黑客武器攻击漏洞的工具。如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,黑客即可在电脑里执行任意代码,植入勒索病毒等恶意程序。
考虑到Windows系统SMB/RDP远程命令执行漏洞的危险性,国内外不少云服务厂商都在4月封掉了445端口。但全球不少个人电脑、IDC物理机房仍存在大量暴露着445端口的机器,这给了黑客可乘之机。
阿里云安全专家分析,此次勒索事件在校园网传播速度之快,影响面之大主要原因是当前大部分学校基本是一个大的内网互通的局域网,不同的业务未划分安全区域。例如:学生管理系统、教务系统等都可以通过任何一台连入的设备访问,同时,实验室、多媒体教室、机器IP分配多为公网IP,如果学校未做相关的权限限制,所有机器直接暴露在外面。
安全补丁对个人用户来说相对简单。只需自学装载,就能完成止血。但是对大型企业或组织机构而言,面对成百上千台机器,最好还是能使用客户端进行集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等功能。此外,可靠的数据备份可以将勒索软件带来的损失最小化。建议启用阿里云快照功能对数据镜像备份,并同时做好安全防护,避免被感染和损坏。(本文首发钛媒体)