“AI 技术+人才”如何成为企业增长新引擎?戳此了解>>> 了解详情
写点什么

勒索软件被专家暂时阻止,但是隐患犹在

  • 2017-05-15
  • 本文字数:1576 字

    阅读完需:约 5 分钟

WannaCry(又称为 WanaCrypt0r 2.0)是一款电脑勒索病毒,通过电子邮件传播。该病毒会加密用户的数据,然后要求用户付款作为解锁数据的交换。从 2017 年 5 月 12 日开始,该病毒攻击了包括西班牙、英国、意大利、俄罗斯、中国在内的众多国家。据《卫报》报道,在西班牙,包括电信公司Telefónica 在内的许多大公司都被感染。在英国,国民健康服务体系(NHS)因为受到攻击而运营中断,X 光检查无法进行,检查结果和病历无法访问。

但是,病毒传播突然停止了,因为网络安全研究人员 @malwaretechblog Darien Huss (来自安全公司 Proofpoint)的帮助下无意间发现并激活了恶意软件中的 Kill Switch。他在接受采访时说:

我中午和朋友出去吃饭,在大约 3 点回来的时候,我看到网上突然出现了大量有关 NHS 和多个 UK 组织遭到攻击的新闻。我大致了解了一下,然后找到了一个恶意软件样本,我发现它正在连接一个特定的域名,那个域名并没有被注册。所以,我是无意间发现的,我那会并不知道它在做什么。

为了防止创建者想要阻止病毒传播,Kill Switch 被硬编码在恶意软件中。其中包括一个非常长的、没有意义的域名,恶意软件会向它发送请求,如果请求返回,则表明域名是活的,Kill Switch 就会发挥作用,而恶意软件就会停止传播。一经注册,该域名每秒就登记成千上万的连接。

按照 MalwareTech 的说法,他之所以购买这个域名,是因为他的公司追踪僵尸网络,通过注册这些域名,他们可以深入了解僵尸网络如何扩散。他说,“我的初衷只是监控其传播,看看我们后续是否可以做点相关的工作。但我们竟然通过注册这个域名阻止了传播。”但他很快就意识到“我们还需要阻止其他的攻击方法”。他计划继续持有该 URL,和他的同事一起收集 IP,并发送给执法机关,由他们通知被感染的受害者,因为并不是所有被感染的人都知道自己被感染了。同时,他建议人们升级系统,并补充说:

这事还没完。攻击者会意识到我们如何阻止了它的传播,他们会修改代码,然后重新开始。务必启用 Windows 升级功能,升级然后重启。

来自 Proofpoint 的 Ryan Kalember 表示,@malwaretechblog 注册这个域名太晚了,没能帮助欧洲和亚洲,因为许多组织已经被感染了。Kill Switch 并不能帮助那些已经被勒索软件感染的计算机。但是,他让美国人有更多的时间在被感染之前升级他们的系统,提高防护能力。另外,可能会有包含不同 Kill Switch 的恶意软件变种继续传播。

针对 WannaCrypt 攻击,微软专门发布了一份用户指南。该指南详细说明了个人和企业应该采取的防护步骤。此外,为了保护仅有用户支持服务的Windows 平台(其中包括Windows XP、Windows 8 和Windows Server 2003),他们向这些平台的用户提供了安全升级补丁。按照微软的说法,运行Windows 10 的用户目前还不是攻击目标。

3 月份的时候,微软发布了一个安全升级补丁,用于消除这些攻击利用的漏洞。已经启用 Windows 升级功能的用户可以抵御针对这个漏洞的攻击。微软建议,那些没有应用安全升级补丁的组织应该立即部署 Microsoft Security Bulletin MS17-010 。对于使用 Windows Defender 的用户,微软发布了一个可以检测到 Ransom:Win32/WannaCrypt 威胁的补丁。另外,微软提醒用户:

攻击类型可能会随时间进化,因此,任何额外的深度防护策略都会提供额外的防护。(例如,为了进一步抵御 SMBv1 攻击,用户应该考虑阻断他们网络中的遗留协议)。

……

已经观察到的部分攻击使用了常见的钓鱼式攻击策略,包括恶意附件。用户在打开来自不受信任或未知来源的文档时要保持警惕。对于 Office 365 用户,我们会继续监控和升级,以抵御这类威胁。

要了解有关该恶意软件的更多信息,可以登录微软恶意软件防护中心


感谢木环对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-05-15 19:002081
用户头像

发布了 1008 篇内容, 共 372.1 次阅读, 收获喜欢 340 次。

关注

评论

发布
暂无评论
发现更多内容

Flink SQL Client综合实战,深入理解java虚拟机百度云

Java 程序员 后端

Flink处理函数实战之一:深入了解ProcessFunction的状态(Flink-1

Java 程序员 后端

Geospatial-地理空间,java面试基本知识

Java 程序员 后端

Git 常用命令,使用Docker部署Spring-Boot项目

Java 程序员 后端

Elasticsearch 如何做到快速检索 - 倒排索引的秘密,springboot项目实战

Java 程序员 后端

ELK + Filebeat + Kafka 分布式日志管理平台搭建,最新java面试题及答案

Java 程序员 后端

所谓的新型“数字人民币”诈骗,这里有几个疑点

CECBC

Elasticsearch聚合的嵌套桶如何排序,java架构和框架

Java 程序员 后端

ELK太重?试试KFC日志采集,2021大厂Java面试经验

Java 程序员 后端

【死磕Java并发】-----Java内存模型之happens-before

chenssy

11月日更 死磕 Java 死磕 Java 并发

讲分布式唯一id,这篇文章很实在

秦怀杂货店

Java 分布式 分布式ID

Elasticsearch聚合的嵌套桶如何排序(1),java大学基础教程

Java 程序员 后端

数据分析入门

加里都好

大数据

【高并发】两种异步模型与深度解析Future接口

冰河

Java 并发编程 多线程 高并发 异步编程

Dubbo服务治理之灰度发布方案(版本发布控制影响范围)

Java 程序员 后端

Flink的sink实战之四:自定义,Java开发笔试题目

Java 程序员 后端

WEB本地存储:localStorage、Web SQL Database、IndexedDB

devpoint

Cookie indexedDB LocalStorage sessionStorage 11月日更

外包学生管理系统详细架构设计

天天向上

架构实战营

git(3)Git 分支,mysql语句优化面试题

Java 程序员 后端

Elasticsearch中URI Search和RequestBody Search分析(1)

Java 程序员 后端

Redis 实现附近的人,全靠 GEO 数据结构让我邂逅女神

码哥字节

redis BitMap geohash NoSQL 数据库 11月日更

ElasticSearch集群的概念及搭建过程,Java程序员晋升路线

Java 程序员 后端

【Promise 源码学习】第二篇 - Promise 功能介绍与特性分析

Brave

源码 Promise 11月日更

flume基本概念与操作实例(常用source),kalilinux视频教程

Java 程序员 后端

进击的Java(一)

ES_her0

11月日更

Windows11 搭建openvino_tensorflow环境

IT蜗壳-Tango

IT蜗壳 OpenVINO 11月日更 openvino_tensorflow

Dubbo如何支持本地调用?InJvm方式解析,农民工看完都会了

Java 程序员 后端

各地力推“链长制”,区块链让产业链更加安全可靠

CECBC

Redis Pipeline

new life

Dubbo服务消费者调用过程,35岁老年程序员的绝地翻身之路

Java 程序员 后端

Elasticsearch中的Term查询和全文查询,重磅

Java 程序员 后端

勒索软件被专家暂时阻止,但是隐患犹在_语言 & 开发_谢丽_InfoQ精选文章