上周末一种名为WannaCry(永恒之蓝)的电脑病毒席卷全球,目前共有100 多个国家受到病毒感染,欧洲、美国、中国是重灾区,电脑被攻击后磁盘文件会被病毒加密,攻击者要求感染者支付相当于300 美元的比特币方可解锁,且赎金会随着时间的延长而增加。http://www.hibor.com.cn【慧博投研资讯】
事件背景:
2007 年,NSA(美国国家网络安全局)启动棱镜计划,全面监视互联网并开发了大量网络攻击工具,2016 年一个叫Shadow Brokers 开始公开拍卖NSA 的一些网络攻击工具,一个月前,第四批 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布,包含了涉及多个 Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。http://www.hibor.com.cn(慧博投研资讯)“永恒之蓝”病毒是NSA 网络军火民用化全球第一例,破坏力之大、危害范围之广,令人咂舌。
攻击原理:
恶意代码会扫描445 文件共享端口的Windows 机器,无需用户任何操作,只要用户上网,设备就会被感染,中毒之后漏洞利用模块启动,漏洞利用模块运行之后,释放加密器和解密器,启动攻击线程,随机生成ip 地址,攻击全球。加密器启动之后,使用AES-128 算法加密(AES 和RSA 加密方法在理论上是无法破解的)加密指定类型的文件。文件全部加密之后,启动解密器。解密器启动之后,设置桌面背景显示勒索信息,弹出窗口显示付款账号和勒索信。威胁用户指定时间内不付款文件无法恢复。
事件影响:
据安全狗报道截至5 月13 日20 点,国内有29372 家机构组织的数十万台机器被感染,其中有教育科研机构4341 家中招,是此次事件的重灾区。
国内被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。从行业分布来看,教育科研机构成为最大的重灾区。共有4316 个教育机构IP 被发现感染永恒之蓝勒索蠕虫,占比为14.7%;其次是生活服务类机构,3302 个,占比11.2%;商业中心(办公楼、写字楼、购物中心等)3014 个,占比10.3%,交通运输2686 个,占比9.1%。另有1053 个政府、事业单位及社会团体,706 个医疗卫生机构、422 个企业,以及85 个宗教设施的IP 都被发现感染了永恒之蓝勒索蠕虫。