T之家 10 月 30 日消息����,永恒之藍(EternalBlue)漏洞相信小伙伴們并不陌生��,這一漏洞在 2017 年 4 月被黑客組織 The Shadow Brokers 公布���,并引發了 WannaCry 勒索軟件大爆發����。但卡巴斯基指出��,研究人員估計至今全球依然有超過 100 萬臺電腦依然存在相關漏洞,而在今年 4 月至 9 月仍有近 6 萬臺電腦因漏洞遭到黑客入侵���。
卡巴斯基日前還披露了一個存在歷史據稱超過 5 年的惡意木馬 StripedFly,研究人員起初于 2022 年發現相關惡意代碼被注入到受害者的 Wininit.exe 進程中。
這些惡意代碼以前曾在惡意木馬 Equation 出現,不過當時被安全公司誤認為挖礦程序���,但如今卡巴斯基發現,相關惡意代碼不僅僅只會挖礦,還會部署利用永恒之藍漏洞的 StripedFly 惡意木馬��。
▲ 圖源 卡巴斯基IT之家從卡巴斯基報告中發現�����,相關惡意代碼會從 Bitbucket����、GitHub����、GitLab 下載一系列被偽裝好的惡意木馬,過程中利用 2017 年揭露的永恒之藍(EternalBlue��,CVE-2017-0144)漏洞�,最終在受害者的電腦中部署 StripedFly。
據悉�����,StripedFly 能夠執行黑客部署的任意代碼���,并通過 SSH��,將 StripedFly 散布到介入統一網絡的 Windows����、Linux 電腦����,從而對更多設備造成攻擊����。
5月12日晚開始突然爆發的“勒索病毒”——“永恒之藍”以驚人的速度席卷全球,目前已有上百個國家遭到攻擊����,數十萬臺計算機感染病毒�,國內教育網為重災區�。感染病毒的計算機內所有圖片、文檔��、視頻��、壓縮包等常見格式文件將會被加密����,無法正常打開�,現有手段難以自行解密。
“永恒之藍”電腦勒索病毒以ONION和WNCRY兩種為主���,分別要求用戶支付5個比特幣和300美元的贖金,折合人民幣分別為5萬多元和2000多元���。“永恒之藍”病毒包含了NSA (美國國家安全局)黑客工具包中的“永恒之藍”0day漏洞�,可以說是“軍用武器庫”被不法分子利用引發了此次災難���。利用微軟windows系統的這一漏洞�����,通過445端口把蠕蟲病毒植入被攻擊電腦,而被劫持的電腦又會去感染互聯網����、局域網中的其他電腦���,以至于蔓延勢態一發不可收拾�����,很多企業、機構的內網往往呈現集體中毒的情況�����。不過���,該病毒僅針對windows系統����,使用Mac OSX系統的蘋果用戶和安裝linux衍生版操作系統的電腦不會被波及。
被感染的計算機上幾乎所有常見格式的文件資料會被加密�,后綴改為“wncry”(WannaCry)無法正常打開��,所以也有人把這個病毒稱為“wncry”病毒。該病毒使用RSA等非對稱算法,沒有私鑰就無法解密文件。WNCRY敲詐者病毒要求用戶在3天內付款,否則解密費用翻倍�����,并且一周內未付款將刪除密鑰導致無法恢復�。
但安全專家警告稱,即便用戶付了贖金���,被加密文件也不一定能得到解密。
學校機房�����、某機場航班信息端����、國內某地加油站系統都受到攻擊無法正常運作
在國內由于幾家較大的電信運營商已經屏蔽掉了個人用戶的445網絡端口����,但是在教育網、部分運營商的大局域網、校園企業內網依舊存在大量暴露的攻擊目標。所以����,國內教育網是遭受此次攻擊的重災區����,許多高校的電腦已經被大面積感染�,部分教學系統陷入癱瘓,一些企業內網�����、政府機構專網也受到攻擊�����。
對于這一漏洞���,微軟在3月14日的系統更新中修復了這一漏洞���,在生命周期之內的操作系統(Windows 7����,Windows 8�,Windows 10)如果更新過這次補丁�����,則不會感染“永恒之藍”�。
目前,國內各個安全廠商紛紛推出了相應的病毒工具�����,也有諸如360�、金山等一些廠商推出了專用數據恢復工具,能恢復或部分恢復被加密文件����,中毒后越早恢復�,成功的幾率越高���。備份過文件的用戶可以格式化硬盤后重裝電腦系統�,安裝好相關補丁之后再接入互聯網?�?梢?���,養成良好的文件備份習慣也能極大的加強抗風險能力
有消息稱,這一病毒的變種已經出現,病毒傳播的“Kill Switch”已經被移除���,病毒傳播已經不可控。所以還是推薦大家盡快升級安裝Windows系統相關補丁,不被感染才是王道��。
2017年5月13日����,全球范圍內并沒有直接爆發名為“永恒之藍”的勒索病毒。但值得注意的是�����,在2017年5月12日����,全球范圍內爆發了一種基于Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼�,這實際上是不法分子通過改造之前泄露的美國國家安全局(NSA)黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件。
“永恒之藍”實際上是指一種利用Windows系統的SMB漏洞可以獲取系統最高權限的工具�,而由不法分子利用這一工具改造而成的WannaCry(又稱Wanna Decryptor)勒索病毒在當天迅速傳播���。這種病毒通過加密用戶的硬盤驅動器主文件表(MFT)和使主引導記錄(MBR)不可操作���,來限制對完整系統的訪問����,從而讓電腦無法啟動���。相較于普通的勒索病毒����,它對系統更具破壞性。
在短短五個小時內�����,包括英國���、俄羅斯���、整個歐洲以及中國國內多個高校校內網�����、大型企業內網和政府機構專網都受到了影響,用戶被勒索支付高額贖金才能解密恢復文件。據不完全統計,此次攻擊規模已涉及全球99個國家和地區����,至少7.5萬臺電腦被感染���,造成了嚴重的經濟損失和社會影響���。
為了防范此類病毒的攻擊���,微軟已于2017年發布了MS17-010補丁��,用于修復“永恒之藍”攻擊的系統漏洞����。用戶應及時更新Windows系統補丁����,并務必不要輕易打開doc、rtf等后綴的附件�����。同時��,內網中存在使用相同賬號��、密碼情況的機器應盡快修改密碼,未開機的電腦應確認口令修改完畢�����、補丁安裝完成后再進行聯網操作�。此外�����,還可以下載“永恒之藍”漏洞修復工具進行漏洞修復�����。
