“永恒之蓝”的威胁风波还未完全过去,一种新的勒索蠕虫病毒攻击再次席卷全球。勒索病毒造成了怎样的影响?中国用户是否会遭受大规模攻击?如何防范勒索病毒?这已经成为了互联网时代地球村居民最关心的问题。
“永恒之蓝”的威胁风波还未完全过去,一种新的勒索蠕虫病毒攻击再次席卷全球。6月27日,多国政府、银行、电力系统、通讯系统受到攻击,甚至包括我国部分跨境企业的欧洲分部。其中,俄罗斯、乌克兰两国约有80多家公司被新勒索病毒Petya感染,导致大量电脑无法正常工作,要求用户支付300美元的加密数字货币才能解锁。
事件
新勒索病毒再度席卷全球
乌克兰政府机构、中央银行、能源及通信系统、基辅国际机场等均遭遇黑客攻击。乌克兰切尔诺贝利核设施辐射监测系统因此被迫转成人工操作模式。俄罗斯石油公司当天确认,公司服务器遭到病毒攻击,不得不启用备用生产管理系统,官网也一度瘫痪。俄罗斯中央银行也发布警告说,未知的勒索病毒正攻击俄金融机构信贷系统,一些银行服务器已被侵入。
此外,英国、法国、德国、丹麦、意大利、美国、印度等国也受到影响。全球海运巨头丹麦马士基航运集团、全球最大传播服务企业英国WPP集团、美国医药巨头默克公司均在受害者之列。
据了解,本次病毒是Petya勒索病毒的变种Petwarp,是一种新型勒索蠕虫病毒,感染后将通过特定类型的文件导致系统无法正常工作。该病毒常采用邮件、下载器和蠕虫的组合传播方式,因此,转播的方法和途径比起今年5月份爆发的“永恒之蓝”(WannaCry)更加迅速和广泛,尤其是以邮件钓鱼的方式令广大用户更加难以防范。
聚焦
勒索病毒为何频繁爆发?
网络安全专家、中国工程院院士沈昌祥表示,勒索病毒的频繁爆发,暴露出现有安全防护软件的两个问题:一是重点关注第三方应用对于操作系统核心服务完全信任问题,导致这次操作系统服务被攻破后,攻击者如入无人之境,产生“灯下黑”。二是传统安全软件和服务的工作逻辑是“找坏人”,需要先收集到病毒样本、提取样本特征、将特征加入病毒库之后才能实现对病毒的查杀。
沈昌祥表示,这几次的蠕虫病毒传播和扩散速度极快,在传统安全软件反应之前就造成了巨大影响。近几次安全事件充分反映了传统安全手段的被动、滞后,无论打上什么标签,依然是头痛医头、脚痛医脚。
影响
新勒索病毒“吸金”速度超过“永恒之蓝”
360首席安全工程师郑文彬介绍说,Petya勒索病毒最早出现在2016年初,以前主要利用电子邮件传播。最新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。
该病毒会加密磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR,病毒会进一步加密文档、视频等磁盘文件。它的勒索金额与此前WannaCry病毒完全一致,均为折合300美元的比特币。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款,其“吸金”速度完全超越了“永恒之蓝”。
可信华泰信息技术有限公司副总工程师田健生表示,最近频繁爆发的勒索病毒事件给我国网络信息安全,尤其是我国关键的基础设施行业的网络信息安全敲响警钟。田健生称,我国的信息系统严重依赖微软操作系统,大部分业务系统依赖其开发难以替换,直接受到该病毒的威胁。
关注
中国用户是否会遭受大规模攻击?
中国的用户目前是否受到感染?是否会遭受大规模攻击?这目前已经成为大家最关心的问题。对此,金山安全大数据中心的专家表示,截至目前,Petya勒索病毒的中国主机感染率在百万分之一级别,且在中国缺乏规模化泛滥的土壤。 Petya勒索病毒目前在中国尚为一般网络安全事件,用户无需为此恐慌。
据媒体报道,本次包括乌克兰在内的欧洲国家遭受Petya勒索病毒侵害比较严重,主要原因为此病毒针对欧洲安装使用率比较高的一款专用会计软件me-doc的用户发起钓鱼攻击,并结合MS17-010中的SMB漏洞进行内网传播。而中国用户使用的会计软件、记账软件或报税软件的品牌,主要是用友、金蝶等国产软件。“me-doc在中国的用户非常有限。因此不存在与欧洲类似的钓鱼攻击的源头。”
金山安全大数据中心的专家说:5月份WannaCry勒索病毒爆发后,中国的主机上,已经规模化安装了上述漏洞的补丁。Petya勒索病毒的可乘之机并不多。
据了解,目前国家电网、中央电视台等单位都使用了可信计算技术进行了有效防护,截至目前没有中病毒的电脑。目前,在国内重要部门中可信计算技术正在全面推开,可信计算技术将成为我国国产化替代过程中的信息安全核心技术之一,未来将逐步实现信息安全保护体系的全覆盖。
针对新一轮勒索病毒攻击,28日,北京市网信办、北京市公安局和北京市经济和信息化委员会联合发布防范和遏制新型病毒攻击指南。
三部门表示,微软已经发布了系统补丁 MS17-010 用以修复被攻击的系统漏洞,用户应尽快安装。三部门还要求,关闭445、135、137、138、139 端口,关闭网络文件共享;及时安装Windows、Office公布的安全漏洞补丁;加强电子邮件安全管理,不要轻易点击不明附件,尤其是rtf、doc等格式的附件。
三部门表示,使用第三方安全厂商产品可与厂家联系并核实升级。目前,部分安全厂家已经对相关的软件进行了升级。
另外,美国微软公司表示正在调查此次攻击事件并将采取适当行动保护用户。该公司提醒,由于勒索病毒常通过电子邮件传播,用户应谨慎打开未知文件。