注意力,WannaCry 大型攻擊還沒完成。歐洲刑警組織負責人表示,這場大規模的駭客行動於 5 月 12 日星期五開始,已經感染了 150 多個國家的 20 萬多台機器。英國廣播公司。數十家組織受到影響,其中包括汽車製造商雷諾,該公司被迫暫停部分生產。但還有聯邦快遞、德國鐵路、葡萄牙電信、中國石油、達契亞汽車、西班牙電信、英國日產、沙烏地電信公司,更不用說數十家英國醫院了。甚至巨型廣告螢幕也受到影響。
https://twitter.com/ALiCE6TY9/status/863346642161762304
週五的攻擊得到了遏制,因為一名安全研究人員來自惡意軟體技術在惡意軟體程式碼中發現了一個「終止開關」。在安裝過程中,它會嘗試連接到非常特定的域(ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com)。如果連線成功,則會打包。否則,它會加密電腦的資料並顯示贖金要求(300 至 600 美元之間)。幸運的是,這個網域沒有被註冊,安全研究人員冷靜地獲取並啟動了它。結果:許多可能發生的感染被取消。
出現了沒有終止開關的變體
問題是 WannaCry 正在生孩子。據安全研究人員稱馬修·蘇奇目前有四種變體在流通。其中三個仍然有終止開關(在另一個網域下),但第四個沒有。因此,這將更難阻止。目前,幸運的是,這個沒有終止開關的變體有一個錯誤,而且勒索軟體不會安裝。“事實上,這種沒有終止開關的變體只能部分起作用,這可能是攻擊者的臨時錯誤””,Matthieu Suiche 強調。簡而言之,這種災難性的變種出現只是時間問題。
處於第一線的都是企業,因為這種惡意軟體透過 SMB(伺服器訊息區塊)連線自動傳播,SMB 是一種允許檔案共享的 Microsoft 技術,預設會整合並啟動在 Windows 中。「網路服務供應商盒子可以保護個人,因為它們不允許 SMB 流量通過。家庭電腦沒有可直接從 Internet 尋址的 IP 位址 »Proofpoint 網路安全專家 Nicolas Godier 解釋。
影子經紀人此惡意軟體的傳播依賴於神秘組織分發的 NSA 工具(「EternalBlue」)
這是基於 Windows 系統層級的該協定實作中的缺陷。只有 SMBv1 和 SMBv2 版本容易受到攻擊。個人似乎遙不可及。
https://twitter.com/GossiTheDog/status/863697463487680512
「我們觀察到 WannaCry 試圖透過網路和外部網路建立 SMB 連線。所以是的,我們認為這是該惡意軟體的主要傳播方式”透過電子郵件網路釣魚傳播受到質疑對於這次攻擊的最初感染模式仍然存在疑問。一些專家認為,WannaCry 透過帶有誘殺裝置的電子郵件到達,勒索軟體通常就是這種情況。然而,尚未發布這封誘殺電子郵件的副本。此外,最先分析此攻擊的 Talos Security 安全研究人員向我們證實,WannaCry 可以透過 SMB 協定直接攻擊公司。
Talos 安全研究經理 Martin Lee 解釋。
美國CERT與人們可能認為的相反,SMB 協定不僅部署在本地。許多機器也可以透過網路存取。要了解這一點,只需在 shodan.io 網站上做一些研究。我們看到網路上開放了超過一百萬個 SMB 連接埠。並非所有這些機器都容易受到攻擊,但這可以解釋為什麼這次攻擊能夠如此迅速地發生。為了保護自己免受這種攻擊,最好的方法是應用修復 SMB 缺陷的補丁。它已經可用兩個月了。在這個週末,微軟甚至努力發布了Windows XP的補丁,儘管該系統已經很長時間沒有支援了。如果無法安裝修補程式(例如由於操作原因),另一個解決方案是停用 SMB 連接,尤其是那些對 Internet 開放的連接。有機體
“在公司裡,他們都在打補丁”已於 2017 年 1 月提出此建議。簡而言之,我們在這個故事中看到,問題還在於那些沒有足夠認真地對待更新程式以及繼續使用 Windows XP 等舊技術的公司。可以肯定的是,這次活動將改變這些壞習慣。
”,尼古拉斯·戈迪爾證實。
文章發表後修改。新增了 Proofpoint 評論至少有一些好消息。谷歌新聞WhatsApp
![寬頻:巴黎和馬賽ISP排名 [21/4]](https://webbedxp.com/statics/image/placeholder.png)
