注意力,WannaCry 大型攻击还没有完成。欧洲刑警组织负责人表示,这场大规模的黑客行动于 5 月 12 日星期五开始,已经感染了 150 多个国家的 20 万多台机器。英国广播公司。数十家组织受到影响,其中包括汽车制造商雷诺,该公司被迫暂停部分生产。但还有联邦快递、德国铁路、葡萄牙电信、中国石油、达契亚汽车、西班牙电信、英国日产、沙特电信公司,更不用说数十家英国医院了。甚至巨型广告屏幕也受到影响。
https://twitter.com/ALiCE6TY9/status/863346642161762304
周五的攻击得到了遏制,因为一名安全研究人员来自恶意软件技术在恶意软件代码中发现了一个“终止开关”。在安装过程中,它会尝试连接到非常特定的域(ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com)。如果连接成功,则会打包。否则,它会加密计算机的数据并显示赎金要求(300 至 600 美元之间)。幸运的是,这个域名没有被注册,安全研究人员冷静地获取并激活了它。结果:许多可能发生的感染被取消。
出现了没有终止开关的变体
问题是 WannaCry 正在生孩子。据安全研究人员称马修·苏奇目前有四种变体在流通。其中三个仍然有终止开关(在另一个域名下),但第四个没有。因此,这将更难以阻止。目前,幸运的是,这个没有终止开关的变体有一个错误,并且勒索软件不会安装。“事实上,这种没有终止开关的变体只能部分起作用,这可能是攻击者的临时错误””,Matthieu Suiche 强调道。简而言之,这种灾难性的变种出现只是时间问题。
处于第一线的都是企业,因为这种恶意软件通过 SMB(服务器消息块)连接自动传播,SMB 是一种允许文件共享的 Microsoft 技术,默认情况下集成并激活在 Windows 中。“互联网服务提供商盒子可以保护个人,因为它们不允许 SMB 流量通过。家庭计算机没有可直接从 Internet 寻址的 IP 地址 »Proofpoint 网络安全专家 Nicolas Godier 解释道。
影子经纪人该恶意软件的传播依赖于神秘组织分发的 NSA 工具(“EternalBlue”)
这是基于 Windows 系统级别的该协议实现中的缺陷。只有 SMBv1 和 SMBv2 版本容易受到攻击。个人似乎遥不可及。
https://twitter.com/GossiTheDog/status/863697463487680512
“我们观察到 WannaCry 试图通过互联网和外部网络建立 SMB 连接。所以是的,我们认为这是该恶意软件的主要传播方式”通过电子邮件网络钓鱼进行传播受到质疑对于这次攻击的最初感染模式仍然存在疑问。一些专家认为,WannaCry 通过带有诱杀装置的电子邮件到达,勒索软件通常就是这种情况。然而,尚未发布这封诱杀电子邮件的副本。此外,最先分析此攻击的 Talos Security 安全研究人员向我们证实,WannaCry 可以通过 SMB 协议直接攻击公司。
Talos 安全研究经理 Martin Lee 解释道。
美国CERT与人们可能认为的相反,SMB 协议不仅部署在本地。许多机器也可以通过互联网访问。要了解这一点,只需在 shodan.io 网站上做一些研究即可。我们看到互联网上开放了超过一百万个 SMB 端口。并非所有这些机器都容易受到攻击,但这可以解释为什么这次攻击能够如此迅速地发生。为了保护自己免受这种攻击,最好的办法是应用修复 SMB 缺陷的补丁。它已经可用两个月了。在这个周末,微软甚至努力发布了Windows XP的补丁,尽管该系统已经很长时间没有得到支持了。如果无法安装补丁(例如由于操作原因),另一个解决方案是禁用 SMB 连接,尤其是那些对 Internet 开放的连接。有机体
“在公司里,他们都在打补丁”已于 2017 年 1 月提出此建议。简而言之,我们在这个故事中看到,问题还在于那些没有足够认真地对待更新程序以及继续使用 Windows XP 等旧技术的公司。可以肯定的是,这次活动将改变这些坏习惯。
”,尼古拉斯·戈迪尔证实。
文章发表后修改。添加了 Proofpoint 评论至少有一些好消息。谷歌新闻WhatsApp
