5月12日,全球大量企业和组织遭受大规模的勒索软件攻击。其中包括:银行、机场、出入境等。卡巴斯基实验室的研究人员对相关数据进行了分析,确认公司的保护子系统在99个国家检测到至少20万次攻击,其中大多数受害者位于俄罗斯,包括美国、以及整个欧洲在内的多个国家,以及国内的高校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
这种勒索软件通过利用一种Windows漏洞感染受害者,微软公司已经在微软安全公告MS17-010中修复了这一漏洞。这种名为“永恒之蓝”(Eternal Blue)的漏洞于4月14日在Shadowsbroker黑客组织的dump中被揭露。
一旦入侵系统,攻击者会安装rootkit,下载软件对受害者数据进行加密。恶意软件加密数据后,会在桌面显示一个勒索窗口,要求受害者支付价值600美元的比特币到攻击者的比特币钱包。不仅如此,赎金金额还会随着时间的推移而增加。
目前,卡巴斯基实验室专家正在加紧研究是否可以对攻击中被加密的数据进行解密,以便尽快开发出解密工具,同时卡巴斯基安全解决方案可以成功拦截此病毒。
卡巴斯基实验室的安全解决方案能够检测和拦截这次攻击中使用的恶意软件,检测出的恶意软件名称为:
· Trojan-Ransom.Win32.Scatter.uf
· Trojan-Ransom.Win32.Scatter.tr
· Trojan-Ransom.Win32.Fury.fr
· Trojan-Ransom.Win32.Gen.djd
· Trojan-Ransom.Win32.Wanna.b
· Trojan-Ransom.Win32.Wanna.c
· Trojan-Ransom.Win32.Wanna.d
· Trojan-Ransom.Win32.Wanna.f
· Trojan-Ransom.Win32.Zapchast.i
· Trojan.Win64.EquationDrug.gen
· Trojan.Win32.Generic (the System Watcher component must be enabled)
卡巴斯基实验室安全专家建议采取以下措施,降低被感染的风险:
安装微软发布 的官方补丁,修补攻击所 利用的漏洞
确保网络中所有节点的安全解决方案保持开启状态
如果正在使用卡巴斯基实验室解决方案,请确保该解决方案包含名为系统监控功能的行为检测模块,并且确保该功能启用
尽快执行卡巴斯基实验室解决方案的关键区域扫描任务,以检测可能存在的感染(如果该功能没有被关闭,则会在24小时内自动检测到感染)
如果检测到MEM:Trojan.Win64.EquationDrug.gen,请重启系统
使用专门定制的威胁情报报告服务
有关WannaCry攻击的详细手段以及感染后系统表现出的迹象等信息,请浏览Securelist上的这篇博文。
