跳转到内容

WannaCry:修订间差异

本页使用了标题或全文手工转换
维基百科,自由的百科全书
以互动方式浏览历史
←上一版本下一版本→
删除的内容 添加的内容
可视化wikitext
3gs4s6splus留言 | 贡献
43次编辑
岚依留言 | 贡献
109次编辑
背景:​ 修正笔误
第56行: 第56行:
此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”({{lang|en|EternalBlue}})工具。[[黑客]]组织“暗影中间人”({{lang|en|The Shadow Brokers}})在2017年4月14日发布了一批从[[Equation Group]](方程式集团)泄露的工具,其中便包括“永恒之蓝”<ref>{{cite news|url=http://www.reuters.com/article/2015/02/16/us-usa-cyberspying-idUSKBN0LK1QV20150216|title=Russian researchers expose breakthrough U.S. spying program|last=Menn|first=Joseph|date=2015-02-17 |publisher=[[Reuters]]|accessdate=2015-11-24}}</ref><ref name="Ars Technica">{{Cite news|url=https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/|title=NSA-leaking Shadow Brokers just dumped its most damaging release yet|work=Ars Technica|access-date=2017-04-15|language=en-us}}</ref><ref>{{Cite web|url=https://github.com/misterch0c/shadowbroker|title=misterch0c|last=|first=|date=|website=GitHub|language=en|archive-url=|archive-date=|dead-url=|access-date=2017-04-15}}</ref>;而方程式集团据信是属于[[美国国家安全局]]<ref>{{cite journal|last=Fox-Brewster|first=Thomas|date=2015-02-16|title=Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal' |url=http://www.forbes.com/sites/thomasbrewster/2015/02/16/nsa-equation-cyber-tool-treasure-chest/|journal=[[Forbes]] |accessdate=2015-11-24}}</ref><ref>{{Cite web|url=https://medium.com/@networksecurity/latest-shadow-brokers-dump-owning-swift-alliance-access-cisco-and-windows-7b7782270e70|title=Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows|date=2017-04-14|website=Medium|access-date=2017-04-15}}</ref>。
此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”({{lang|en|EternalBlue}})工具。[[黑客]]组织“暗影中间人”({{lang|en|The Shadow Brokers}})在2017年4月14日发布了一批从[[Equation Group]](方程式集团)泄露的工具,其中便包括“永恒之蓝”<ref>{{cite news|url=http://www.reuters.com/article/2015/02/16/us-usa-cyberspying-idUSKBN0LK1QV20150216|title=Russian researchers expose breakthrough U.S. spying program|last=Menn|first=Joseph|date=2015-02-17 |publisher=[[Reuters]]|accessdate=2015-11-24}}</ref><ref name="Ars Technica">{{Cite news|url=https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/|title=NSA-leaking Shadow Brokers just dumped its most damaging release yet|work=Ars Technica|access-date=2017-04-15|language=en-us}}</ref><ref>{{Cite web|url=https://github.com/misterch0c/shadowbroker|title=misterch0c|last=|first=|date=|website=GitHub|language=en|archive-url=|archive-date=|dead-url=|access-date=2017-04-15}}</ref>;而方程式集团据信是属于[[美国国家安全局]]<ref>{{cite journal|last=Fox-Brewster|first=Thomas|date=2015-02-16|title=Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal' |url=http://www.forbes.com/sites/thomasbrewster/2015/02/16/nsa-equation-cyber-tool-treasure-chest/|journal=[[Forbes]] |accessdate=2015-11-24}}</ref><ref>{{Cite web|url=https://medium.com/@networksecurity/latest-shadow-brokers-dump-owning-swift-alliance-access-cisco-and-windows-7b7782270e70|title=Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows|date=2017-04-14|website=Medium|access-date=2017-04-15}}</ref>。


永恒之蓝利用了[[Windows]][[服务器消息块]]的[[漏洞]],而对于这个漏洞,[[微软公司]]在2017年3月14日已经向用户推送了Windows系统补丁“MS17-010”<ref name="17-010" />,以封堵此漏洞<ref name="microsoft.com">{{cite web|url=https://technet.microsoft.com/en-us/library/security/ms17-010.aspx|title=Microsoft Security Bulletin MS17-010 – Critical|website=technet.microsoft.com|accessdate=13 May 2017}}</ref><ref name="microsoft.com"/>。但這個補丁只適用於 [[Windows Vista]]與較新的作業系統, 較舊的[[Windows XP]]作業系統並不能用。微软已經在其网站上这个[[电脑病毒]]的严重等级标记为“严峻”。
永恒之蓝利用了[[Windows]][[服务器消息块]]的[[漏洞]],而对于这个漏洞,[[微软公司]]在2017年3月14日已经向用户推送了Windows系统补丁“MS17-010”<ref name="17-010" />,以封堵此漏洞<ref name="microsoft.com">{{cite web|url=https://technet.microsoft.com/en-us/library/security/ms17-010.aspx|title=Microsoft Security Bulletin MS17-010 – Critical|website=technet.microsoft.com|accessdate=13 May 2017}}</ref><ref name="microsoft.com"/>。但這個補丁只適用於 [[Windows Vista]]與較新的作業系統, 較舊的[[Windows XP]]作業系統並不能用。微软已經在其网站上这个[[电脑病毒]]的严重等级标记为“严峻”。


2017年5月12日<ref>{{cite web|last1=Newman|first1=Lily Hay|title=The Ransomware Meltdown Experts Warned About Is Here|url=https://www.wired.com/2017/05/ransomware-meltdown-experts-warned/|website=Wired.com|accessdate=2017-05-13}}</ref>,WannaCry在国际[[互联网]]广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机[[硬盘]]和存储装置中许多格式的文件进行加密<ref name=":1">{{Cite news|url=http://www.telegraph.co.uk/news/2017/05/12/russian-linked-cyber-gang-shadow-brokers-blamed-nhs-computer/|title=Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency|work=The Telegraph|access-date=2017-05-12|language=en-GB}}</ref><ref>{{Cite news|url=https://www.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html|title=Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool|last=Bilefsky|first=Dan|date=2017-05-12|work=The New York Times|access-date=2017-05-12|last2=Perlroth|first2=Nicole|issn=0362-4331}}</ref>,然后再利用网络文件共享系统的漏洞,传播到任意的其他联网的主机<ref name=mbytes>{{cite web|last1=Clark|first1=Zammis|title=The worm that spreads WanaCrypt0r|url=https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/|website=Malwarebytes Labs|publisher=malwarebytes.com|accessdate=2017-05-13}}</ref>,而处于同一局域网的相邻主机也会被感染。<ref>{{cite web|last1=Samani|first1=Raj|title=An Analysis of the WANNACRY Ransomware outbreak|url=https://securingtomorrow.mcafee.com/executive-perspectives/analysis-wannacry-ransomware-outbreak/|publisher=McAfee|accessdate=2017-05-13}}</ref>
2017年5月12日<ref>{{cite web|last1=Newman|first1=Lily Hay|title=The Ransomware Meltdown Experts Warned About Is Here|url=https://www.wired.com/2017/05/ransomware-meltdown-experts-warned/|website=Wired.com|accessdate=2017-05-13}}</ref>,WannaCry在国际[[互联网]]广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机[[硬盘]]和存储装置中许多格式的文件进行加密<ref name=":1">{{Cite news|url=http://www.telegraph.co.uk/news/2017/05/12/russian-linked-cyber-gang-shadow-brokers-blamed-nhs-computer/|title=Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency|work=The Telegraph|access-date=2017-05-12|language=en-GB}}</ref><ref>{{Cite news|url=https://www.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html|title=Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool|last=Bilefsky|first=Dan|date=2017-05-12|work=The New York Times|access-date=2017-05-12|last2=Perlroth|first2=Nicole|issn=0362-4331}}</ref>,然后再利用网络文件共享系统的漏洞,传播到任意的其他联网的主机<ref name=mbytes>{{cite web|last1=Clark|first1=Zammis|title=The worm that spreads WanaCrypt0r|url=https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/|website=Malwarebytes Labs|publisher=malwarebytes.com|accessdate=2017-05-13}}</ref>,而处于同一局域网的相邻主机也会被感染。<ref>{{cite web|last1=Samani|first1=Raj|title=An Analysis of the WANNACRY Ransomware outbreak|url=https://securingtomorrow.mcafee.com/executive-perspectives/analysis-wannacry-ransomware-outbreak/|publisher=McAfee|accessdate=2017-05-13}}</ref>

2017年5月13日 (六) 22:57的版本

WannaCry勒索攻击
解密程序截图,Wana Decrypt0r 2.0。
日期2017年5月12日 (2017-05-12)
地点全球
类型勒索软件
主题网络攻击
参与者未知
结果超过230,000台计算机受到影响[1]

WannaCry(直译“想哭”,或称WanaCrypt0r 2.0[2]是一种电脑勒索病毒。2017年5月,此程式大规模感染包括西班牙電信在内的许多西班牙公司、英国國民保健署[3]聯邦快遞德国铁路股份公司。据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击。[4][5][6][7]俄罗斯联邦内务部俄羅斯聯邦緊急情況部和俄罗斯电信公司MegaFon共有超过1000台计算机受到感染。[8]中国教育网相连的中国大陆高校也出现大规模的感染[9],感染甚至波及到了公安机关使用的内网[10]国家互联网应急中心亦发布通报[11]

WannaCry被认为利用了美国国家安全局的“永恒之蓝”(EternalBlue工具以攻击运行Microsoft Windows操作系统的计算机。[12][2]“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主[13] “永恒之蓝”利用了某些版本的微软伺服器訊息區塊(SMB)协议中的MS17-010漏洞。修复该漏洞的安全补丁已于3月14日发布[14],但并非所有计算机都进行了安装。[15]

背景

此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”(EternalBlue)工具。黑客组织“暗影中间人”(The Shadow Brokers)在2017年4月14日发布了一批从Equation Group(方程式集团)泄露的工具,其中便包括“永恒之蓝”[16][17][18];而方程式集团据信是属于美国国家安全局[19][20]

永恒之蓝利用了Windows服务器消息块漏洞,而对于这个漏洞,微软公司在2017年3月14日已经向用户推送了Windows系统补丁“MS17-010”[14],以封堵此漏洞[21][21]。但這個補丁只適用於 Windows Vista與較新的作業系統, 較舊的Windows XP作業系統並不能用。微软已經在其网站上把这个电脑病毒的严重等级标记为“严峻”。

2017年5月12日[22],WannaCry在国际互联网广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机硬盘和存储装置中许多格式的文件进行加密[23][24],然后再利用网络文件共享系统的漏洞,传播到任意的其他联网的主机[25],而处于同一局域网的相邻主机也会被感染。[26] 这个漏洞不是零日攻击的漏洞(还没有补丁的安全漏洞),而微软早在2017年3月14日就推送了更新,封堵了这个漏洞。这个补丁是针对Windows网络文件共享系统的漏洞而发布的。与此同时,微软也告知了用户,不要再使用老旧的第一代服务器消息块了,取而代之的应该是最新的第三代服务器消息块。[27]

而没有及时下载这个补丁的Windows主机很可能就会被感染,而到目前为止也没有证据显示,攻击者是有目标地在进行攻击。而还在运行已被微软淘汰的Windows XP的主机则是非常危险的,因为微软现早已不对Windows XP进行安全更新与支持。[28]但由于事件的严重性,微软已经推出了针对部分已被淘汰系统的漏洞修复补丁,包括Windows XP、Windows Server 2003Windows 8,可从微软的网站上下载。[29]

影响

受到攻擊的國家及地區

2017年5月12日晚,中国大陆部分高校学生反映电脑被病毒攻击,文档被加密。病毒疑似通过校园网传播[30]。随后,山东大学南昌大学广西师范大学桂林電子科技大學东北财经大学等十几家高校发布通知,提醒师生注意防范[31][32]。除了教育网、校园网以外,新浪微博上不少用户反馈,北京上海江苏天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击[33]中国国家互联网应急中心发布关于防范Wannacry的情况通报,称境内境外约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址数量9300余个[34]

勒索软件影响了英国医疗系统的运作。[35] 由於勒索软件导致的系统瘫痪,部分常规手术被临时取消,救护车也被迫分流到其他未受到影响的医院。[6] [36] 英国国民保健署在2016年仍然有上千台电脑在使用Windows XP[37],而Windows XP直到本次感染爆发之前并没有任何修复服务器消息块漏洞的补丁,这成为英国医疗系统受到攻击的原因之一。

相关谣言

  • 5月13日19:30有网民在新浪微博发微博声称广州铁路(集团)公司售票和调度系统遭病毒感染,部分下辖车站启用应急售票系统并停止车票代售点业务;线路行车改为电话闭塞[38]。当晚22:40分,广铁集团官方微博表示该消息系谣言,广铁调度、售票系统运行正常。

参考

  1. ^ Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. [2017-05-13]. 
  2. ^ 2.0 2.1 Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. [2017-05-12]. 
  3. ^ Marsh, Sarah. The NHS trusts hit by malware – full list. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077 (英国英语). 
  4. ^ Statement on reported NHS cyber attack. digital.nhs.uk. [2017-05-13] (英国英语). 
  5. ^ Hern, Alex; Gibbs, Samuel. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077 (英国英语). 
  6. ^ 6.0 6.1 NHS cyber-attack: GPs and hospitals hit by ransomware. BBC News. 2017-05-13 [2017-05-13] (英国英语). 
  7. ^ Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13]. 
  8. ^ Ransomware virus plagues 75k computers across 99 countries. RT International. [2017-05-13] (美国英语). 
  9. ^ 安天发布措施紧急应对新型勒索软件“wannacry”. 新浪科技. [2017-05-13]. 
  10. ^ cnBeta. 勒索病毒国内蔓延 多地出入境系统受影响瘫痪_警告!_cnBeta.COM. cnbeta. [2017-05-13] (中文(中国大陆)). 
  11. ^ 国家互联网应急中心发布勒索软件情况通报. 新浪科技. 2017-05-13 [2017-05-13]. 
  12. ^ Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13]. 
  13. ^ 花子健. 这次全球规模的网络病毒攻击 每天动动手指就能解决. 凤凰网. 2017-05-13 [2017-05-13] (中文). 
  14. ^ 14.0 14.1 Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com. 微软. 2017-03-14 [2017-05-13] (英语). 
  15. ^ 15:58, 12 May 2017 at. WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain. [2017-05-13]. 
  16. ^ Menn, Joseph. Russian researchers expose breakthrough U.S. spying program. Reuters. 2015-02-17 [2015-11-24]. 
  17. ^ NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica. [2017-04-15] (美国英语). 
  18. ^ misterch0c. GitHub. [2017-04-15] (英语). 
  19. ^ Fox-Brewster, Thomas. Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'. Forbes. 2015-02-16 [2015-11-24]. 
  20. ^ Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows. Medium. 2017-04-14 [2017-04-15]. 
  21. ^ 21.0 21.1 Microsoft Security Bulletin MS17-010 – Critical. technet.microsoft.com. [13 May 2017]. 
  22. ^ Newman, Lily Hay. The Ransomware Meltdown Experts Warned About Is Here. Wired.com. [2017-05-13]. 
  23. ^ Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency. The Telegraph. [2017-05-12] (英国英语). 
  24. ^ Bilefsky, Dan; Perlroth, Nicole. Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool. The New York Times. 2017-05-12 [2017-05-12]. ISSN 0362-4331. 
  25. ^ Clark, Zammis. The worm that spreads WanaCrypt0r. Malwarebytes Labs. malwarebytes.com. [2017-05-13]. 
  26. ^ Samani, Raj. An Analysis of the WANNACRY Ransomware outbreak. McAfee. [2017-05-13]. 
  27. ^ JoseBarreto. The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect. 微软. 2015-04-21 [2017-05-13]. 
  28. ^ Windows XP End of Support. www.microsoft.com. [2017-05-13]. 
  29. ^ The Microsoft Security Response Center (MSRC). Customer Guidance for WannaCrypt attacks. blogs.technet.microsoft.com/msrc. 微软. 2017-05-13 [2017-05-13]. 
  30. ^ 马卡. 全国部分高校校园网受大规模病毒攻击:传播迅猛、勒索比特币. IT之家. 2017-05-12 [2017-05-13]. 
  31. ^ 仲平. 中国多所校园网发紧急通知:提醒防范勒索软件攻击. IT之家. 2017-05-13 [2017-05-13]. 
  32. ^ 何利权. “勒索软件病毒”肆虐中国多所高校:一旦中招便无法“挽救”. 澎湃新闻. 2017-05-13 [2017-05-13]. 
  33. ^ 远洋. 勒索软件蔓延,国内多地出入境系统疑受影响瘫痪. IT之家. 2017-05-13 [2017-05-13]. 
  34. ^ 关于防范Windows操作系统勒索软件Wannacry的情况通报. CNCERT. 2017-05-13 [2017-05-13]. 
  35. ^ Global cyberattack strikes dozens of countries, cripples U.K. hospitals. cbsnews.com. [2017-05-13] (英语). 
  36. ^ Wong, Julia Carrie; Solon, Olivia. Massive ransomware cyber-attack hits 74 countries around the world. The Guardian. London. 2017-05-12 [2017-05-12] (英语). 
  37. ^ NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP. Motherboard. [2017-05-13] (英语). 
  38. ^ 勒索病毒搞瘫2.8万家机构 除了交钱没招!. 快科技. 2017-05-13. 
检索自“https://zh.wikipedia.org/zhwiki/w/index.php?title=WannaCry&oldid=44350833