WannaCry
 | 此條目需要擴充。 (2017年5月13日) |
 |
 解密程序截图,Wana Decrypt0r 2.0。 | |
| 日期 | 2017年5月12日起 |
|---|---|
| 地点 | 全球 |
| 类型 | 勒索软件 |
| 主题 | 网络攻击 |
| 参与者 | 未知 |
| 结果 | 超过140,000台计算机受到影响[1] |
WannaCry(直译“想哭”,或称WanaCrypt0r 2.0)[2]是一款电脑勒索病毒。2017年5月,大规模的网络攻击开始影响包括西班牙電信在内的许多西班牙公司、英国國民保健署[3]、聯邦快遞和德国铁路股份公司。据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击。[4][5][6][7]俄罗斯联邦内务部、俄羅斯聯邦緊急情況部和俄罗斯电信公司MegaFon共有超过1000台计算机受到感染。[8]中国教育网相连的中国大陆高校也出现大规模的感染[9],感染甚至波及到了公安机关使用的内网[10],国家互联网应急中心亦发布通报[11]。
WannaCry被认为利用了美国国家安全局的“永恒之蓝”(EternalBlue)工具以攻击运行Microsoft Windows操作系统的计算机。[12][2]“永恒之蓝”利用了某些版本的微软伺服器訊息區塊(SMB)协议中的MS17-010漏洞。修复该漏洞的安全补丁已于3月14日发布[13],但并非所有计算机都进行了安装。[14]
背景
此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”(EternalBlue)工具。黑客组织“暗影中间人”(The Shadow Brokers)在2017年4月14日发布了一批从Equation Group(方程式集团)泄露的工具,其中便包括“永恒之蓝”[15][16][17];而方程式集团据信是属于美国国家安全局[18][19]。
永恒之蓝利用了Windows服务器消息块的漏洞,而对于这个漏洞,微软公司在2017年3月14日已经向用户推送了Windows系统补丁“MS17-010”[13],以封堵此漏洞。微软在其网站上已经将这个电脑病毒的严重等级标记为“严峻”。
2017年5月12日[20],WannaCry在国际互联网广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机硬盘和存储装置中许多格式的文件进行加密[21][22],然后再利用网路文件共享系统的漏洞,传播到任意的其他联网的主机[23],而处于同一局域网的相邻主机也会被感染。[24] 这个漏洞不是零日攻击的漏洞(还没有补丁的安全漏洞),而微软早在2017年3月14日就推送了更新,封堵了这个漏洞。这个补丁是针对Windows网络文件共享系统的漏洞而发布的。与此同时,微软也告知了用户,不要再使用老旧的第一代服务器消息块了,取而代之的应该是最新的第三代服务器消息块。[25]
而没有及时下载这个补丁的Windows主机很可能就会被感染,而到目前为止也没有证据显示,攻击者是有目标地在进行攻击。而还在运行已被微软淘汰的Windows XP的主机则是非常危险的,因为微软现早已不对Windows XP进行安全更新与支持。[26]但由于事件的严重性,微软已经推出了针对部分已被淘汰系统的漏洞修复补丁,包括Windows XP、Windows Server 2003和Windows 8,可从微软的网站上下载。[27]
影响
2017年5月12日晚,中国大陆部分高校学生反映电脑被病毒攻击,文档被加密。病毒疑似通过校园网传播[28]。随后,山东大学、南昌大学、广西师范大学、东北财经大学等十几家高校发布通知,提醒师生注意防范[29][30]。除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击[31]。中国国家互联网应急中心发布关于防范Wannacry的情况通报,称境内境外约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址数量9300余个[32]。
勒索软件影响了英国医疗系统的运作。[33] 由于勒索软件导致的系统瘫痪,部分常规手术被临时取消,救护车也被迫分流到其他未受到影响的医院。[6] [34] 英国国民保健署在2016年仍然有上千台电脑在使用Windows XP,而Windows XP直到本次感染爆发之前并没有任何修复服务器消息块漏洞的补丁,这成为英国医疗系统受到攻击的原因之一。[35]
参考
- ^ Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. [2017-05-13].
- ^ 2.0 2.1 Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. [2017-05-12].
- ^ Marsh, Sarah. The NHS trusts hit by malware – full list. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077 (英国英语).
- ^ Statement on reported NHS cyber attack. digital.nhs.uk. [2017-05-13] (英国英语).
- ^ Hern, Alex; Gibbs, Samuel. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077 (英国英语).
- ^ 6.0 6.1 NHS cyber-attack: GPs and hospitals hit by ransomware. BBC News. 2017-05-13 [2017-05-13] (英国英语).
- ^ Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13].
- ^ Ransomware virus plagues 75k computers across 99 countries. RT International. [2017-05-13] (美国英语).
- ^ 安天发布措施紧急应对新型勒索软件“wannacry”. 新浪科技. [2017-05-13].
- ^ cnBeta. 勒索病毒国内蔓延 多地出入境系统受影响瘫痪_警告!_cnBeta.COM. cnbeta. [2017-05-13] (中文(中国大陆)).
- ^ 国家互联网应急中心发布勒索软件情况通报. 新浪科技. 2017-05-13 [2017-05-13].
- ^ Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13].
- ^ 13.0 13.1 Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com. 微软. 2017-03-14 [2017-05-13] (英语).
- ^ 15:58, 12 May 2017 at. WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain. [2017-05-13].
- ^ Menn, Joseph. Russian researchers expose breakthrough U.S. spying program. Reuters. 2015-02-17 [2015-11-24].
- ^ NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica. [2017-04-15] (美国英语).
- ^ misterch0c. GitHub. [2017-04-15] (英语).
- ^ Fox-Brewster, Thomas. Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'. Forbes. 2015-02-16 [2015-11-24].
- ^ Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows. Medium. 2017-04-14 [2017-04-15].
- ^ Newman, Lily Hay. The Ransomware Meltdown Experts Warned About Is Here. Wired.com. [2017-05-13].
- ^ Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency. The Telegraph. [2017-05-12] (英国英语).
- ^ Bilefsky, Dan; Perlroth, Nicole. Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool. The New York Times. 2017-05-12 [2017-05-12]. ISSN 0362-4331.
- ^ Clark, Zammis. The worm that spreads WanaCrypt0r. Malwarebytes Labs. malwarebytes.com. [2017-05-13].
- ^ Samani, Raj. An Analysis of the WANNACRY Ransomware outbreak. McAfee. [2017-05-13].
- ^ JoseBarreto. The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect. 微软. 2015-04-21 [2017-05-13].
- ^ Windows XP End of Support. www.microsoft.com. [2017-05-13].
- ^ The Microsoft Security Response Center (MSRC). Customer Guidance for WannaCrypt attacks. blogs.technet.microsoft.com/msrc. 微软. 2017-05-13 [2017-05-13].
- ^ 马卡. 全国部分高校校园网受大规模病毒攻击:传播迅猛、勒索比特币. IT之家. 2017-05-12 [2017-05-13].
- ^ 仲平. 中国多所校园网发紧急通知:提醒防范勒索软件攻击. IT之家. 2017-05-13 [2017-05-13].
- ^ 何利权. “勒索软件病毒”肆虐中国多所高校:一旦中招便无法“挽救”. 澎湃新闻. 2017-05-13 [2017-05-13].
- ^ 远洋. 勒索软件蔓延,国内多地出入境系统疑受影响瘫痪. IT之家. 2017-05-13 [2017-05-13].
- ^ 关于防范Windows操作系统勒索软件Wannacry的情况通报. CNCERT. 2017-05-13 [2017-05-13].
- ^ Global cyberattack strikes dozens of countries, cripples U.K. hospitals. cbsnews.com. [2017-05-13] (英语).
- ^ Wong, Julia Carrie; Solon, Olivia. Massive ransomware cyber-attack hits 74 countries around the world. The Guardian. London. 2017-05-12 [2017-05-12] (英语).
- ^ NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP. Motherboard. [2017-05-13] (英语).