CNNVD:关于WannaCry勒索软件攻击事件的分析报告

北京时间2017年5月12日,一款名为“Wanna Cry”(也称WannaCrpt、WannaCrpt0r、Wcrypt、WCRY)的勒索软件在全球范围内爆发,造成极大影响。针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下:

CNNVD:关于WannaCry勒索软件攻击事件的分析报告-E安全

一、网络攻击事件背景

此次爆发的“WannaCry”勒索软件来自“永恒之蓝”(EternalBlue),主要利用微软Windows操作系统的MS17-010漏洞进行自动传播。相关数据显示,每小时攻击次数高达4000余次。“永恒之蓝”是一种特洛伊加密软件(Onion Ransomware

),利用Windows操作系统在445端口的安全漏洞(CNNVD-201703-721 ~ CNNVD-201703-726)潜入电脑对多种文件类型加密并添加.onion后缀,使用户无法打开。

二、“WannaCry”勒索软件技术特点及危害

(一)攻击特性

爆发突然。短短一天内,在几乎毫无任何预兆的情况下,百余个国家和地区遭受攻击并呈现蔓延态势。行为恶劣。勒索蠕虫一旦成功入侵,将加密系统内全部文档,并通过破坏硬盘快照的方式增加系统恢复难度,不交付赎金(单机解密赎金300美元至600美元,一般通过比特币支付)无法解密。自动传播。可利用Windows平台所有版本(winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等)的漏洞进行自动传播,未打补丁的机器极易感染并在内外网快速传播。无法解密。勒索软件使用AES128加密文件,使用RSA2048公钥加密AES密钥。据目前情况看,除美国外其他国家基本无法通过计算或碰撞的方式进行解密。通信匿名。勒索软件进行攻击后,会自动释放Tor网络组件,用于解密程序的网络通信,赎金使用比特币支付,使勒索过程难以追踪溯源。时间掐准。此次攻击发生正值周末,据分析在我国爆发时间应为周五下午3点左右,恰逢国内各单位网络安全防范最松懈之时。攻击意外中断。勒索软件中预留了终止机制,即访问一个超长域名成功攻击传播就会停止。美国洛杉矶威胁情报公司一名员工注册了该域名开启了停止机制,域名启用后每秒访问IP过千。

(二)现实危害

文档损失。遭受攻击的各类文档均被加密,无法访问使用。系统停服。系统会不断弹出交付赎金的窗口,无法正常使用。解密存疑。目前尚无对交付赎金进行解密操作的分析,不确定是否能够正常解密。

(三)潜在风险

内网蔓延。尚未出现爆发大规模感染的情况,但分析其代码可知,内网蔓延的隐患仍然存在。变种变异。随着杀毒软件和安全防护措施的升级,“WannaCry”勒索软件若想避免查杀继续存活,或会改变特征值,而为继续感染更多计算机,也可能利用新的漏洞进行换代升级。

三、全球遭受网络攻击总体情况

(一)网络攻击涉及的范围广。

此次网络攻击涉及百余个国家和地区的政府、电力、电信、医疗机构等重要信息系统及个人电脑遭受严重网络攻击,最严重区域集中在美国、欧洲、澳洲等。截至目前,全球攻击案例超过75000个。

(二)网络攻击无明显地域、行业分布特点

从受攻击目标类型与地域分布来看,此次攻击未表现出显著的地域与行业分布特点,与“WannaCry”随机扫描传播机制一致,攻击无明显指向性和目标性。

(三)各方积极应对与防范

各国政府谨慎应对。尚无国家政府宣称已经调查掌握事件幕后详细情况。英、德、俄、美等多个国家向本国公民及机构发出警告,要求尽快更新补丁,做好计算机数据备份等防护工作。对于已感染设备中被加密的文件,目前各国政府及信息安全企业均无法提供有效的数据破解恢复手段。英国政府国家网络安全中心(NCSC)称其第一时间启动了针对事件及攻击者的调查;德国、俄罗斯政府网络安全机构也作出了类似表态。相关安全企业开展技术分析。

研判分析认为,目前较为明确的攻击幕后背景线索主要是从代码中逆向分析发现的三个比特币钱包地址以及五个暗网命令控制服务器,各国网络安全与司法调查机构均已锁定了这些目标,通过各方合作,将有望从这些线索中尽快发现攻击者的实际背景情况。

四、处置建议

“WannaCry”勒索蠕虫是勒索软件类病毒中全球首例使用远程高危漏洞进行自我传播的蠕虫,加密编程规范,如不公开私钥,很难通过其他手段对被加密勒索的文件进行解密,为此建议:

(一)应急措施

1、立即断网,防止扩散和蔓延。对于已经感染“WannaCry”勒索蠕虫的计算机,尽快关机,取出硬盘,通过专业数据恢复软件进行恢复。立即切断内外网连接,避免感染网络中的其他计算机。

2、启动恢复程序,及时修复补丁。若计算机存在备份,应启动备份恢复程序,及时安装修复补丁。

(二)防范方案

1、个人用户采取应急措施,安装漏洞修复补丁。“WannaCry”勒索蠕虫利用的是微软官方的SMB漏洞,请个人用户及时检查安装MS17-010修复补丁。与此同时,及时采取临时解决方案,一是关闭计算机的445端口,二是配置主机级ACL 策略封堵445 端口,三是打开“Windows防火墙”,进入“高级设置”,在入站规则中禁用“文件和打印机共享”相关规则。

2、网络管理员修改网络配置,监控网络接口。建议各网络管理员在网络防火墙上配置相关策略,限制外部对445端口的访问,加强内网审计。同时在接入交换机或核心交换机抓包,查看是否存在大量扫描内网139、135、445端口的网络行为,及时定位扫描发起点,对扫描设备进行病毒查杀,一旦发现被感染主机,立即断网防止进一步扩散。

(三)日常使用规范

在日常计算机使用过程中,对重要信息数据定期及时进行备份;浏览网页和使用电子邮件的过程中,切勿随意点击可以链接地址;及时更新操作系统及相关软件版本,实时安装公开发布的漏洞修复补丁。

本文转自d1net(转载)

时间: 2024-09-23 22:05:18

CNNVD:关于WannaCry勒索软件攻击事件的分析报告的相关文章

CNNVD关于WannaCry勒索软件攻击事件的分析报告

本文讲的是CNNVD关于WannaCry勒索软件攻击事件的分析报告,北京时间2017年5月12日,一款名为"WannaCry"(也称WannaCrpt.WannaCrpt0r.Wcrypt.WCRY)的勒索软件在全球范围内爆发,造成极大影响. 针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下: 一.网络攻击事件背景 此次爆发的"WannaCry"勒索软件来自"永恒之蓝"(EternalBlue),主要利用微软Window

WannaCry 勒索软件攻击再袭 韩国 LG 服务中心不幸中招

本文讲的是WannaCry 勒索软件攻击再袭 韩国 LG 服务中心不幸中招, 全球消费电子制造商LG公司近日已经确认,其系统在遭遇WannaCry 勒索软件攻击后,部分网络处于宕机状态. 此次的勒索软件是在韩国LG电子服务中心的自助服务机中发现的,安全专家在对病毒样本进行分析后发现,此次攻击活动期间所使用的恶意代码和此前在全球肆虐的WannaCry勒索病毒的恶意代码及其相似,但安全专家需要更多的时间调查和确认. 今年五月中旬,勒索病毒WannaCry一经出现便开始肆虐全球,影响到了全球150多个

Gartner:立刻采取三个行动应对WannaCry勒索软件的传播

自上个星期五--5月12日以来,WannaCry勒索软件攻击持续蔓延.欧洲当局表示,它已经攻击了150多个国家超过10,000个组织和20万个人.尽管已经采取措施来减缓这种恶意软件的蔓延,但新的变种正在浮出水面.Gartner研究总监Jonathan Care介绍了网络安全专家必须立即采取的步骤.   首先,安装微软的MS17-010补丁.如果你没有安装它,而且TCP端口445处于打开状态,你的系统将受到勒索软件的攻击. 然后采取以下步骤来保护您的组织今后免受这种类型的攻击: 1.停止抱怨.虽然

SamSam勒索软件攻击不断增长,勒索赎金也在不断提高

本文讲的是SamSam勒索软件攻击不断增长,勒索赎金也在不断提高,根据美国联邦调查局(FBI)的统计显示,2015年至2016年期间,美国报告的勒索软件攻击事件增加了三倍,支付的赎金也增至10亿美元. 其中,近半数的勒索软件攻击是从说服一名员工点击一封电子邮件开始的.有时网络犯罪分子会使用更复杂的方法.例如,"水坑攻击"是将勒索软件代码植入一个网站.用户访问该网站时,该代码就会被下载到他们的计算机上. 另一半攻击者以"暴力"方式锁定受害者:黑客搜索一个组织的软件漏洞

这个小伙因WannaCry勒索软件一夜成名,获得一年免费披萨

本文讲的是这个小伙因WannaCry勒索软件一夜成名,获得一年免费披萨, 意外阻断WannaCry勒索软件的"匿名英雄" 近日,全球近百个国家和地区遭受WannaCry勒索软件攻击,英国公共卫生体系.法国第二大汽车制造商雷诺集团等均受波及.就在大家纷纷中招之时,一位网名为"MalwareTech"的22岁英国小伙,因为一次机缘巧合,花费8.5英镑(约75多元)人民币,买下了一个域名,竟然奇迹般地阻止了勒索病毒的继续传播. 据英国媒体13日报道,这名22岁的英国网络工

是否应对勒索软件攻击进行通告?

2016年,一个知名的NASCAR赛车队成为勒索软件攻击的受害者.该车队公开表示,他们支付了赎金,被扣数据的价值比实际赎金要高数百万.像NASCAR车队这样公开这些信息是否明智?当企业决定支付勒索软件攻击赎金时,是否应该告知公众? Mike O. Villegas:早在2003年7月,加利福尼亚州通过一项法律,要求"任何未经加密的个人信息被未经授权的人获取或被合理相信已被获取需告知于众".目前,在美国有47个州有类似的有关数据泄露的法律要求. 问题是勒索软件是否已经构成需要进行披露于众

勒索软件攻击的第一步就是钓鱼邮件 从概念到防御思路 这里面都有了

近期 勒索软件 及其攻击事件频繁,从中我们可看到一个规律,大多数是用钓鱼邮件的形式入侵的, 钓鱼攻击 常用的手段归纳起来主要分为两类, 第一类主要通过漏洞触发,包括目标网站服务器漏洞(如XSS.SQL注入),第三方引用内容的问题(如IFRAME挂马),网站IT支撑环境相关的DNS.HTTPS.SMTP服务缺陷(如DNS劫持),以及客户端终端环境存在的隐患,攻击者利用这些漏洞结合社会工程学对受害者进行诱骗. 第二类攻击手段则完全利用社会工程学的方式对受害者进行诱骗,如发送大量诱骗邮件.搜索引擎虚假

Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件

2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致多个国家的大型企业受到Petya勒索软件攻击的影响 图1. 企业受到攻击数量最多的国家(Top 20) 与WannaCry勒索病毒类似,Petya同样利用"永恒之蓝"漏洞进行传播.但除此之外,Petya还使用了传统SMB网络传播技术,这意味着即便企业已经安装"永恒之蓝"补丁,Petya依然能够在企业内部进行传播. 初始感染方式 赛门铁克已经证实,网络攻击者在最初Petya入侵企业网络的过程中,使用了

勒索软件攻击:对黑客的追捕开始了

当局正在寻找Wannacry勒索软件幕后的人--这是迄今为止最大的勒索软件攻击. 全球各地的机构受到了勒索软件的攻击并受到破坏,目前已知共有150多个国家的20多万受害者,其中包括英国的National Health Service(国家卫生服务机构)以及俄罗斯.中国和美国的企业和政府机构. 受到勒索软件感染的PC被锁定,用户被勒索支付300比特币的赎金才能解密其文件.如果三天内没有满足其要求,赎金将会翻番达到600比特币,如果一周内没有支付赎金,犯罪分子威胁称可能将会把受害者的文件永久删除.