文/杨舒芳
从12日开始,“WannaCry”病毒开始在全球范围内大规模爆发。这场针对window系统的病毒攻击,席卷了全球99个国家。用户电脑一旦中招,文件将被加密,发布者要求用户向他支付比特币作为赎金。
被病毒感染的大多是局域网和内网,目前有两种原因解释这个现象。
一是支持文件共享的445端口。你在企业内网、校园网中看到的访问共享文件夹和共享打印机,就是445端口在起作用。但它暴露给黑客的危机也是很大的,他们入侵成功后,可以共享、加密、格式化你的硬盘。
国内的情况是,个人用户的445网络端口大多数已经被网络运营商屏蔽掉,但大局域网和企业内网中仍有很多开放端口。
二是秘密开关。微步在线对样本进行分析后,发现当前样本中存在一个秘密开关,是攻击行为的第一步。
WannaCry样本在用户电脑中启动后,第一步会首先请求如下域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。如果请求失败,则执行文件加密;如果请求成功,则放弃加密并直接退出。他们也提醒用户,不要在防火墙、IPS等设备拦截上述域名的访问。
而内网和局域网的机器,大多数没有外网访问权限,因此WannaCry请求开关域名失败,引发加密行为。另外,WannaCry的蠕虫功能,很容易在内网中引起连锁效应。一台机器的失守,就很可能引起全部机器被攻陷。
这也导致,国内的中毒重灾区是校园系统、医疗系统、能源行业,以及公安办事系统。安天公司提示称,由于Wannacry大规模爆发与北京时间周五晚8点,因此国内还有大量政企机构网络节点尚在关机状态。因此,周一开机已经是一场安全考验。他们将于今天下午再次更新开机指南,尽量减少损失。
到昨天晚上为止,多位安全公司都表示,这个病毒可以防守,但一旦中招目前还没有什么解决办法。
好消息是,在安全部门集体熬夜加班后,360于今天凌晨2点首发了目前全网第一款勒索蠕虫病毒文件恢复工具,链接为https://dl.360safe.com/recovery/RansomRecovery.exe 。不过,该工具尚不是万能的,目前有可能恢复一定比例文件的急救方案,成功概率会受到文件数量等多重因素影响。