【IT168 评论】对于“作息规律”的小编来讲,周末本应该游游山玩玩水,扎啤撸串好好放松一下,然而小编的这一切在本周也只能是个幻想,早晨拿出手机打开微信,朋友圈莫名的被刷屏。到底是个什么事呢,让我们一起来看一下:
本周五,全球爆发了一起大规模的信息安全攻击事件,影响范围之广令人咋舌,近百个国家受到攻击影响,遭勒索软件攻击的计算机用户达数万台。
比如在高校安全方面,国内多所大学就受到黑客攻击,校园网中了勒索病毒,黑客索要比特币,攻击造成了教学系统瘫痪,同时大量学生电脑被病毒攻击,文档被加密,攻击者称需支付比特币解锁。据悉,本次勒索病毒是全球性,疑似通过校园网传播,十分迅速。目前受影响的有大连海事学院、贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。
针对事态发展态势,为了更加清晰地对时间进行了解,我们对360企业安全集团安全专家汪列军进行了相关采访。汪列军表示,截至目前为止我们还不能清晰地获知病毒来源地,根据目前来看只能判断其来自于黑产,具体来源还有待确定。大家可能对去年NSA自主设计的windows攻击Eternal Blue还略有印象,本次攻击事件和Eternal Blue不无干系。汪列军提到Eternal Blue是攻击Windows系统的一个获取控制的攻击。本次的勒索蠕虫是一种传播手段,控制设备从而向设备做文件加密的行为,加密系统后向用户进行金钱勒索,向攻击者付款后才能进行解密,NSA的攻击是整个事件中黑客达成目的的一环。
全球全行业 攻击无“死角”
从相关事件报道来看,本次事件的影响更加偏重校园,但其实不然,根据汪列军介绍称,本次攻击的影响范围远远不止高校,甚至于高校在所有攻击中仅为冰山一角。之所以高校攻击的相关报道更多一些,主要是由于,本次共计大都是从高校开始流出,而目前来讲,黑客的攻击行为已经全面展开,比如大的企事业单位甚至被隔离的专网均被感染。
当然对于高校的攻击也是要引起关注的,大家应该都知道去年的徐玉玉事件,徐玉玉事件的发生,高校已经加强了信息安全建设,但截至目前位置效果并不是很明显,对此汪列军认为高校的信息安全建设工作是存在盲点的,在高校的网络方面,高校没能及时的更新微软三月份新发布的补丁,而对高校来讲,在没有其他相对专业的网络安全防护手段的情况下,如果没有统一的补丁管理就会很容易受到大规模感染。
在公司企业方面,其网络安全工作建设也有等级之分,对安全的重视程度也有高低之别,在执行力比较强的公司如果能够及时的进行补丁安装基本上就能避免受到事件的影响,但如果公司安全部门执行力度不到位,不能对漏洞补丁引起相关重视的话,那极有可能受到本次攻击的影响。
紧急出招 防患未然
如果你的公司或个人设备已经受到勒索攻击,截至目前为止如果你的相关数据资料十分重要并没有相关备份,那除了交付勒索金外没有更好地方式来解决问题。当然如果设备内的数据重要性不大,那可以对设备进行重装系统处理。如果你的设备还没有受到影响,那也要及时采取防范措施,以免中招。对于用户的防范,汪列军分两种不同情况进行了建议:
●Win7及以上系统用户:及时检查自己的系统补丁是否为最新,如果不是要及时进行更新,打上最新补丁后,受能基本上免遭此勒索软件的攻击。
●Windows XP以及Windows 2003等老版本系统:由于微软已经停止了对老版本安全的支持,导致用户没有最新漏洞补丁可用,此类用户要将有可能收漏洞影响被攻击的服务进行关闭。
事件发生后,360产品针对该事件也给出了相关处置建议:
1.360天擎终端安全管理系统
安装了360天擎完整的终端安全管理套件的客户,应该开启终端的自动漏洞修复,并及时升级天擎控制台的补丁库,确保与 MS17-010 相关的补丁均已打上。在带宽允许的情况下,可以主动下发漏洞修复任务确保更快速的补丁应用。对于XP和Windows 2003等已经没有补丁支持的系统,可以借助天擎的专杀工具机制,下发脚本对终端的受影响服务进行关闭操作。客户可以联系360获取此应急处置脚本。
长期来看,360天擎建议客户将补丁管理纳入到日常的IT运维的重点检查项当中,确保终端的补丁及时打全。同时尽快启动针对老旧操作系统的替换工作。
2. 360新一代智慧防火墙、下一代极速防火墙早在一个月前就已经通过更新IPS特征库完成了对该攻击的防护。此外,由于该攻击已开始在教育网内泛滥,不排除高校部分开放445端口的主机已被攻击,新一代智慧防火墙基于“智慧发现”、“智慧调查”特性可高效检测、统计产生此类攻击的终端IP,协助用户快速定位已失陷主机以便于及时在终端系统进行处置操作。
3. 360天眼未知威胁感知系统的流量探针在第一时间加入了其中几款最严重的远程代码执行漏洞的攻击检测,包括EternalBlue、EternalChampion、EternalRomance、EternalSynergy等。另外,其他利用工具的检测规则在持续跟进中,请密切关注360天眼流量探针规则的更新通知。
360天眼产品的应急处置方案:360天眼流量探针(传感器)通过:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级。
4. 360威胁情报中心已经第一时间协助360杀毒处理了涉及到的黑客工具。
小编忠告
对于用户来讲,如果已经遭到攻击才想到防护其实为时已晚,所以在平时要加强安全防范意识,重要文件要及时备份,相关安全补丁要及时进行更新处理。在某个层面来讲,本次勒索攻击事件能够对用户起到警醒作用,希望企业和个人能够引起相当重视,以免造成不必要损失。