WannaCry勒索软件是全球有史以来最臭名昭著的恶意软件感染之一,时至今日,网络攻击者仍在积极使用它。四年前的这个月,它摧毁了全球网络,从整个医疗系统到银行和国家电信公司。
它现在仍足以致命,而且在大流行期间出现的报道有所增加。以下是您今天需要了解的关于WannaCry勒索软件的所有信息,包括如何保护您的组织免受其攻击。
WannaCry勒索软件是什么?
WannaCry勒索软件是一种攻击Windows PC的加密勒索软件蠕虫。它是一种恶意软件,可以通过网络从PC传播到PC(因此是“蠕虫”组件),然后在计算机上加密关键文件(“加密”部分)。然后,犯罪者要求支付赎金以解锁这些文件。该名称来源于在一些首批病毒样本中检测到的代码串。
WannaCry被称为“可预防灾难的研究”,因为在2017年首次在全球传播前两个月,微软发布了一个补丁,可以防止蠕虫感染电脑。[1]不幸的是,数十万个系统没有及时更新,目前仍有未知数量的此类系统易受攻击。
WannaCry如何影响系统?
WannaCry只是另一个勒索软件攻击如果不是因为它感染电脑的方法。据报道,美国国家安全局发现并首次利用了Windows系统的一个严重漏洞。该漏洞被称为EternalBlue,最终于2017年4月被一个网络犯罪黑客组织共享,并允许WannaCry的创建者诱骗Windows系统使用服务器消息块协议运行其代码。
WannaCry传播的方式是使用公司网络跳转到其他Windows系统。不同于网络钓鱼攻击,计算机用户无需单击链接或打开受感染的文件。WannaCry只是寻找其他易受攻击的系统来进入(在某些版本中,它使用偷来的凭据),然后一次又一次地复制和执行程序。因此,企业网络上的一台易受攻击的计算机可能会给整个组织带来风险。
WannaCry攻击是如何工作的?
WannaCry程序有几个组件。有一个主要交付程序,其中包含其他程序,包括加密和解密软件。一旦WannaCry进入计算机系统,它就会搜索数十种特定的文件类型,包括Microsoft Office文件以及图片、视频和声音文件。然后它执行一个例程来加密文件,这些文件只能使用外部传递的数字密钥进行解密。
因此,受感染的用户访问WannaCry加密文件的唯一方法是,如果他们有这些文件的外部备份副本。在最初的WannaCry攻击中,一些受害者仅有的手段是支付比特币赎金。不幸的是,报告显示,在这些公司付清费用后,黑客并没有让受害者访问他们的文件。
WannaCry勒索软件攻击是什么?起源和影响
2017年5月,WannaCry迅速感染了150个国家的20多万台电脑,在全球企业网络上引发了恐慌。在这些系统中,英国国家卫生服务中断,西班牙电信服务受到威胁,俄罗斯的银行受到威胁。虽然这种病毒似乎是同时出现的,但研究人员后来追踪到早期版本是朝鲜的一个名为拉撒路集团的组织。
WannaCry的代码中隐藏了许多线索,但从未有人声称对创建或传播该程序负责。一位研究人员在网络攻击早期发现,该程序最初试图访问一个特定的网址,结果发现该网址是一个未注册的无意义名称。如果程序能够打开URL,WannaCry将不会执行,因此它充当了一种终止开关。因此,英国研究人员马库斯·哈钦斯(Marcus Hutchins)注册了该URL,有效地阻止了WannaCry勒索软件的传播。[2]
WannaCry勒索软件-最近受到攻击的组织案例
然而,自那以后的几年里,WannaCry出现了一波又一波的复苏。2018年,波音公司发生了一起引人注目的案件。最终,这导致了更多的恐慌而非实际损失,但这家飞机制造商的生产率受到了打击。
最近,安全研究人员发现WannaCry再次感染。一份报告指出,与今年1月相比,2021年3月WannaCry勒索软件的数量增加了53%,而另一份报告则指出,WannaCry是1月份美洲使用最多的勒索软件家族,共检测到1240次。更值得注意的是:黑客使用的最新变体不再包含kill-switch URL。[3]
防范WannaCry勒索软件
幸运的是,每个公司都可以采取网络安全措施来防止WannaCry勒索软件攻击:
- 安装最新的软件:如果说房地产中最重要的三个词是位置、位置、位置,那么网络安全中最重要的三个词就是更新、更新、更新。如果公司和个人更新了他们的Windows软件,最初的全球WannaCry感染本可以预防。两个月前,允许WannaCry传播的漏洞被微软修补。
- 执行备份:这是一项普通的任务,但却是保护关键数据的必要任务,因此公司需要建立备份信息的例行程序。此外,备份应该存储在外部,并与企业网络断开连接,就像在云服务中一样,以保护它们免受感染。
- 网络安全意识培训:需要定期提醒员工养成良好的电子邮件习惯,尤其是现在有更多的员工在远程工作。他们不应该打开未知的电子邮件附件,也不应该点击任何可疑的链接。
我应该支付WannaCry赎金吗?如果WannaCry赎金没有支付会发生什么?
许多主要专家建议支付WannaCry勒索软件是不明智的,因为据报道,许多支付勒索软件的人无法从网络攻击者那里恢复他们的文件。还存在勒索软件攻击的情况,如WannaCry勒索软件被安全研究人员击败由于罪犯的错误代码。当然,网络攻击者不断开发更新、更强大的恶意软件版本,这使得在未来的攻击中依赖错误代码是不明智的。
防范勒索软件的最佳做法是什么?
防范勒索软件的一些最佳做法包括:
- 员工安全意识培训.
- 确保在整个组织中使用强密码。
- 将数据(和备份数据)存储在网络攻击者难以访问的安全位置。
关于WannaCry勒索软件的底线
尽管四年前WannaCry勒索软件产生了巨大影响,但如今它仍然是一个持续的威胁——更多证据表明,那些没有从历史中吸取教训的人注定会重蹈覆辙。幸运的是,如果你努力更新软件和系统,你的组织就不必这样做。
[1]”WannaCry三年后,勒索软件加速而修补仍存在问题,“深色阅读
[2]”恶意软件研究员、“WannaCry英雄”马库斯·哈钦斯(Marcus Hutchins)被判处监督释放,“TechCrunch
[3]”自2021年1月以来,WannaCry勒索软件攻击增长53%,“NetSec.news