问:为何这个病毒蔓延的如此之快,从技术上来说,有什么新的特征值得关注?
答:此次攻击利用的是Windows系统的445端口,而445端口常用于局域网之间共享文件或者打印机,感染病毒主机通过扫描局域网内主机进行相关攻击,由于未更新安全补丁同时开启445端口主机过多,病毒同时在失陷主机植入木马程序,再次攻击感染新的有漏洞主机,导致在局域网内传播感染速度非常之快。
问:WannaCry勒索病毒之前就出现过,但为何会在这个时间点出现大面积的爆发,有什么内幕吗?
答:去年8月份,名为“影子经纪人”(The Shadow Brokers) 的神秘黑客组织通过社交平台宣称,他们攻击了一个有美国国家安全局(NSA)背景的黑客组织“方程式组织”,将NSA 用于大规模监控和情报活动的网络武器和文件公布在Github、Tumblr和PastBin 等互联网平台上,文件内容涉及大量的网络武器和文件,包括命令和控制中心(C&C)服务器的安装脚本、配置文件,以及针对一些知名网络设备制造商的路由器和防火墙等产品的网络武器。本次感染急剧爆发的主要原因在于其传播过程中使用了其工具包中的“永恒之蓝”漏洞,微软公司今年3月份已经发布补丁,漏洞编号MS17-010, 由于该次攻击使用常用的445端口进行攻击,如果相关企事业单位未对使用Windows系统主机更新相关补丁程序,就会导致病毒大范围在局域网内传播,出现典型的短时间内爆发式攻击。
问:为什么校园网用户容易中招?
答:由各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。
此外,如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但中国高校内,一些同学为了打局域网游戏,有时需要关闭防火墙,也是此次事件在中国高校内大肆传播的另一原因。
问:Wanna系列敲诈者木马有哪些危害?被攻击以后怎么解锁?
答:Wanna系列敲诈者木马的危害主要表现为电脑的所有文档被加密,用户需要支付高额赎金才能解密。目前,被敲诈者木马上锁的电脑均无法解锁,但可以尝试使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复文档。
问:目前有哪些应对Wanna系列敲诈者木马的办法?
