马劲松:电脑管家主动防御拦阻比特币勒索木马
作者为腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全技术专家马劲松
Q1:这次的敲诈者木马主要影响了哪些地区或用户?
A:敲诈者木马是全球很多地方爆发的一种软件勒索病毒,只有缴纳高额赎金(比特币)才能解密资料和数据,英国多家医院中招,病人的资料受到外泄威胁,同时俄罗斯,意大利,整个欧洲都受到不同程度的威胁。在中国,5月12日晚,很多高校爆发,国内部分高校用户反馈,他们的电脑被攻击,文档被加密,需要支付比特币才能解密。
Q2:这个影响较大的敲诈者木马主要表现形式是什么?
A:此次的敲诈者木马是一个名称为“wannacry”的新家族,该木马通过加密形式,锁定用户电脑里的txt、doc、ppt、xls等后缀名类型的文档,导致用户无法正常使用程序,从而进行勒索,要求用户提交赎金之后才解锁。
Q3:Wana系列敲诈者木马有哪些危害?被攻击以后怎么解锁?
A:Wana系列敲诈者木马的危害主要表现为电脑的所有文档被加密,用户需要支付赎金才能解密。目前,被敲诈者木马上锁的电脑均无法解锁。
Q4:Wana系列敲诈者木马和以往的敲诈者木马有哪些不同?为什么此次的传播速度这么快?
A:敲诈者木马本身没什么不一样,但是Wana系列敲诈者木马的传播渠道是利用了445端口传播扩散的SMB漏洞MS17-101, 微软 在17年3月发布了该漏洞的补丁。2017年4月,黑客组织Shadow Brokers公布的Equation Group(方程式组织)使用的“网络军火库”中包含了该漏洞的利用程序,而该勒索软件的攻击者或者攻击组织就是在借鉴了“网络军火库”后进行了这次全球大规模的攻击,主要影响校园网,医院等内网用户。
Q5:为什么校园网用户容易中招?
A:由于之前爆发过多起利用445端口共享漏洞攻击案例,运营商对个人用户关闭了445端口。因校园网是独立的,故无此设置,加上不及时更新补丁,所以在本次事件中导致大量校园网用户中招。
Q6:目前有哪些应对Wanna系列敲诈者木马的办法?
A:防御办法是及时打补丁修复漏洞,开启腾讯电脑管家管家主动防御系统。
Q7:腾讯电脑管家应对此类敲诈者木马有什么办法?
A:腾讯电脑管家可提供漏洞防御,主动拦截,文档保护三层安全保护,及文件鉴黑,并会提示用户打补丁,及时修复漏洞。
避免被勒索的方法:
1、 下载 并打补丁,及时修复漏洞;
2、关闭445等端口的网络访问权限;
3、开启腾讯电脑管家主动防御系统。
此外,一旦被锁定和勒索,不要向勒索者缴纳赎金。