当前位置: 首页  >   右侧对联

病毒来袭!交通行业网安专家权威答疑支招

时间:2017-05-15  来源:中国交通新闻网  作者:记者 连萌

  本网讯 北京时间5月12日20时左右,全球爆发大规模勒索软件WannaCry(魔窟)感染事件,多个行业均遭受不同程度的影响,交通运输信息安全中心联合安全机构发布应对交通运输行业魔窟病毒风险及周一开机指南,并逐一回应相关热点问题。

  根据指南:个人电脑有两种开机方式:一是用离线版U盘工具包快速处置,在拿到相关软件后按照对应的操作说明操作即可;二是网络获取工具包处置,用户通过获取勒索软件专杀工具和免疫工具,并升级微软补丁的方式“提高免疫力”。(相关技术指南见附件)

  单位内部网络的处置办法相对复杂。对于规模较小的单位,可先拔掉主机网线,然后再按照相应步骤,使用专业的工具进行免疫和杀毒处理;对于规模较大的单位,建议先采用建立灭火域名方式实现免疫,然后再使用专业的工具进行免疫和杀毒处理。此办法同样适用于互联网络。

  如果电脑不幸感染病毒,交通运输信息安全中心也给出了补救方案:要及时拔掉网线与其他机器隔离,使用蠕虫勒索软件免疫工具、专杀工具清除病毒;通过PE盘进入操作系统备份可用文件,并对备份数据进行离线处理。(相关技术指南见附件)

  ◆◆◆WannaCry蠕虫是否能U盘传播?不会!

  “这个程序不会导致二次传播。”针对U盘传播这一问题,记者专门采访交通运输信息安全中心的有关专家,专家认为,根据目前分析,由于魔窟蠕虫运行后,可能会将一个显示敲诈信息的程序模块“@WanaDecryptor@.exe”拷贝到当时插入电脑的U盘上,但这个程序不会导致二次传播。魔窟蠕虫还有一个负责显示敲诈信息的语言模块,该语言集有28个文件,对应28种语言,这个模块被加载后就会弹出敲诈界面。魔窟蠕虫会遍历驱动器和目录下的文件,如有将要加密的指定后缀名的文件存在,则将这个程序“@WanaDecryptor@.exe”放到该驱动器或该文件夹中。此时如果有U盘插在电脑上,则这个程序也会被拷贝到U盘上。U盘插入到其他未染毒机器上后,该程序由于没有Autoruan.inf等执行入口,不会自动执行。

  如果未染毒用户误执行该文件,则也会弹出相关提示,可能导致用户恐慌。但该模块内没有数据加密和扫描感染功能,也没有其他载荷下载功能。因此,该蠕虫会将部分程序模块拷贝到U盘上,但不会通过U盘二次传播。

  ◆◆◆WannaCry是否已经出现“开关域名”失效的2.0版本?假的!

  打怪升级了么?对于是否出现2.0版本,专家回应:这一信息事实上是国内媒体是对卡巴误发布信息的报道。中国交通新闻网的小编从专家那里详细地了解了事情的来龙去脉。

  5月13日,来自英国的 “MalwareTech”发现该蠕虫预留了一个中止条件,即蠕虫运行时如果能访问到“开关域名(也有部分机构称之为灭活域名)”则退出程序,文件也不会被加密;如果访问“开关域名”失败则执行加密用户文件等恶意行为,而该开关域名当时并未被注册,因此“MalwareTech”注册了这一域名来阻断这一恶意代码传播。

  5月14日,网上开始流传该蠕虫已经出现“WannaCry 2.0”版本,“开关域名”已经失效的信息。结合监测数据和样本集,专家分析认为,截至14日22时,并未出现所谓开关域名失效的版本。但通过样本交换通道发现有其他开关域名被篡改的版本。这一信息事实上是国内媒体是对卡巴误发布信息的报道。实际上,该病毒确实有两个版本,其1.0版本最早于3月29日被捕获,其并无主动传播模块,也不受开关域名的约束,而此时NSA“永恒之蓝”相关漏洞也尚未泄露。其2.0版本就是在2017年5月12日大规模爆发并被各安全厂商所分析的版本。

  专家此前分析已经指出,魔窟分成传播框架和释放出来的加密模块。其中传播框架受到开关域名的约束,而其加密模块与此前的1.0版本基本逻辑一致,自身不具备主动传播的属性,其内部均未设置开关域名条件。

  经分析相关事件的原委后专家认为:卡巴斯基Costin Raiu在推特上发出错误消息(已经于13日中午删除),认为存在所谓“WannaCry 2.0”版本,是这一乌龙事件的起源。其他网站有转发的相应内容:

  之后卡巴已经澄清了相关消息:

  所谓“开关域名”失效的2.0版本的HASH均为“84C82835A5D21BBCF75A61706D8AB549”,该版本依赖HASH 为“D5DCD28612F4D6FFCA0CFEAEFD606BCF”和“db349b97c37d22f5ea1d1841e3c89eb4”的母体传播,而开关域名对该母体是有效的。同时必须冷静的看到,攻击者可以非常容易的将目前的蠕虫修改为开关域名无效的版本,或者修改为其他的开关域名条件。而其他攻击者,即使没有源码,也只需要修改几个字节的二进制就会导致开关域名的失效。专家目前已经从后台样本库汇总,找到两个开关域名被修改的样本,其修改后的开关域名均为“www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com”,但未找到相关样本的网络侧关联数据,目前无法确认这两个版本是真实传播的,还只是恶作剧提交。显然将这一蠕虫的响应,完全寄托在攻击者预留的这个彩蛋身上和四两拨千斤式的开关域名条件建立上,是不可靠的。同时,专家不建议内网用户通过直接连通相关域名来灭活,而仍然建议用户通过内网DNS对灭活域名进行解析。

  ◆◆◆有预设的解密口令“WNcry@2ol7”么?谣言!

  部分网友认为使用预设的解密口令“WNcry@2ol7”即可逃过一劫,对此专家回应:谣言。

  专家称,WannaCry蠕虫中确实有这样一个口令设置,但并不是用来加密用户文件的。他是WannaCry勒索软件中内置ZIP资源数据包的解压口令,样本运行时会使用“WNcry@2ol7”作为解压密码,解压样本自身的资源数据并释放到当前路径,这些数据为勒索信息、勒索背景桌面、勒索窗体、语言配置、加密的DLL和Key等文件。

  另外,网上流传该病毒加密后的文件存在“重复加密覆盖解密法”,显然,对现代加密算法略有了解的人都能看出这则消息纯属胡扯,不排除是“智商钓鱼贴”。

  ◆◆◆网上有人说WannaCry勒索软件作者突然道歉,并放出主解密密钥,并凭借这个解密密钥能解密加密的文档,是真的吗?假的!

  波及120个国家的病毒,作者还知道道歉?Too young,too simple!

  此密钥为“TeslaCrypt勒索软件”的主密钥,无法解密WannaCry勒索软件加密的文档。专家表示,截至2017年5月14日18点暂未发现可解密WannaCry勒索软件加密文档的主密钥。

  指南相关信息请见附件。

交通行业WannaCry(魔窟)病毒风险形势及周一开机指南
中国交通新闻网版权及免责声明:
1、凡本网注明“来源:中国交通报”、“来源:中国交通新闻网” 的所有作品,版权均属于中国交通新闻网,未经本网授权,任何单位及个人不得转载、摘编或以其他方式使用上述作品。已经本网授权使用作品的,应在授权范围 内使用,并注明“来源:中国交通新闻网”。违反上述声明者,本网将追究其相关法律责任。
2、凡本网注明 “来源:XXX(非中国交通新闻网)” 的作品,均转载自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
3、如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行。
clear
clear

图片推荐

clear