今天可能是痛苦的许多组织都在这了周末休息,并返回到工作周找到他们的网络上通过WannaCry加密计算机的数百或数千勒索的世界,这浮出水面周五以来一直不断传播。
通过执法机构欧洲刑警组织估计,在150个国家拥有超过20万台计算机受到感染,但是随着蠕虫继续扩散到脆弱的Windows机器,这个数字肯定会上升,估计昨天。
对于那些机器都没有被感染,下面是你需要马上做的:
- 应用微软补丁将阻止攻击。它的面世这里。
- 如果你不能这样做,因为你没有测试该修补程序是否会影响你的软件构建,禁用服务器消息块1(SMB1)网络文件共享。这就是该缺陷是它的攻击。
- 考虑关闭防火墙端口139,445或两者,因为这些端口SMB使用。
从长远来看,打击类似未来的攻击后卫,你应该:
- 考虑分割网络,所以如果一个感染得到,其传播可以被限制。
- 设置方案,以尽快修补。
- 实现最小特权和应用的访问控制。
对于已感染者:
- 转到您的备份,擦拭受影响的机器和重建它们,确保你把它们联机之前补一补。
- 考虑支付赎金,这取决于加密的数据是多么的重要。这是一个主观判断。
以下是有关WannaCry一些问题和解答:
谁在做这个?
到目前为止,没有人知道,但它可能是任何人谁利用了美国国家安全局发现的漏洞和公开与利用它称为ETERNALBLUE攻击一起发布。
更新:的WannaCry代码和代码用来破解索尼在2014年相似有专家说链接到朝鲜攻击者可能后面。
他们想要什么?
金钱,或者更准确地说$ 300为$ 600比特币的价值的。
他们是如何成功的?
200000个机在150个国家:如果感染的机器和地理范围,相当成功测量。如果赎金测量收集,不太成功:181个金共计约$是50000今天上午,根据Sophos的裸体安全博客。
为什么会如此成功?
而不是仅仅在用户点击恶意附件或链接依托,WannaCry可以溜进在无需用户操作,然后使用被感染的机器,以进一步蔓延的勒索。这导致一些人称它为ransomworm。还有的钓鱼攻击报告,以得到它开始是做依靠用户点击。
有没有办法阻止它?
WannaCry具有切断开关,所以如果他们想它背后的人可以阻止其蔓延。所述开关是一个未注册的域,该恶意软件检查与。只要域仍然未注册,感染将继续努力传播。如果蠕虫成功连接到域,这意味着它已经成为注册的话,就停止尝试蔓延。
大!为什么不注册的域名?
一位研究员但攻击者创建了一个用来切断开关不同的未经注册域名新WannaCry版本。因此,恶意软件正在积极监控和维护。
这样才有撒手人寰?
是的,也许,但它会在其效力下降。根据Splunk的代言人“这将持续一段时间,因为有成千上万的脆弱的互联网连接系统,”。“此外,有可能是山寨的攻击是代理知道或不依赖于硬编码的域名检查。”
什么机器是脆弱?
通过10和Windows Server 2008,2012年和2016年从Windows Vista中的Windows客户机的范围内有被利用的漏洞。完整的列表,其中有微软补丁这里。Windoes XP也有脆弱性,尽管是官方支持,微软发布它补丁今天。
更新:安全研究人员表示,Windows XP和Windows10没有被WannaCrypt针对性。
什么是与美国国家安全局,囤积这样的漏洞?
他们这样做是经常和使用他们发现的漏洞和他们创造进入计算机系统,用于情报目的的攻击。该机构得到了某种程度上受到影响,一个名为阴影透证券集团已在网上张贴攻击。之后微软已经发布了它的补丁这一个被张贴。
什么是微软怎么想呢?
这是不快乐。“这种攻击提供了为何漏洞的政府堆存这样的问题又一个例子,”微软总裁Brad Smith说。