最近几天WannaCry恶意软件霸占头条,它针对全球99个国家的组织机构发动攻击,利用一个Windows SMB利用来攻陷未修复的操作系统或运行不再受支持的Windows操作系统的计算机。
“永恒之蓝”是WannaCry的一个变体,感染位于同一网络的联网且未及时更新的Windows系统,它所具备的网络蠕虫能力让它得以快速传播。“永恒之蓝”能加密所有文件感染设备并且利用漏洞通过SMB执行远程命令。这个后门能让攻击者在目标系统中注入和执行恶意代码。安全研究员MalwareTech在恶意软件源代码中发现了能够阻止其传播的方法。他发现恶意软件会检测是否存在某域名以开启感染进程,随后他注册了这个域名于是阻止了其传播。但现在攻击者也发现了他的行为。
之前预测
研究人员Luciano Martins认为可能会出现源代码中并不存在“删除开关”的新变种。他指出,现在说明WannaCry2.0版本还为时尚早,但他认为攻击者之后会改进恶意软件能力。如果源代码中并不存在“删除开关”的新变种出现,那么由于存在大量未修复系统,因此局面应该会很难控制。而新一轮攻击的发生是不可避免的。
成千上万个未修复系统仍然暴露在互联网中并且易受WannaCry勒索软件攻击。这次攻击只使用了SMB利用代码,但未来的攻击可能会通过钓鱼攻击或路过式下载攻击发动。
用户缓解安全威胁需要安装安全补丁并禁用SMBv1。微软已为Windows Server 2003 (SP2×64/×86)、Windows XP (SP2×64, SP3×86)、Windows XP Embedded (SP3, ×86)、以及Windows 8系统的32位和64位版本发布补丁。
WannaCry 2.0已来
截止发稿前,带有新“删除开关”的新变体已出现。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。