信息來(lái)源：比特網(wǎng)

當(dāng)你看到這個(gè)界面時(shí)，你就已經(jīng)“中招”了。

近日，全球多家組織和機(jī)構(gòu)遭到了嚴(yán)重的勒索軟件攻擊，西班牙的Telefonica、英國(guó)的國(guó)民保健署以及美國(guó)的FedEx等組織紛紛中招。發(fā)起這一攻擊的惡意軟件是一種名為“WannaCry”的勒索軟件變種。思科網(wǎng)絡(luò)安全專家團(tuán)隊(duì)Talos的專家Martin Lee撰文，從技術(shù)角度分析了“WannaCry”勒索軟件的入侵手段和應(yīng)對(duì)措施。

該惡意軟件會(huì)掃描電腦上的TCP 445端口，以類似于蠕蟲病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲(chǔ)的文件，然后要求以比特幣的形式支付“贖金”。

此外，Talos還注意到WannaCry樣本使用了DOUBLEPULSAR，這是一個(gè)由來(lái)已久的后門程序，通常被用于在以前被感染的系統(tǒng)上訪問(wèn)和執(zhí)行代碼。這一后門程序允許在系統(tǒng)上安裝和激活惡意軟件等其他軟件。它通常在惡意軟件成功利用SMB漏洞后被植入，后者已在Microsoft安全公告MS17-010中被修復(fù)。在Shadow Brokers近期向公眾開放的工具包中，一種攻擊性漏洞利用框架可利用此后門程序。自這一框架被開放以來(lái)，安全行業(yè)以及眾多地下黑客論壇已對(duì)其進(jìn)行了廣泛的分析和研究。

WannaCry似乎并不僅僅是利用與這一攻擊框架相關(guān)的ETERNALBLUE（永恒之藍(lán)）模塊，它還會(huì)掃描可訪問(wèn)的服務(wù)器，檢測(cè)是否存在DOUBLEPULSAR后門程序。如果發(fā)現(xiàn)有主機(jī)被植入了這一后門程序，它會(huì)利用現(xiàn)有的后門程序功能，并使用它來(lái)通過(guò)WannaCry感染系統(tǒng)。如果系統(tǒng)此前未被感染和植入DOUBLEPULSAR，該惡意軟件將使用ETERNALBLUE嘗試?yán)肧MB漏洞。這就造成了近期在互聯(lián)網(wǎng)上出現(xiàn)的大規(guī)模類似蠕蟲病毒的活動(dòng)。

組織和機(jī)構(gòu)應(yīng)確保運(yùn)行Windows操作系統(tǒng)的設(shè)備均安裝了全部補(bǔ)丁，并在部署時(shí)遵循了最佳實(shí)踐。此外，組織和機(jī)構(gòu)還應(yīng)確保關(guān)閉所有外部可訪問(wèn)的主機(jī)上的SMB端口（139和445）。

請(qǐng)注意，針對(duì)這一威脅我們當(dāng)前還處于調(diào)查階段，隨著我們獲知更多信息，或者攻擊者根據(jù)我們的行動(dòng)作出響應(yīng)，實(shí)際情況將可能發(fā)生變化。Talos將繼續(xù)積極監(jiān)控和分析這一情況，以發(fā)現(xiàn)新的進(jìn)展并采取相應(yīng)行動(dòng)。因此，我們可能會(huì)制定出新的規(guī)避辦法，或在稍后調(diào)整和修改現(xiàn)有的規(guī)避辦法。