近期国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,该勒索软件运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。
从被感染机器的情况来看,一是操作系统、Office软件等没有采用正版软件,且漏洞、补丁更新不及时;二是不常用端口没有封闭;三是个人网络安全意识淡漠,没有定期备份文档的习惯。
在此提醒广大用户:
1.目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe。
2.安装正版操作系统、Office软件等。
3.关闭445、137、138、139端口,关闭网络共享,防止局域网传播;
4.强化网络安全意识,“网络安全就在身边,要时刻提防”:不明链接不要点击,不明文件不要下载……
5.尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘/U盘/网盘上。
科普一下:
勒索软件是一种特殊的恶意软件,又被人归类为阻断访问式攻击,其与其他病毒最大的不同在于手法。一种勒索软件单纯地将受害者的电脑锁起来;另一种则系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的加密密钥。勒索软件通常通过木马病毒的形式传播,将自身为掩盖为看似无害的文件。
勒索软件通常通过木马病毒的方式传播,例如通过下载文件夹带,或是通过网络系统的漏洞而进入受害者的电脑。勒索软件在进入后,会直接运行,或是通过网络下载病毒的实体数据,并恐吓受害者。恐吓消息随着不同的病毒而异,例如假借执法机关的名义,恐吓受害者的电脑被发现进行非法行动,如色情、盗版媒体,或是非法的操作系统等。
某些实体数据只将操作系统锁住,直到受害者付清赎金后才将电脑解锁。实体数据可能以数种手段来达成恐吓,包括将Windows的用户界面(WindowsShell)绑定为病毒程序,或甚至修改磁盘的主引导扇区、硬盘分区表等。最严重的一种实体数据将受害者的文件加密,以多种加密方法让受害者无法使用文件,唯一的方法通常就是向该病毒的作者缴纳赎金,换取加密密钥,以解开加密文件。
获得赎金是这类病毒的最终目标。要让病毒的开发者不易被执法单位发现,匿名的缴款管道是开发者的必要元素。有数种的管道发现被开发者用作匿名缴款,例如汇款、短信小额付款、在线虚拟货币(Ukash、Paysafecard)、数字货币比特币等。
勒索类病毒一般先使用AES加密文件,再使用非对称密钥RSA加密来将AES密钥加密,且密钥长度为2048位、如果用户想使用爆破的方式来解密,哪怕是使用目前最先进的超级计算机也得好几年才能解开。