近日,微步在线捕获到一款新型勒索软件用于对全球范围内的目标发起大范围的攻击,多家安全公司将该勒索软件命名为“WannaCry”。微步在线对该事件中收集到的样本进行了紧急的分析,发现攻击样本中存在一个开关:样本启动后会首先请求域名一个秘密开关域名(具体见附录IOC),请求失败后即开始执行加密,相反,请求成功后立即退出,不执行加密。根据微步在线的威胁分析平台,该域名目前已经被安全公司接管,因此新感染的机器如果能够访问外网,请求该域名会返回成功,随即直接退出,不会执行加密操作,危害性有所降低。是的,被蠕虫感染的机器如果能够成功连通秘密开关域名,反而不会被加密!其他发现还有:
◆WannaCry家族同时具有勒索加密功能和蠕虫传播功能,一旦内网某台机器失陷,且内网其他机器没有外网访问权限,则整个内网机器仍旧很有可能被攻陷并被执行加密勒索。
◆鉴于该勒索软件需要连通上述开关域名,才会停止加密。因此,如果企业内网机器没有互联网访问权限,则建议客户在内网修改此开关域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)的内网解析,并且将解析IP指向企业内部在线的web服务器;如果内网机器具有互联网访问权限,则无须采取额外措施。微步在线在第一时间为企业安全和IT管理者提供了行动指引,具体应对措施请参见下文“企业如何应对”部分。
◆根据微步在线的情报监测网显示,此次攻击已经对我国造成较大危害,已知包括教育、医疗、能源等行业损失惨重。此外,国外包括英国、俄罗斯、乌克兰等国家也被攻击。
阅读全文
