UIWIX勒索病毒ms17-010補(bǔ)丁+離線版免疫工具,名為Uiwix的另一個(gè)勒索軟件變種已開始傳播開來(lái),它鉆了Windows SMBv1和SMBv2中WannaCry所利用的同一個(gè)安全漏洞的空子。網(wǎng)絡(luò)犯罪分子在迅速整合安全漏洞,尤其是在他們像“永恒之藍(lán)”漏洞那樣有望感染大量目標(biāo)的時(shí)候。
UIWIX勒索病毒介紹
WannaCry也許消停了,但勒索軟件這次大爆發(fā)還沒(méi)有完。
正如我們?cè)谧蛱斓木瘓?bào)中擔(dān)心的那樣,名為Uiwix的另一個(gè)勒索軟件變種已開始傳播開來(lái),它鉆了Windows SMBv1和SMBv2中WannaCry所利用的同一個(gè)安全漏洞的空子。網(wǎng)絡(luò)犯罪分子在迅速整合安全漏洞,尤其是在他們像“永恒之藍(lán)”漏洞那樣有望感染大量目標(biāo)的時(shí)候。
不出所料,這個(gè)變種不包括killswitch域名,而WannaCry含有該域名。
我們猜測(cè),這是隨后會(huì)涌現(xiàn)的眾多變種中的第一個(gè),它們旨在鉆這個(gè)漏洞的空子,并且感染盡可能多的設(shè)備,直到受害者打上必要的補(bǔ)丁。與WannaCry一樣,Uiwix也具有自我復(fù)制功能。
Uiwix的工作原理與其他勒索惡意一模一樣。加密開始后,它將.uiwix擴(kuò)展名添加到所有被感染文件。另外,它會(huì)投放一個(gè)名為“_DECODE_FILES.txt”的文本文件,該文件含有要求支付贖金以解密內(nèi)容的信息。
該文本文件的內(nèi)容如下
這個(gè)勒索軟件大爆發(fā)背后的原因
這次勒索軟件攻擊的范圍極其廣泛,原因是它鉆了Windows SMBv1和SMBv2中的各種安全漏洞,大多數(shù)用戶對(duì)它們并沒(méi)有打上補(bǔ)丁,盡管微軟在2017年3月已發(fā)布了危急補(bǔ)丁。
SMB(服務(wù)器消息塊協(xié)議)
這是一種文件共享協(xié)議,讓操作系統(tǒng)和應(yīng)用程序可以讀取數(shù)據(jù),并將數(shù)據(jù)寫入到系統(tǒng)。它還讓系統(tǒng)可以向服務(wù)器請(qǐng)求服務(wù)。
然而,我們之前從來(lái)沒(méi)有見(jiàn)過(guò)這么嚴(yán)重的攻擊。
如果你不能給系統(tǒng)打補(bǔ)丁,就要確保禁用了Windows SMBv1:
這里是微軟的一個(gè)實(shí)用鏈接:如何啟用和禁用Windows和Windows Server中的SMBv1、SMBv2和SMBv3,
然而,US-CERT勸告用戶和管理員還要確保自己“針對(duì)所有邊界設(shè)備,在網(wǎng)絡(luò)邊界阻止所有版本的SMB,為此封阻TCP端口445!
這種攻擊會(huì)發(fā)生的另一個(gè)途徑是,一臺(tái)易受攻擊的PC連接到公共無(wú)線網(wǎng)絡(luò)后,直接上網(wǎng),然后為企業(yè)網(wǎng)絡(luò)構(gòu)建。這可能會(huì)讓感染范圍進(jìn)一步擴(kuò)大開來(lái)!
到目前為止,WannaCry背后的網(wǎng)絡(luò)犯罪分子已牟利26000美元,但是許多公司和公共組織遭受的損失遠(yuǎn)不止贖金本身。這就是為什么預(yù)防在將來(lái)起到了至關(guān)重要的作用。
先發(fā)制人的安全措施有多重要怎么強(qiáng)調(diào)都不為過(guò),因而防止WannaCry、Uiwix及其他勒索軟件變種在你的計(jì)算機(jī)上或網(wǎng)絡(luò)中自我復(fù)制。
確保你的端點(diǎn)打上了補(bǔ)丁,將那些未安裝最新更新版的計(jì)算機(jī)隔離開來(lái),并限制對(duì)SMB的訪問(wèn),同時(shí)確保你在運(yùn)行有效的反惡意軟件和反病毒防護(hù)工具。
關(guān)于WannaCry詳細(xì)信息:150個(gè)國(guó)家遭受攻擊:公安、石油、銀行、學(xué)校等中槍!
由于本次Wannacry蠕蟲事件的巨大影響,微軟總部剛才決定發(fā)布已停服的XP和部分服務(wù)器版特別補(bǔ)丁https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/