去年5月12日,勒索病毒Wannacry在全球範圍內爆發,造成巨大損失。
根據“火絨威脅情報系統”監測和評估,時隔一年,Wannacry疫情依舊嚴峻:國內平均每天受到Wannacry病毒感染的電腦超過10萬臺,佔勒索病毒攻擊總數的90%以上。特別是春節後,感染量急速增長。其中,Windows7系統,政府、企業等內網用戶是其攻擊的主要目標。
感染趨勢
從下圖中可以看出,Wannacry病毒爆發後,國內電腦感染量一直在緩慢上升,今年2月份春節後變為迅速上升,最高處時超過30萬臺,是去年感染量的2~3倍。
此外,4月11號火絨上線“漏洞攻擊攔截”功能,阻止了Wannacry病毒的攻擊,4月中旬後的感染量迅速下降,安裝“火絨安全軟件”的電腦也不再被Wannacry感染。
感染途徑
根據“火絨威脅情報系統”監測和評估,漏洞成為勒索病毒傳播的主要通道,尤其是漏洞之王“永恆之藍”,成為94%的勒索病毒攻擊入口。
而Wannacry病毒家族,全都是通過“永恆之藍”在單位局域網內四處擴散。可以說,只要堵住了漏洞這個入口,包括Wannacry在內的勒索病毒感染量將會大大減少。
感染系統
在被Wannacry攻擊的系統中,Windows7以84%的佔比成為重災區。主要原因有兩點,一是因為漏洞修補不及時;二是Windows7系統目前在我國的佔有基數大(尤其是政企等機構)。
此外,受攻擊的Windows 8系統同樣擁有不小的比例(15%),而Windows 10系統幾乎不受影響。
變種情況
截止到目前,Wannacry還未進行過任何功能的更新,現在出現所謂的變種都是簡單的字節或者域名變換,與原始的Wannacry病毒相差無異。經過“火絨威脅情報系統”監測和評估,目前感染Wannacry這些“變種”量很少,日均約2萬臺。
感染人群
Wannacry主要感染目標依舊是政企等機構。這些機構用戶大量使用Windows7系統,普遍存在無法及時更新補丁、修補漏洞的問題,導致病毒能夠輕易通過漏洞入侵系統。同時其內網相連,一旦其中一臺電腦感染,可迅速傳染給網內其他電腦。除此之外,機構用戶的數據很重要,多數會選擇支付贖金,因此更容易成為攻擊者的目標。
感染地域
從Wannacry攻擊數量的地域分佈來看,主要為沿海區域。前五名分別為廣東、北京、上海、江蘇、山東(圖中深紅色區域)。這些地區經濟發達,互聯網覆蓋率高,特別是重要的機構(政府、企業、學校、能源)多,極易受到病毒的攻擊。
防禦方式
目前,還沒有任何技術能夠解開被Wannacry病毒加密的文件,用戶要麼選擇支付高額贖金獲取解密鑰匙,要麼放棄被加密的文件。避免被Wannacry病毒勒索的有效方式就是提前防禦。
個人用戶需要經常更新系統,修補漏洞;企業用戶如果不能保證所有電腦的終端都及時修補漏洞,可使用“火絨終端管理系統”的“漏洞攻擊攔截”功能及相關日誌,尋找、處理感染源。
閱讀更多 拓撲社 的文章