2017年5月12日,一次迄今为止最大规模的勒索病毒网络攻击席卷全球-WannaCry勒索病毒。据统计,在过去的几十个小时里,全球超过100个国家的至少20万以上Windows系统电脑中招,并仍在迅速蔓延中。
美国、中国、日本、俄罗斯、英国等重要国家均有攻击现象发生,其中俄罗斯被攻击得最为严重。而对英国的攻击主要集中在英国国家医疗服务体系(NHS),旗下有数十家医院电脑系统瘫痪、救护车无法派遣,极有可能延误病人治疗,造成性命之忧。
据英国金融时报和纽约时报披露,病毒发行者正是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue,把今年2月的一款勒索病毒升级。被感染的Windows用户必须在7天内交纳比特币作为赎金,否则电脑数据将被全部删除且无法修复。
WannaCry勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的,“永恒之蓝”可远程攻击windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
蓝盾股份的二代墙内置人工智能检测模型库,通过机器学习的方式能快速识别通过网关的恶意软件,结合云端进行大量样本训练模型并更新防火墙上的模型库,使得该模型对恶意软件及其变种的识别精确度更高,比传统规则匹配更为有效。蓝盾股份通过近日获取的WannaCry样本训练AI引擎模型,快速识别到该恶意软件及其变种, 结合漏洞利用分析关联算法,有效发现并阻断WannaCry勒索病毒的入侵。
图1 恶意软件云端模型训练
应用蓝盾二代墙最新病毒检测模型版本,经测试能准确识别并拦截WannaCry勒索病毒。检测拦截结果:
图2 识别并拦截WannaCry勒索病毒
同时,蓝盾防火墙也嵌入对“永恒之蓝”(WannaCry)的安全规则,通过安全规则实施网络层隔离,WannaCry勒索病毒是利用windows的445端口(文件共享)传播的,在蓝盾防火墙中添加拒绝 “永恒之蓝”的安全规则,从而阻断WannaCry勒索病毒的传播。
图3 “永恒之蓝”安全规则
针对此次WannaCry勒索病毒事件,安全专家强烈建议:
1、在防火墙阻断445\135\137\138\139端口的访问;
2、升级新的病毒检测规则模型,阻止病毒传播;
3、升级系统补丁,对系统进行加固;
4、提升安全意识,谨慎打开不明邮件文档或不名网站链接,及时备份个人重要文件。
蓝盾信息安全技术股份有限公司是中国信息安全行业的领军企业,公司成立于1999年,并于2012年3月15日在深交所创业板上市,股票代码:300297。公司凭借安全产品、安全方案、安全服务、安全运营“四位一体”联动发展的经营模式,为各大行业客户提供一站式的信息安全整体解决方案。公司持续推进“大安全”产业发展战略,不断加快内生增长及外延扩张步伐,积极开拓市场,大举研发创新,形成和巩固了公司“智慧安全领导者”的市场地位。
