5月12日,安全软件制造商Avast表示,这一病毒已经在99个国家观察到超过57000个感染例子。据中新社5月14日报道,目前安全机构暂未能有效破除该勒索软的恶意加密行为,用户只能进行预防,用户中毒后可以通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
5月13日,中国国家互联网应急中心发文称,上述勒索软件利用的是此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物。
据中国网络安全公司360首席安全工程师郑文彬介绍,中国此次遭受攻击的主要是教育网用户。这种勒索软件利用微软“视窗”操作系统445端口的漏洞,国内一些网络运营商此前已封掉了该端口,但教育网并未设限。微软此前已发布相关漏洞补丁,但一些没来得及更新的电脑就会被攻击。
阿里云安全专家分析,此次全球比特币勒索病毒是由美国国家安全局(NSA)泄露的Windows系统 SMB/RDP远程命令执行漏洞引起。利用该漏洞,黑客可远程实现攻击Windows的445端口(文件共享)。如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,黑客即可在电脑里执行任意代码,植入勒索病毒等恶意程序。
考虑到Windows系统 SMB/RDP远程命令执行漏洞的危险性,国内外不少云服务厂商都在4月封掉了445端口。但全球不少个人电脑、IDC物理机房仍存在大量暴露着445端口的机器,这给了黑客可乘之机。
阿里云安全专家分析,此次勒索事件在校园网传播速度之快,影响面之大,主要原因是当前大部分学校基本是一个大的内网互通的局域网,不同的业务未划分安全区域。例如:学生管理系统、教务系统等都可以通过任何一台连入的设备访问,