新病毒"永恒之石"已出现在中国6省

近日勒索病毒WannaCry成为安全圈内关注的焦点,就在WannaCry余波未定之时,有消息显示一款名为EternalRocks(永恒之石)的新病毒已经再度来袭,该病毒同时使用了7个来自NSA的漏洞。据金山安全大数据中心监测数据显示:截止5月25日11时,中国已有6省市存在与“永恒之石”蠕虫病毒相关的恶意软件及其变种。

数据同时显示,目前已经发现并公开的共有27个恶意软件及其变种,具有使用或疑似使用上述7个漏洞工具、扫描工具及后门工具展开攻击的可能性。金山安全借助安全大数据分析能力和广泛的客户端安装数量,在全球安全厂商中首次向使用或疑似使用相关漏洞的27个恶意软件发出了全网搜捕。

经金山安全大数据中心专家对相关样本是否在中国有分布、分布在哪些区域进行了严密的大数据分析与判定。截止5月25日11时,中国已有江苏、浙江、广东、广西、陕西、台湾等六省市存在与“永恒之石”蠕虫病毒相关的恶意软件及其变种,其中MD5值分别为198f27f5ab972bfd99e89802e40d6ba7、3771b97552810a0ed107730b718f6fe1、5f714b563aafef8574f6825ad9b5a0bf、994bd0b23cce98b86e58218b9032ffab的四种恶意软件,在中国区域的终端上有批量或个别的存在与潜伏。

“永恒之石”中国区域的重灾区为江苏、浙江、广东、广西、陕西、台湾六省市(数据截止2017年5月25日11时)。

据金山安全的专家分析称,“永恒之石”攻击过程分为两个阶段,第一阶段是潜伏期(目前潜伏时间为24小时),主要工作是准备运行环境和与暗网中的C&C服务器通信,接收下一步指令,接收到服务端的回应之后进入第二阶段。第二阶段主要是下载NSA泄露的工具,接着利用这些工具进行渗透攻击,感染其它主机。

受EternalRocks蠕虫病毒侵害后的主机会加入到僵尸网络中,接收来自位于暗网中的C&C服务器的指令,由于感染后的机器还会安装NSA武器库中的DoublePulsar后门,所以其它攻击者也可以利用这个后门安装其它恶意软件。

EternalRocks主要通过已公开的4个SMB漏洞利用工具(ETERNALBLUE,ETERNALCHAMPION,ETERNALROMANCE和ETERNALSYNERGY)、1个后门工具(DOUBLEPULSAR)和2个漏洞扫描工具(ARCHITOUCH和SMBTOUCH)来实现一系列渗透攻击。

目前金山安全专家已针对Windows SMB文件共享协议中的漏洞防御形成了安全解决方案,并对未知的恶意软件也形成了有效的防御方案。

据介绍,这次的“永恒之蓝”和“永恒之石”会使网络病毒安全防范进入一个新常态,“网关防护+高危漏洞识别+终端安全防护”将成为主要防御手段。金山安全已基本收集到全部相关样本并第一时间加入到了云库,安装VGM防毒墙或V8+的用户只需及时更新就可有效防范和查杀此类威胁。金山安全的专家同时说:其他企业或个人用户都不该心存侥幸,建议尽快安装MS17-010系统补丁,从而避免被通过网络的方式感染此类病毒。

目前,金山安全大数据中心仍然在严密监控与“永恒之石”相关联的恶意软件的所有新生样本及相关样本的扩散路径。关于“永恒之石”蠕虫病毒在中国的区域分布、感染量等关键数据,金山安全将在分析后的第一时间,向国家网信办、国家计算机病毒应急处理中心等机构报告;此外,金山安全愿意与所有从事网关防御、终端检测防御的网络安全友商协同动作,共同推动“永恒之石”蠕虫病毒在全中国的快速防御。

来源:IT时代网

IT时代网(关注微信公众号ITtime2000,定时推送,互动有福利惊喜)所有原创文章版权所有,未经授权,转载必究。
创客100创投基金成立于2015年,直通硅谷,专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。

相关文章
国内勒索病毒疫情泛滥 每天十多万台电脑被感染
新勒索病毒袭击欧洲:乌克兰副总理中招,中国出现传播迹象
安卓手机用户小心了!勒索病毒伪装成《王者荣耀》外挂攻击手机
新病毒"永恒之石"已出现在中国6省

精彩评论