勒索软件WannaCry的全球扩散使整个互联网行业惊慌失措,其中不乏漏网之鱼,并非所有设备都受到影响。ProofPoint的安全专家发现,相当多的设备不受WannaCry的影响,是因为Adylkuzz已经成功感染。
Adylkuzz才是WannaCry的大哥
Adylkuzz通过跟WannaCry一样的服务器–EternalBlue展开传播。一旦该恶意软件进入计算机系统,它就能在上面下载指令、挖矿机器人以及清除工具。Proofpoint最早在4月24日发生了该类型攻击,但由于它是在暗处操作,所以直到WannaCry席卷全球之后它才浮出水面,而许多用户甚至完全不知道自己所用设备已经遭到该恶意软件的网络攻击。
据了解,当感染Adylkuzz之后,电脑的性能就会出现下降的情况,另外,特定的一些Windows资源也将无法进行访问。据Proofpoint披露,在其中一个攻击中,一名黑客可以利用该恶意软件在感染设备上为自己赚取2.2万美元。
安全专家预测,Adylkuzz的传播范围未来甚至将可能会比WannaCry还要广泛。跟WannaCry一样的是,Adylkuzz攻击的对象主要也都是过时的系统。对此,安全研究人员建议用户将电脑的系统升级到微软推送的最新版,并禁用掉服务器消息块服务–当然前提是不需要它。
与WannaCry勒索软件不一样的是,这一名为Adylkuzz的恶意软件并不会为受感染电脑的文件加密,然后要求用户支付赎金,而是利用受感染的电脑来“挖掘”(mine)虚拟门罗币,然后把钱转入自己的户头。
Adylkuzz的圈地运动
一旦该矿工程序感染了目标设备,后者将无法访问共享型Windows资源、性能出现逐步下滑。而更值得注意的是,该恶意软件还会关闭SMB网络以防止所在设备被其它恶意软件进一步感染。
这意味着受到Adylkuzz感染的设备将不会遭到WannaCry勒索软件的破坏。换言之,如果没有Adylkuzz的存在,此段时间爆发的、利用同一安全漏洞的大规模勒索软件攻击影响也许会更加严重。
安全研究人员卡芬内(Kafeine)解释称,“一部分大型企业于最初将最近报告的网络问题归因于WannaCry活动。然而需要强调的是,Adylkuzz的恶意活动能力明显超越了WannaCry攻击。这一攻击活动仍在进行当中,尽管规模不及WannaCry,但影响范围仍然相当可观且拥有巨大的潜在破坏性。”
卡芬内推测称,Adylkuzz恶意软件可能已经修复了WannaCry所针对的安全漏洞,并由此限制了该勒索软件的传播规模。
Adylkuzz背后的恶意操纵者利用几套专用虚拟服务器来实施攻击,通过永恒之蓝漏洞完成入侵活动,而后经由双脉冲星后门程序以下载并执行Adylkuzz恶意软件。
一旦Adylkuzz恶意软件成功感染目标设备,这款矿工程序会首先停止其自身的一切潜在实例,同时阻止SMB通信以避免发生进一步感染。
其恶意代码还会确定受害者的公共IP地址,而后下载采矿指令、Monero加密矿工程序以及清理工具。
如果你没被WannaCry感染就一定要小心Adylkuzz-E安全
卡芬内进一步补充称,“其随后会确定受害者的公共IP地址,而后下载采矿指令、加密矿工程序以及清理工具。就目前来看,Adylkuzz在任意给定时间段内都拥有多套负责托管加密矿工程序二进制代码与采矿指令的命令与控制(简称C&C)服务器作为配合。”
临时解决方案:
开启系统防火墙:不明链接不要点击,不明文件不要下载,不明邮件不要打开;
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务);
打开系统自动更新,并检测更新进行安装。