勒索病毒肆虐100多個國家 網絡安全沒有一勞永逸

文章推薦指數: 80 %
投票人數:10人

【環球網科技報導 記者 張陽】一隻蝴蝶在亞馬遜雨林扇動一下翅膀,幾周後會在美國密西西比河引發一場風暴,而一個黑客輕輕敲下了回車鍵,就在全球引發了一場新一輪的計算機病毒肆虐,一種名為WannaCry(想哭)及其變種的病毒在全球發動攻擊,目前已有100多個國家和地區的數萬台電腦遭該勒索病毒感染,除了及時升級安裝系統補丁之外,全球眾多知名廠商正在加緊開發解密工具,為用戶挽回損失,目前,該勒索軟體還在傳播,但傳播速度已經明顯放緩。

這一輪的病毒爆發從5月12日開始,最開始受到關注是因英國國家醫療服務體系(NHS)受攻擊癱瘓,導致幾十家醫院網絡系統崩潰,攻擊者要求醫院必須繳納價值近400萬人民幣的比特幣贖金,否則威脅將刪除包括患者病例在內的所有資料。

隨後傳出中國多所高校和公共事業部門網絡系統也受攻擊影響淪陷的消息據社交媒體上用戶貼出的照片顯示,該勒索軟體在鎖定NHS的電腦後,索要價值300美元的比特幣,並顯示有「哎喲,你的文件被加密了!」(Ooops, your files have been encrypted!)字樣等的對話框。



在記者的記憶中上一次有如此切身的網絡安全威脅事件,還停留在「熊貓燒香」的那個年代,那麼為什麼時隔多年,在安全技術已經有了大進步的情況下還會發生了這麼嚴重的安全事件呢?環球網科技也是梳理了一下這次事件的情況,並且採訪了有關安全專家,以期揭示事件的原因。

危機爆發

2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,這種名為「永恆之藍」(Eternal Blue)的漏洞於4月14日在Shadowsbroker黑客組織的dump中被揭露。

該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導致電腦大量文件被加密。

受害者電腦被黑客鎖定後,病毒會提示支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。

5月13日晚間,由一名英國研究員於無意間發現的WannaCry隱藏開關(Kill Switch)域名,意外的遏制了病毒的進一步大規模擴散。

5月14日,在停止開關被發現18小時後,國家網絡與信息安全信息通報中心發布新變種預警:WannaCry 2.0即將來臨;與之前版本的不同是,這個變種取消了Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。

截至14日10時30分,中國國家網際網路應急中心已監測到約242.3萬個IP位址遭受「永恆之藍」漏洞攻擊;被該勒索軟體感染的IP位址數量近3.5萬個,其中中國境內IP約1.8萬個。

同時,由於WannaCry大規模爆發於北京時間上周五晚間,內還有大量政企機構網絡節點尚在關機狀態。

周一正常上班之後,還將迎來一輪安全考驗。

重災區

英國廣播公司發布消息稱,目前全球範圍內有大量的機構報告,受到了「勒索」病毒的攻擊,這些機構分別在美國、英國、中國、俄羅斯、西班牙、義大利、越南等地。

消息還稱,醫院淪為WannaCry病毒攻擊的重度受害者並不出乎意料。

在過去兩年時間裡,醫療系統已經遭遇了幾百次勒索軟體攻擊。

畢竟在升級安全系統、更新軟體方面,醫院明顯落後於其他行業。

卡巴斯基實驗室的研究人員對相關數據進行了分析,確認公司的保護子系統在74個國家檢測到至少45,000次攻擊,其中大多數受害者位於俄羅斯。

而中國多所高校發布關於連接校園網的電腦大面積中「勒索」病毒的消息。

磁碟文件會被病毒加密為.onion或者.wncry後綴,只有支付高額贖金才能解密恢復文件,對學習資料和個人數據造成嚴重損失,支付贖金後才能解密,不僅如此,感染範圍很快向外蔓延,機場、銀行、加油站、醫院、警察、出入境等事業單位也曝出了遭到感染的消息。

360安全首席工程師鄭文彬這類機構多使用內網、較少與外界接觸,以至於在防範意識上存在疏漏。

而另一方面,這些機構並不能保證完全隔絕網際網路,一旦被病毒掃描,則同樣會中毒——而只需一台電腦被掃描,便會像人類感染病毒一般傳染到其它電腦。

卡巴斯基實驗室亞太區病毒中心負責人董岩對環球網科技記者表示,校園網絡或者機構的網絡利用區域網比較多,而此次病毒的爆發恰恰是利用了區域網的協議漏洞進行傳播,而國內很多系統版本比較老舊,而且有可能還是盜版系統沒有及時進行系統更新。

而從一些被感染者所發布的圖片上來看,這輪網絡攻擊受影響計算機有很多是停留在老舊的微軟XP系統,早在2014年微軟就宣布停止對該系統的安全支持,還有些是win7系統,相對而言也屬於比較老舊的系統,可直到今天仍有大量的公共部門和事業單位對該系統不離不棄。

病毒來源

估計現在全世界的安全人員都想知道誰是這個病毒的始作俑者,據早前消息稱早在4月14日,自稱「影子經紀人」(Shadow Brokers)的黑客團體泄露出一份震驚世界的機密文檔,其中包含了多個Windows遠程漏洞利用工具,可以覆蓋全球70%的Windows伺服器,影響程度極其巨大,但國內諸多政府、高校等機構並沒有引起足夠的重視。

影子經紀人」 (Shadow Brokers)攻破了NSA(美國國家安全局)網絡,拿到其中一個叫「方程式」的黑客組織的大量軍用級別黑客工具,ShadowBrokers將其中一個黑客工具做成「永恆之藍」,而這次的勒索軟體正是利用了「永恆之藍」的漏洞。

此前在諸多網絡安全事件當中,美國都曾指稱中國是對美國發動了黑客襲擊,而從此事不難發現,擁有多支網絡軍隊的美國也在製造著網絡安全的威脅。

網絡安全問題發展到今天,已經不是一個單純的技術問題,而涉及到政治、軍事、經濟、文化乃至社會管理等諸多方面,可見面對網絡威脅,加入構建網絡空間命運共同體的中國方案,是最佳選擇;只有與世界各國攜手共同應對威脅,才是正道。

比特幣?

此次襲擊勒索的贖金方面比較奇特的一點是選擇了用比特幣作為支付手段,卡巴斯基實驗室亞太區病毒中心負責人董岩表示,「事實上勒索軟體從1989年就已經發現了,而那時候的勒索方式是要受害人去銀行匯款,現在的比特幣作為一種匿名轉帳的數字資產,不綁定任何用戶信息,其匿名特性成為黑客首要看重的特性,單純從比特幣地址幾乎無法追蹤到用戶信息,這讓黑客可以更簡單地規避追捕和監管。

據英國廣播公司報導,歐盟刑警組織表示,只有極少數受害者向罪犯支付了贖金,所以背後的犯罪團伙並沒有從中攫取太多利益。

事實上從昨天曝光的數據看,WannaCry病毒背後的黑客目前才收到8.2個比特幣,價值約為14000美元(約合9.7萬人民幣)

不過筆者認為,此事全怪比特幣似乎也有不妥,誠然比特幣需要進行更加嚴格的監管,不過即便沒有比特幣,相信黑客也會利用其他的途徑。

董岩還提示廣大網友,「作為安全廠商來講我們一向不提倡向黑客交付贖金,這樣會助長黑客的囂張氣焰,使他們覺得勒索病毒有利可圖,而且現在也並沒有可靠信息表明交付贖金就可以找回自己的數據。

亡羊補牢VS根治之法

對於中了病毒的用戶,暫時還沒有更好的解決辦法,因為黑客使用的加密方法極為複雜,暫時還很難說多久能夠開發出針對性的解密工具,或許只有抓到真正的幕後黑手拿到秘鑰之後才會有解決之法。

而在此之前,目前安全機構給出的解決之法是,斷開網絡,為計算機安裝最新的安全補丁,微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞,請儘快安裝此安全補丁。

關閉電腦包括TCP和UDP協議135和445埠。

打開防火牆,安裝知名廠商的殺毒軟體,並且更新到最新版本病毒庫。

其實網絡問題由來已久,已經幾乎成為了一個老生常談的問題,然而沉寂了數年之後再度有這樣大規模的網絡安全事件發生,對此董岩解釋稱,「首先這次的漏洞等級高,威脅大,通過網絡就能進行傳播,其次是多年未發生如此規模的網絡襲擊人們已經有些麻痹大意了,甚至有些人認為不裝殺毒軟體也不會中病毒。

金山安全大數據中心的負責人也認為,「雖然微軟在本年度3月份已經發布了這一漏洞的補丁,但惡意軟體製作者充分利用了人們打補丁延遲的時機,並且有演練的推進了全球漏洞掃描採樣, 確認了此漏洞目前尚未修補的情況, 從而非常精準有效的發動了一次全球規模的勒索襲擊。

這次事件的發生還是再一次給我們敲響了警鐘,網絡安全的思想不能放鬆,希望事件結束之後,公眾對於網際網路安全的關注能夠再次被喚醒。


請為這篇文章評分?


相關文章