长江商报 > “想哭”病毒勒索世界上亿美元

“想哭”病毒勒索世界上亿美元

2017-05-22 10:37:41 来源:长江商报

长江商报消息 编者按:

在网络发达的现在,我们尽情地享受着科技给生活带来的便捷:无需带现金出门,到处都可以掏出手机完成支付;无需收存大量的文件纸张,打开电脑就能随时调用资料……

也许是放松的太久了,我们忘记了,有一个破坏者叫病毒。

5月12日晚,wannacry(以下称为“想哭”)勒索病毒在全球近百个国家和地区爆发。校园系统中招,准备毕业答辩的学生们,存在电脑中的论文无法打开了;接下来,中石油的部分加油站线上支付功能受到影响;多地出入境、派出所等网络疑似遭遇病毒袭击。

中国国家信息安全漏洞库(CNNVD)报告称,此次网络攻击涉及百余个国家和地区的政府、电力、电信、医疗机构等重要信息系统及个人电脑,最严重区域集中在美国、欧洲、澳洲等。

这是一场战争,发生在互联网的无声战场。策划 龙威

□本报记者 雷玮 见习记者 柳莺

如果你在用电脑时,屏幕突然出现一个红白界面,还有一大串英文。那么,你的电脑肯定是中招了!你的文件已经被锁住,只有缴纳一定的赎金,才能解锁!这就是近段时间大名鼎鼎的“想哭”。

这不禁让人想到十年前,“熊猫烧香”突然爆发,该病毒仅变种数量就有近百种,个人用户感染“熊猫烧香”的数量高达数百万,企业用户的感染数则更是难以统计。

“想哭”与“熊猫烧香”二者无论从原理还是形式都极其相似,但不同的是,“熊猫烧香”的制造者是为了名,而“想哭”的发布者是为了钱。

全球超过30万台电脑被勒索

“想哭”爆发后,各个国家纷纷中招。

截至目前,长江商报记者能够查证到的公开信息显示,美国总统国土安全与反恐助理托马斯·博塞特15日在白宫记者会上说,已感染150个国家超过30万台电脑。

按照“想哭”开出的最低300美元赎金(勒索者要求使用比特币支付)来算,30万台电脑的赎金总金额最低也达到了9000万美元。

“想哭”并没有这么仁慈。

最低赎金是300美元起步,3天后不支付,赎金就涨到600美元,7天后不支付赎金就“撕票”,被锁定的重要文件将被永久销毁。

根据腾讯安全团队提供的数据显示来看,还是有很多人缴纳赎金。截止到5月13日晚,全球有90人交了赎金,总计13.895比特币,总价值超过了14万美元;到5月14日下午4点半,缴纳赎金的人数上升至116人。

无奈的是,勒索者要求使用的比特币可匿名支付,根本就追踪不到病毒来源和其背后的勒索者。

有比特币的可以快速支付,没有的怎么办?

这个问题的答案有些嘲讽,勒索者很“贴心”。在勒索页面附有教程,直接可以通过网银从分销商那里购买比特币,并且支持十几种语言,做出了非常完整的提示。

来势如此凶猛的“想哭”,它究竟是什么?

“想哭”只是一颗被枪射出的子弹

与医学上的“病毒”不同,计算机病毒不是天然存在的,是人为利用计算机软件和硬件所固有的脆弱性,编制的一组指令集或程序代码。

在计算机病毒的定义中,所提及的人为因素,所指的也就正式泛指对计算机科学、编程和设计方面具有高度理解的人,外界对其称谓则是:黑客。此次“想哭”勒索病毒的事件背后,也正是这样一群黑客在主导,并以此获利。

那么,“想哭”是如何植入电脑进行勒索的呢?卡巴斯基安全实验室此前发布的报告显示,此次“想哭”事件中,黑客所使用的网络攻击工具“永恒之蓝”,来源于美国国家安全局泄露的网络武器库。

在黑客看来,此次的事件并不意外,一位不愿透露姓名的黑客在接受长江商报记者采访时表示,“自从美国国家安全局的网络武器库在4月中旬公开泄露消息以后,出现蠕虫传播就已经是黑客圈意料之中的事,无非就是什么时间出现、哪类病毒会首先使用那种网络武器的差别。”

该黑客说,相比其他勒索病毒,“想哭”之所以造成巨大影响,最重要的并不是病毒本身,而是它使用了“永恒之蓝”进行远程攻击,“通俗来说,‘永恒之蓝’是枪,‘想哭’是子弹,如果没有‘永恒之蓝’的发射,勒索病毒也不会有超强的传播能力。同样,如果‘永恒之蓝’发射的不是勒索病毒,而是其他更隐蔽的病毒,一般人根本无法察觉电脑已经被攻击入侵过。”

个人用户的九项注意

1、定期备份重要文件,最好能在U盘、本地、云盘都拷贝一份,以防不测;

2、操作系统和IE、Flash等常用软件应及时打好补丁,以免病毒利用漏洞自动入侵电脑;

3、不要随意公开邮箱地址,邮箱密码不要使用弱密码,尽量定期修改;

4、不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入电脑;

5、电脑中应安装并启用专业的安全软件,及时更新并定期进行安全扫描。

6、禁止Office宏功能,需要开启宏时,需要确认文件来源是否可信;

7、切勿轻易打开来源不可靠的网址;

8、切勿轻易打开陌生人发来的可疑文件及邮件附件;

9、360安全卫士用户可以开启“360文档保护功能”和“360反勒索服务”可以对文档进行保护,而且同时开启这两个功能后,如果在没有看到安全卫士的任何风险提示的情况下感染敲诈者木马,360可以代替用户向黑客缴纳最高3个比特币(约13000元人民币)的赎金。



长江商报消息 已知最早的勒索病毒出现于1989年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo),最近几年随着用户使用终端方式的改变、比特币等电子货币的发明和匿名通信网络的兴起,勒索病毒的传播、劫持和敲诈方式也发生了很大的变化。

如今勒索病毒的攻击范围已经涵盖了Windows、Mac、Android、iOS和虚拟桌面。如果已被感染的设备连接了企业的网络共享存储,那么共享存储中的文件也可能会被加密。攻击目标涉及大型企业、政府、银行、教育、私营企业等所有类型的企业和个人。

什么是勒索病毒?

捆绑传播发布:借助其他恶意软件传播渠道,与其他恶意软件捆绑发布传播;或者捆绑正常的软件进行传播,比如最近发现的首个针对苹果电脑的敲诈者病毒KeRanger就是通过Transmission下载网站捆绑在一些正常的软件传播。

2、坑式攻击:网络罪犯会将恶意软件植入到企业或个人经常访问的网站之中,一旦访问了这些网站,恶意程序会利用设备上的漏洞对其进行感染。

借助移动存储传播:借助U盘、移动硬盘、闪存卡等可移动存储介质传播。

网络钓鱼和垃圾邮件:网络罪犯通过伪造邮箱的方式向目标发送邮件,这些邮件中会包含具有威胁的附件或在邮件正文中加入钓鱼网址链接。

旧毒未去新毒又生

“永恒之蓝”这一攻击工具,对于病毒发布者来说,其技术难点在于:漏洞挖掘难度极高、漏洞利用水平极高、漏洞武器化水平极高,只有高水平团队投入大量资源才有可能实现。

而这一次,“永恒之蓝”所攻击的445文件共享端口在企业内网一般是开放的,否则无法使用打印机等办公应用,因此特别适合互联网/局域网的蠕虫式自动传播。

这也意味着,只要一台机器感染,就会成为攻击源,并自动扫描攻击其他有漏洞的电脑,而这类无需用户交互就能远程攻击的系统漏洞非常稀缺和罕见。

360首席安全工程师郑文彬向长江商报记者介绍到,永恒之蓝使用的漏洞就是Windows操作系统的漏洞,而且是危害级别最高的系统漏洞。永恒之蓝利用的漏洞已经在2017年3月修复,现在不能称为0day漏洞,可以说是Nday漏洞。而互联网上的攻击,大多是利用Nday漏洞实施的。也就是漏洞已经公开,所有不法分子都可以利用,但总是会有用户不打补丁。5月14日,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。

这个消息出现三天后,中国国家计算机病毒应急处理中心与亚信科技(中国)有限公司联合监测发现,一种名为"UIWIX"的勒索病毒新变种已在全球出现。

据腾讯安全反病毒实验室监测发现,新的勒索病毒UIWIX同样通过“永恒之蓝”漏洞(MS17-010)传播,病毒UIWIX感染后会将电脑上的文档等类型文件加密而成。UIWIX文件勒索比特币,同时该病毒攻击目标电脑后全程没有文件落地,更加难以防御。

虽然旧病毒还未平息,新变种病毒又接连袭来,但伴随着国产安全厂商的深入研究,已经为用户打造了一整套集漏洞免疫、病毒查杀、文件恢复的处置方式,用户对待勒索病毒不必太过惊慌。

“安全厂商及时响应,控制恶意病毒传播,是安全厂商的必备技能。但我们并不希望公众总是这样手忙脚乱。局域网用户在网络出口部署防火墙仍然可以拦截攻击,再有就是及时升级安全软件。”猎豹移动安全专家李铁军在接受长江商报记者采访时说道。

防范病毒远比事后补救更重要

在此次勒索病毒肆虐的事件中,尽管早在3月14日微软就已经针对系统的这一漏洞发布了安全更新,但是由于用户或者因为并未升级到最新版本的操作系统,或因未能进行自动更新,使得这一病毒的影响范围和爆发速度在与同类病毒相比毫不逊色。

对此,猎豹移动安全专家李铁军在接受记者采访时表示,“我觉得这个这次事件影响那么大的主要原因是没有打补丁的电脑仍然非常多,特别是对于组件有内部网络的局域网用户,本来他们应该有自己的补丁管理系统,但是从此次事件可以看到,却并未采用。”

面对这类大规模爆发的病毒,李铁军认为,最佳的防御方式是及时安装系统补丁,局域网用户需要在网络出口部署防火墙进行拦截攻击,终端用户则需要及时对安全软件进行升级。

360首席安全工程师郑文彬在谈到此次“想哭”勒索病毒对于机构用户影响更为严重的原因时谈到,“此次主要是一些不打补丁、不使用安全软件的单位内部或专用网络感染情况相对严重,因为很多人对此存在误区,认为内网隔离了就不会中毒,因此也放松了对网络威胁的警惕,这其实是错误的观念。如果边界的设备被感染,或者利用USB摆渡攻击等方式,隔离内网同样会受到威胁,而且往往会比普通个人电脑更脆弱。”

企业用户五大防护措施

1、不要轻易打开陌生人的邮件,特别是主题和附件包含Payment、Invoice字样的邮件;

2、可以逐步部署云桌面,实现集中维护,彻底避免此类攻击;

3、开启安全软件的实时防护功能和云安全查杀功能,并及时升级特征库;

4、开启天擎针对敲诈者病毒开发的文档保护功能,主动阻止恶意加密文档和图片的行为;

5、在天擎终端安全管理系统上开启云QVM引擎能有效增强终端对敲诈者病毒的拦截和查杀。

6、360天擎推出了敲诈先赔服务。对于所有360天擎政企用户,360企业安全承诺,如果用户在开启了360天擎敲诈先赔功能后,仍感染了敲诈者病毒,360企业安全将负责赔付赎金,为政企用户提供百万先赔保障。


责编:ZB

长江重磅排行榜
视频播报
滚动新闻
长江商报APP
长江商报战略合作伙伴