勒索病毒侵袭全球:开始的离奇 结束的诡异
获知此消息的云纵首席科学家及研发副总裁郑昀忍不住在微博感叹,“这个事件从头到尾都像是一部电影,开始的离奇,结束的诡异。”但事情远未结束,现实证明KillSwitch的发现只是一个插曲。...
一场互联网领域的“生化危机”正在全球上演。令人不安的情况仍在继续:WannaCry病毒还在扩张自己的领地。这大概是世界上成名最快的一款互联网程序,从5月12日开始,在短短24小时内,由于罕见的传播速度以及严重的破坏性,勒索病毒WannaCry已经成为全球关注的焦点。
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。目前已经波及99个国家。
在WannaCry攻城拔寨的传播过程中,5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(KillSwitch)域名,意外的遏制了病毒的进一步大规模扩散。
获知此消息的云纵首席科学家及研发副总裁郑昀忍不住在微博感叹,“这个事件从头到尾都像是一部电影,开始的离奇,结束的诡异。”
但事情远未结束,现实证明KillSwitch的发现只是一个插曲。
5月14日,在停止开关被发现18小时后,国家网络与信息安全信息通报中心发布新变种预警:WannaCry2.0即将来临;与之前版本的不同是,这个变种取消了KillSwitch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。
截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。
同时,由于WannaCry大规模爆发于北京时间上周五晚8点,国内还有大量政企机构网络节点尚在关机状态。因此,今日周一开机已经是一场安全考验。
新的危险正在步步逼近,而人们目前对WannaCry病毒本身所知依然有限。
神秘谜团
WannaCry的传播路径是个谜团,互联网安全厂商们仍无法确切还原。
病毒最先在英国大规模爆发,影响范围波及医疗体系,一些手术被迫中止。国内,在病毒感染数据达到被监测机构注意到的阈值之前,首先让外界注意到这一病毒的,是国内社交网络上不少大学生反映学校网络故障的言论。
5月12日,多个高校发布了关于连接校园网的电脑大面积中勒索病毒的消息,一位来自桂林电子科技大学的同学对腾讯科技证实,该校某创新实验基地几百台电脑由于受到勒索病毒的攻击,已经陷入瘫痪。
感染范围很快从校园网蔓延出去,根据统计,国内包括校园网用户、机场、银行、加油站、医院、警察、出入境等事业单位都受到了攻击并且中毒。
腾讯安全团队在溯源中发现,病毒爆发是在校园网用户里,但从哪开始不详。猎豹移动安全专家李铁军(微博)则表示,病毒的来源和传播路径目前没有结论,什么时间潜伏进内网的,都需要更多研究来分析。
好消息一度在病毒大肆传播24小时后传出,12日晚间8点多,有消息称WannaCry被互联网安全人员找到阻止其传播的方法,这一消息随后得到国内多家安全厂商的证实。
被意外发现的KillSwitch同样是个谜团。
没人能回答病毒作者因何为WannaCry设置了停止开关,安全专家们只能给出如下推测:可能是编码错误,也可能是作者没想到;可能源于作者担心病毒无克制传播。总之,没有定论。
KillSwitch是WannaCry众多谜团中的一个,同样让人感到困惑的,还有WannaCry的勒索行为本身。
病毒被传播后,缴纳赎金的人数在持续增长,根据腾讯安全团队提供的数据,截至5月13日晚间,全球共有90人交了赎金,总计13.895比特币,价值超过14万,到了5月14日下午四点半,缴纳赎金的人数增长至116人。
尽管目前安全专家们仍未找到解密病毒感染文件的方法,但互联网安全专家们坚持建议受感染用户不要缴纳赎金。
原因在于,“WannaCry的勒索行为似乎无法构成一个完整的业务回路,”反病毒引擎和解决方案厂商安天实验室创始人、首席技术架构师肖新光介绍,在缴纳赎金解密文件这个问题上,“我们的判断和网上的传闻(缴纳赎金成功解密)有出入,即支付了赎金也无法解密。因为每个用户都是个性化的密钥,意味着受害人需要向攻击者提供标识身份的信息。”
而实际上受害者在缴纳赎金的过程中无法提供标识身份的信息,因此,这意味着即使受害者交了赎金,依然无法获得解密。
对于这种情况,肖新光分析原因可能在于“我们的分析过程中不够缜密”。但腾讯安全团队得出了同样的结论:经验证,交钱的过程,作者并没有核实受害者的逻辑,只是收了钱,并没有帮忙解密。这显然并非巧合。
肖新光给出另外两种可能的推测:“或者可能是作者根本就没有想解密;还有一种可能是,这是事件本身不是以勒索为目的,而是以勒索者的表现达到其他目的。”
一个谜团接着另一个谜团,解开它们是战胜WannaCry的关键。
互联网“生化危机”
戏剧般的场景正在由0和1组成的二进制世界中发生,离奇程度堪比电影。
WannaCry来势汹汹,可能会成为有史以来危害最大的蠕虫病毒。腾讯安全团队将WannaCry的传播方式和影响力与此前声名大噪的“冲击波”、“Conficker”对等。
冲击波病毒(W32.Blaster.Worm)是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发,由于冲击波病毒肆虐全球,部分运营商在主干网络上封禁了445端口。五年后,Conficker蠕虫病毒于2008年“袭”卷全球的,当时有近200个国家的至少900万台电脑被感染。
Conficker爆发后近十年的平静随着WannaCry的发作被打破,腾讯安全团队介绍,WannaCry与“冲击波”、“Conficker”不同的地方在于,其危害程度远超当时的病毒,因为该病毒会加密用户机器上的所有文档,损失相当惨重。
几乎所有互联网安全团队们都在通宵加班,病毒传播速度非常快,安全专家们必须争取时间。
WannaCry的作者看上去野心勃勃,据了解,其设置了27国语言,这并不常见。
肖新光介绍,最早的勒索者就用英文版,后来逐渐的扩散到不同的国家,为了获得更大的收益,从语言包的数量上对勒索软件来说是比较多的,是一个渐进的过程。
但27种语言仍旧是不同寻常的。李铁军对腾讯科技介绍,很长时间以来,勒索病毒都支持多国语言,但一般的勒索病毒支持的语言为6、7种,大部分在10种以内,“这个版本支持的语言真多。”
中文版本中,WannaCry以流畅的表述威胁着中毒用户:“对半年以上没钱付款的穷人,会有活动免费恢复,能否轮到你,就要看您的运气怎么样了。”对于中文解析流畅是否意味着病毒作者可能来自中国的猜测,安全专家们分析WannaCry有可能是团队作案,团队成员可能遍布不同国家。据腾讯安全团队介绍,目前来看受WannaCry危害最大的应是俄罗斯。
WannaCry的实际传播情况确实没有辜负其精心准备的27种语言,目前,已经有近百个国家遭遇病毒攻击。
蠕虫病毒的特性是WannaCry得以迅速传播的重要原因,与其他病毒相比,蠕虫病毒的传播速度要快太多,因为病毒自身可以寻找传播下一个可攻击的目标。
WannaCry得以获得如此快速传播的另一个重要原因在于,采用了前不久美国国家安全局NSA被泄漏出来的MS17-010漏洞。
在肖新光看来,WannaCry得以产生如此传播效果的主要原因在于“使用了一个较新的对多个Windows版本有通吃能力的远程溢出漏洞,这一漏洞本来是情报机构高度隐秘网络军火,但因失窃流失导致被多方利用。”
因此,肖新光对WannaCry事件的定义是“军火级的漏洞被以非受控的方式使用。”
美国国家情报机关的涉入让WannaCry变得更加复杂,国家权力机关的涉入已经引发外界对网络安全的担忧,逃亡至俄罗斯的NSA前雇员爱德华·斯诺登5月13日发布推特建议国会质询NSA,“鉴于今日的攻击,[email protected],[email protected]
-
勒索病毒已蔓延至手机 安卓和iOS都没跑掉
影响广泛的勒索病毒弄的全球人心惶惶,而最新消息称,受到这种流氓软件影响的并非只有Windows操作系统,智能手机也已经沦陷。安全服务商Trend Micro发布警告称,勒索病毒目前已经蔓延到了Android和进行过越狱操作的iOS系统。...
-
金山毒比特币勒索病毒免疫工具 金山毒免费恢复文件教程
面对肆虐的Onion、WNCRY两类勒索病毒变种在全国范围内出现爆发的情况,金山毒霸中心已紧急发布比特币勒索病毒免疫工具及应急处置方案。据悉...
-
勒索病毒已被玩坏 勒索病毒迄今已攻击至少150个国家
话说从前两天开始全世界各地不少大学高校的电脑都被一种勒索比特币的病毒给攻击,从昨天开始,我国各地的不少企业及个人电脑也遭到重创,不...
-
勒索病毒肆虐全球 其实完全可以避免!
从5月12日开始,一种名为WannaCry(想哭)及其变种的病毒肆虐全球,最开始受到关注是因英国国家医疗服务体系(NHS)受攻击瘫痪,导致几十家医...
-
勒索病毒是什么 如何预防 勒索病毒最全防御攻略、补丁下载
5月12日起,Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,大量个人和企业、机构用户中招。与以往不同的是,这次...
-
苹果手机会中勒索病毒吗 安卓手机会中勒索病毒吗?
苹果手机会中比特币病毒吗?苹果手机会中勒索病毒吗?最近全球的计算机都遭受到了此病毒的侵入,很多的用户纷纷表示担心,自己的手机会不会...