勒索病毒侵袭全球:开始的离奇 结束的诡异

2017-05-16 08:43:35 来源:互联网 人气: 次阅读 124 条评论

获知此消息的云纵首席科学家及研发副总裁郑昀忍不住在微博感叹,“这个事件从头到尾都像是一部电影,开始的离奇,结束的诡异。”但事情远未结束,现实证明KillSwitch的发现只是一个插曲。...

一场互联网领域的“生化危机”正在全球上演。令人不安的情况仍在继续:WannaCry病毒还在扩张自己的领地。这大概是世界上成名最快的一款互联网程序,从5月12日开始,在短短24小时内,由于罕见的传播速度以及严重的破坏性,勒索病毒WannaCry已经成为全球关注的焦点。

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。目前已经波及99个国家。

在WannaCry攻城拔寨的传播过程中,5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(KillSwitch)域名,意外的遏制了病毒的进一步大规模扩散。

勒索病毒侵袭全球:开始的离奇 结束的诡异

获知此消息的云纵首席科学家及研发副总裁郑昀忍不住在微博感叹,“这个事件从头到尾都像是一部电影,开始的离奇,结束的诡异。

但事情远未结束,现实证明KillSwitch的发现只是一个插曲。

5月14日,在停止开关被发现18小时后,国家网络与信息安全信息通报中心发布新变种预警:WannaCry2.0即将来临;与之前版本的不同是,这个变种取消了KillSwitch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。

截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。

同时,由于WannaCry大规模爆发于北京时间上周五晚8点,国内还有大量政企机构网络节点尚在关机状态。因此,今日周一开机已经是一场安全考验。

新的危险正在步步逼近,而人们目前对WannaCry病毒本身所知依然有限。

神秘谜团

WannaCry的传播路径是个谜团,互联网安全厂商们仍无法确切还原。

病毒最先在英国大规模爆发,影响范围波及医疗体系,一些手术被迫中止。国内,在病毒感染数据达到被监测机构注意到的阈值之前,首先让外界注意到这一病毒的,是国内社交网络上不少大学生反映学校网络故障的言论。

5月12日,多个高校发布了关于连接校园网的电脑大面积中勒索病毒的消息,一位来自桂林电子科技大学的同学对腾讯科技证实,该校某创新实验基地几百台电脑由于受到勒索病毒的攻击,已经陷入瘫痪。

感染范围很快从校园网蔓延出去,根据统计,国内包括校园网用户、机场、银行、加油站、医院、警察、出入境等事业单位都受到了攻击并且中毒。

腾讯安全团队在溯源中发现,病毒爆发是在校园网用户里,但从哪开始不详。猎豹移动安全专家李铁军(微博)则表示,病毒的来源和传播路径目前没有结论,什么时间潜伏进内网的,都需要更多研究来分析。

好消息一度在病毒大肆传播24小时后传出,12日晚间8点多,有消息称WannaCry被互联网安全人员找到阻止其传播的方法,这一消息随后得到国内多家安全厂商的证实。

被意外发现的KillSwitch同样是个谜团。

没人能回答病毒作者因何为WannaCry设置了停止开关,安全专家们只能给出如下推测:可能是编码错误,也可能是作者没想到;可能源于作者担心病毒无克制传播。总之,没有定论。

KillSwitch是WannaCry众多谜团中的一个,同样让人感到困惑的,还有WannaCry的勒索行为本身。

病毒被传播后,缴纳赎金的人数在持续增长,根据腾讯安全团队提供的数据,截至5月13日晚间,全球共有90人交了赎金,总计13.895比特币,价值超过14万,到了5月14日下午四点半,缴纳赎金的人数增长至116人。

尽管目前安全专家们仍未找到解密病毒感染文件的方法,但互联网安全专家们坚持建议受感染用户不要缴纳赎金。

原因在于,“WannaCry的勒索行为似乎无法构成一个完整的业务回路,”反病毒引擎和解决方案厂商安天实验室创始人、首席技术架构师肖新光介绍,在缴纳赎金解密文件这个问题上,“我们的判断和网上的传闻(缴纳赎金成功解密)有出入,即支付了赎金也无法解密。因为每个用户都是个性化的密钥,意味着受害人需要向攻击者提供标识身份的信息。”

而实际上受害者在缴纳赎金的过程中无法提供标识身份的信息,因此,这意味着即使受害者交了赎金,依然无法获得解密。

对于这种情况,肖新光分析原因可能在于“我们的分析过程中不够缜密”。但腾讯安全团队得出了同样的结论:经验证,交钱的过程,作者并没有核实受害者的逻辑,只是收了钱,并没有帮忙解密。这显然并非巧合。

肖新光给出另外两种可能的推测:“或者可能是作者根本就没有想解密;还有一种可能是,这是事件本身不是以勒索为目的,而是以勒索者的表现达到其他目的。”

一个谜团接着另一个谜团,解开它们是战胜WannaCry的关键。

互联网“生化危机”

戏剧般的场景正在由0和1组成的二进制世界中发生,离奇程度堪比电影。

WannaCry来势汹汹,可能会成为有史以来危害最大的蠕虫病毒。腾讯安全团队将WannaCry的传播方式和影响力与此前声名大噪的“冲击波”、“Conficker”对等。

冲击波病毒(W32.Blaster.Worm)是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发,由于冲击波病毒肆虐全球,部分运营商在主干网络上封禁了445端口。五年后,Conficker蠕虫病毒于2008年“袭”卷全球的,当时有近200个国家的至少900万台电脑被感染。

Conficker爆发后近十年的平静随着WannaCry的发作被打破,腾讯安全团队介绍,WannaCry与“冲击波”、“Conficker”不同的地方在于,其危害程度远超当时的病毒,因为该病毒会加密用户机器上的所有文档,损失相当惨重。

几乎所有互联网安全团队们都在通宵加班,病毒传播速度非常快,安全专家们必须争取时间。

WannaCry的作者看上去野心勃勃,据了解,其设置了27国语言,这并不常见。

肖新光介绍,最早的勒索者就用英文版,后来逐渐的扩散到不同的国家,为了获得更大的收益,从语言包的数量上对勒索软件来说是比较多的,是一个渐进的过程。

但27种语言仍旧是不同寻常的。李铁军对腾讯科技介绍,很长时间以来,勒索病毒都支持多国语言,但一般的勒索病毒支持的语言为6、7种,大部分在10种以内,“这个版本支持的语言真多。”

中文版本中,WannaCry以流畅的表述威胁着中毒用户:“对半年以上没钱付款的穷人,会有活动免费恢复,能否轮到你,就要看您的运气怎么样了。”对于中文解析流畅是否意味着病毒作者可能来自中国的猜测,安全专家们分析WannaCry有可能是团队作案,团队成员可能遍布不同国家。据腾讯安全团队介绍,目前来看受WannaCry危害最大的应是俄罗斯。

WannaCry的实际传播情况确实没有辜负其精心准备的27种语言,目前,已经有近百个国家遭遇病毒攻击。

蠕虫病毒的特性是WannaCry得以迅速传播的重要原因,与其他病毒相比,蠕虫病毒的传播速度要快太多,因为病毒自身可以寻找传播下一个可攻击的目标。

WannaCry得以获得如此快速传播的另一个重要原因在于,采用了前不久美国国家安全局NSA被泄漏出来的MS17-010漏洞。

在肖新光看来,WannaCry得以产生如此传播效果的主要原因在于“使用了一个较新的对多个Windows版本有通吃能力的远程溢出漏洞,这一漏洞本来是情报机构高度隐秘网络军火,但因失窃流失导致被多方利用。”

因此,肖新光对WannaCry事件的定义是“军火级的漏洞被以非受控的方式使用。”

美国国家情报机关的涉入让WannaCry变得更加复杂,国家权力机关的涉入已经引发外界对网络安全的担忧,逃亡至俄罗斯的NSA前雇员爱德华·斯诺登5月13日发布推特建议国会质询NSA,“鉴于今日的攻击,[email protected],[email protected]