長(zhǎng)江商報(bào)消息 編者按:
在網(wǎng)絡(luò)發(fā)達(dá)的現(xiàn)在�����,我們盡情地享受著科技給生活帶來(lái)的便捷:無(wú)需帶現(xiàn)金出門(mén)����,到處都可以掏出手機(jī)完成支付;無(wú)需收存大量的文件紙張�,打開(kāi)電腦就能隨時(shí)調(diào)用資料……
也許是放松的太久了�,我們忘記了�,有一個(gè)破壞者叫病毒。
5月12日晚��,wannacry(以下稱(chēng)為“想哭”)勒索病毒在全球近百個(gè)國(guó)家和地區(qū)爆發(fā)����。校園系統(tǒng)中招,準(zhǔn)備畢業(yè)答辯的學(xué)生們���,存在電腦中的論文無(wú)法打開(kāi)了��;接下來(lái)����,中石油的部分加油站線上支付功能受到影響��;多地出入境�����、派出所等網(wǎng)絡(luò)疑似遭遇病毒襲擊�。
中國(guó)國(guó)家信息安全漏洞庫(kù)(CNNVD)報(bào)告稱(chēng),此次網(wǎng)絡(luò)攻擊涉及百余個(gè)國(guó)家和地區(qū)的政府��、電力、電信�、醫(yī)療機(jī)構(gòu)等重要信息系統(tǒng)及個(gè)人電腦,最嚴(yán)重區(qū)域集中在美國(guó)���、歐洲����、澳洲等��。
這是一場(chǎng)戰(zhàn)爭(zhēng)�,發(fā)生在互聯(lián)網(wǎng)的無(wú)聲戰(zhàn)場(chǎng)�。策劃 龍威
□本報(bào)記者 雷瑋 見(jiàn)習(xí)記者 柳鶯
如果你在用電腦時(shí),屏幕突然出現(xiàn)一個(gè)紅白界面��,還有一大串英文��。那么�����,你的電腦肯定是中招了�!你的文件已經(jīng)被鎖住,只有繳納一定的贖金�,才能解鎖�����!這就是近段時(shí)間大名鼎鼎的“想哭”��。
這不禁讓人想到十年前����,“熊貓燒香”突然爆發(fā)����,該病毒僅變種數(shù)量就有近百種,個(gè)人用戶(hù)感染“熊貓燒香”的數(shù)量高達(dá)數(shù)百萬(wàn)���,企業(yè)用戶(hù)的感染數(shù)則更是難以統(tǒng)計(jì)����。
“想哭”與“熊貓燒香”二者無(wú)論從原理還是形式都極其相似��,但不同的是��,“熊貓燒香”的制造者是為了名�����,而“想哭”的發(fā)布者是為了錢(qián)。
全球超過(guò)30萬(wàn)臺(tái)電腦被勒索
“想哭”爆發(fā)后����,各個(gè)國(guó)家紛紛中招。
截至目前��,長(zhǎng)江商報(bào)記者能夠查證到的公開(kāi)信息顯示����,美國(guó)總統(tǒng)國(guó)土安全與反恐助理托馬斯·博塞特15日在白宮記者會(huì)上說(shuō),已感染150個(gè)國(guó)家超過(guò)30萬(wàn)臺(tái)電腦���。
按照“想哭”開(kāi)出的最低300美元贖金(勒索者要求使用比特幣支付)來(lái)算����,30萬(wàn)臺(tái)電腦的贖金總金額最低也達(dá)到了9000萬(wàn)美元�����。
“想哭”并沒(méi)有這么仁慈���。
最低贖金是300美元起步,3天后不支付,贖金就漲到600美元����,7天后不支付贖金就“撕票”,被鎖定的重要文件將被永久銷(xiāo)毀�����。
根據(jù)騰訊安全團(tuán)隊(duì)提供的數(shù)據(jù)顯示來(lái)看����,還是有很多人繳納贖金。截止到5月13日晚��,全球有90人交了贖金�,總計(jì)13.895比特幣,總價(jià)值超過(guò)了14萬(wàn)美元��;到5月14日下午4點(diǎn)半�,繳納贖金的人數(shù)上升至116人。
無(wú)奈的是�,勒索者要求使用的比特幣可匿名支付,根本就追蹤不到病毒來(lái)源和其背后的勒索者�。
有比特幣的可以快速支付,沒(méi)有的怎么辦�?
這個(gè)問(wèn)題的答案有些嘲諷���,勒索者很“貼心”。在勒索頁(yè)面附有教程��,直接可以通過(guò)網(wǎng)銀從分銷(xiāo)商那里購(gòu)買(mǎi)比特幣�����,并且支持十幾種語(yǔ)言����,做出了非常完整的提示。
來(lái)勢(shì)如此兇猛的“想哭”���,它究竟是什么��?
“想哭”只是一顆被槍射出的子彈
與醫(yī)學(xué)上的“病毒”不同����,計(jì)算機(jī)病毒不是天然存在的��,是人為利用計(jì)算機(jī)軟件和硬件所固有的脆弱性��,編制的一組指令集或程序代碼����。
在計(jì)算機(jī)病毒的定義中,所提及的人為因素����,所指的也就正式泛指對(duì)計(jì)算機(jī)科學(xué)、編程和設(shè)計(jì)方面具有高度理解的人����,外界對(duì)其稱(chēng)謂則是:黑客。此次“想哭”勒索病毒的事件背后����,也正是這樣一群黑客在主導(dǎo),并以此獲利���。
那么�����,“想哭”是如何植入電腦進(jìn)行勒索的呢��?卡巴斯基安全實(shí)驗(yàn)室此前發(fā)布的報(bào)告顯示�,此次“想哭”事件中�,黑客所使用的網(wǎng)絡(luò)攻擊工具“永恒之藍(lán)”����,來(lái)源于美國(guó)國(guó)家安全局泄露的網(wǎng)絡(luò)武器庫(kù)����。
在黑客看來(lái),此次的事件并不意外��,一位不愿透露姓名的黑客在接受長(zhǎng)江商報(bào)記者采訪時(shí)表示�,“自從美國(guó)國(guó)家安全局的網(wǎng)絡(luò)武器庫(kù)在4月中旬公開(kāi)泄露消息以后,出現(xiàn)蠕蟲(chóng)傳播就已經(jīng)是黑客圈意料之中的事����,無(wú)非就是什么時(shí)間出現(xiàn)、哪類(lèi)病毒會(huì)首先使用那種網(wǎng)絡(luò)武器的差別�。”
該黑客說(shuō)����,相比其他勒索病毒,“想哭”之所以造成巨大影響�����,最重要的并不是病毒本身��,而是它使用了“永恒之藍(lán)”進(jìn)行遠(yuǎn)程攻擊����,“通俗來(lái)說(shuō),‘永恒之藍(lán)’是槍?zhuān)肟蕖亲訌���,如果沒(méi)有‘永恒之藍(lán)’的發(fā)射�����,勒索病毒也不會(huì)有超強(qiáng)的傳播能力�����。同樣��,如果‘永恒之藍(lán)’發(fā)射的不是勒索病毒�,而是其他更隱蔽的病毒�,一般人根本無(wú)法察覺(jué)電腦已經(jīng)被攻擊入侵過(guò)����!
個(gè)人用戶(hù)的九項(xiàng)注意
1、定期備份重要文件�,最好能在U盤(pán)���、本地、云盤(pán)都拷貝一份�����,以防不測(cè)����;
2、操作系統(tǒng)和IE���、Flash等常用軟件應(yīng)及時(shí)打好補(bǔ)丁���,以免病毒利用漏洞自動(dòng)入侵電腦;
3�����、不要隨意公開(kāi)郵箱地址�����,郵箱密碼不要使用弱密碼,盡量定期修改����;
4、不要隨意將來(lái)歷不明的U盤(pán)����、移動(dòng)硬盤(pán)�����、閃存卡等移動(dòng)存儲(chǔ)設(shè)備插入電腦����;
5、電腦中應(yīng)安裝并啟用專(zhuān)業(yè)的安全軟件�,及時(shí)更新并定期進(jìn)行安全掃描。
6�����、禁止Office宏功能���,需要開(kāi)啟宏時(shí)��,需要確認(rèn)文件來(lái)源是否可信���;
7����、切勿輕易打開(kāi)來(lái)源不可靠的網(wǎng)址����;
8、切勿輕易打開(kāi)陌生人發(fā)來(lái)的可疑文件及郵件附件��;
9����、360安全衛(wèi)士用戶(hù)可以開(kāi)啟“360文檔保護(hù)功能”和“360反勒索服務(wù)”可以對(duì)文檔進(jìn)行保護(hù),而且同時(shí)開(kāi)啟這兩個(gè)功能后�,如果在沒(méi)有看到安全衛(wèi)士的任何風(fēng)險(xiǎn)提示的情況下感染敲詐者木馬,360可以代替用戶(hù)向黑客繳納最高3個(gè)比特幣(約13000元人民幣)的贖金��。
長(zhǎng)江商報(bào)消息 已知最早的勒索病毒出現(xiàn)于1989年����,名為“艾滋病信息木馬”(Trojan/DOS.AidsInfo),最近幾年隨著用戶(hù)使用終端方式的改變��、比特幣等電子貨幣的發(fā)明和匿名通信網(wǎng)絡(luò)的興起,勒索病毒的傳播���、劫持和敲詐方式也發(fā)生了很大的變化����。
如今勒索病毒的攻擊范圍已經(jīng)涵蓋了Windows����、Mac�����、Android����、iOS和虛擬桌面。如果已被感染的設(shè)備連接了企業(yè)的網(wǎng)絡(luò)共享存儲(chǔ)�,那么共享存儲(chǔ)中的文件也可能會(huì)被加密。攻擊目標(biāo)涉及大型企業(yè)���、政府�����、銀行��、教育�、私營(yíng)企業(yè)等所有類(lèi)型的企業(yè)和個(gè)人。
什么是勒索病毒����?
捆綁傳播發(fā)布:借助其他惡意軟件傳播渠道,與其他惡意軟件捆綁發(fā)布傳播�;或者捆綁正常的軟件進(jìn)行傳播,比如最近發(fā)現(xiàn)的首個(gè)針對(duì)蘋(píng)果電腦的敲詐者病毒KeRanger就是通過(guò)Transmission下載網(wǎng)站捆綁在一些正常的軟件傳播����。
2、坑式攻擊:網(wǎng)絡(luò)罪犯會(huì)將惡意軟件植入到企業(yè)或個(gè)人經(jīng)常訪問(wèn)的網(wǎng)站之中��,一旦訪問(wèn)了這些網(wǎng)站�����,惡意程序會(huì)利用設(shè)備上的漏洞對(duì)其進(jìn)行感染�。
借助移動(dòng)存儲(chǔ)傳播:借助U盤(pán)、移動(dòng)硬盤(pán)����、閃存卡等可移動(dòng)存儲(chǔ)介質(zhì)傳播����。
網(wǎng)絡(luò)釣魚(yú)和垃圾郵件:網(wǎng)絡(luò)罪犯通過(guò)偽造郵箱的方式向目標(biāo)發(fā)送郵件��,這些郵件中會(huì)包含具有威脅的附件或在郵件正文中加入釣魚(yú)網(wǎng)址鏈接����。
舊毒未去新毒又生
“永恒之藍(lán)”這一攻擊工具,對(duì)于病毒發(fā)布者來(lái)說(shuō)���,其技術(shù)難點(diǎn)在于:漏洞挖掘難度極高�����、漏洞利用水平極高、漏洞武器化水平極高�����,只有高水平團(tuán)隊(duì)投入大量資源才有可能實(shí)現(xiàn)��。
而這一次�����,“永恒之藍(lán)”所攻擊的445文件共享端口在企業(yè)內(nèi)網(wǎng)一般是開(kāi)放的,否則無(wú)法使用打印機(jī)等辦公應(yīng)用���,因此特別適合互聯(lián)網(wǎng)/局域網(wǎng)的蠕蟲(chóng)式自動(dòng)傳播��。
這也意味著�����,只要一臺(tái)機(jī)器感染�,就會(huì)成為攻擊源�,并自動(dòng)掃描攻擊其他有漏洞的電腦,而這類(lèi)無(wú)需用戶(hù)交互就能遠(yuǎn)程攻擊的系統(tǒng)漏洞非常稀缺和罕見(jiàn)����。
360首席安全工程師鄭文彬向長(zhǎng)江商報(bào)記者介紹到,永恒之藍(lán)使用的漏洞就是Windows操作系統(tǒng)的漏洞�����,而且是危害級(jí)別最高的系統(tǒng)漏洞���。永恒之藍(lán)利用的漏洞已經(jīng)在2017年3月修復(fù)�,現(xiàn)在不能稱(chēng)為0day漏洞��,可以說(shuō)是Nday漏洞。而互聯(lián)網(wǎng)上的攻擊�����,大多是利用Nday漏洞實(shí)施的�����。也就是漏洞已經(jīng)公開(kāi)��,所有不法分子都可以利用����,但總是會(huì)有用戶(hù)不打補(bǔ)丁。5月14日���,北京市委網(wǎng)信辦���、北京市公安局�����、北京市經(jīng)信委聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲(chóng)出現(xiàn)變種及處置工作建議的通知》�����。《通知》指出��,有關(guān)部門(mén)監(jiān)測(cè)發(fā)現(xiàn)��,WannaCry勒索蠕蟲(chóng)出現(xiàn)了變種:WannaCry 2.0�����,與之前版本的不同是����,這個(gè)變種取消了所謂的Kill Switch,不能通過(guò)注冊(cè)某個(gè)域名來(lái)關(guān)閉變種勒索蠕蟲(chóng)的傳播����。該變種的傳播速度可能會(huì)更快,該變種的有關(guān)處置方法與之前版本相同���,建議立即進(jìn)行關(guān)注和處置��。
這個(gè)消息出現(xiàn)三天后��,中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心與亞信科技(中國(guó))有限公司聯(lián)合監(jiān)測(cè)發(fā)現(xiàn)���,一種名為"UIWIX"的勒索病毒新變種已在全球出現(xiàn)���。
據(jù)騰訊安全反病毒實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn),新的勒索病毒UIWIX同樣通過(guò)“永恒之藍(lán)”漏洞(MS17-010)傳播�����,病毒UIWIX感染后會(huì)將電腦上的文檔等類(lèi)型文件加密而成����。UIWIX文件勒索比特幣,同時(shí)該病毒攻擊目標(biāo)電腦后全程沒(méi)有文件落地��,更加難以防御����。
雖然舊病毒還未平息,新變種病毒又接連襲來(lái)����,但伴隨著國(guó)產(chǎn)安全廠商的深入研究,已經(jīng)為用戶(hù)打造了一整套集漏洞免疫��、病毒查殺����、文件恢復(fù)的處置方式,用戶(hù)對(duì)待勒索病毒不必太過(guò)驚慌��。
“安全廠商及時(shí)響應(yīng)��,控制惡意病毒傳播�,是安全廠商的必備技能。但我們并不希望公眾總是這樣手忙腳亂����。局域網(wǎng)用戶(hù)在網(wǎng)絡(luò)出口部署防火墻仍然可以攔截攻擊,再有就是及時(shí)升級(jí)安全軟件����。”獵豹移動(dòng)安全專(zhuān)家李鐵軍在接受長(zhǎng)江商報(bào)記者采訪時(shí)說(shuō)道����。
防范病毒遠(yuǎn)比事后補(bǔ)救更重要
在此次勒索病毒肆虐的事件中,盡管早在3月14日微軟就已經(jīng)針對(duì)系統(tǒng)的這一漏洞發(fā)布了安全更新�����,但是由于用戶(hù)或者因?yàn)椴⑽瓷?jí)到最新版本的操作系統(tǒng),或因未能進(jìn)行自動(dòng)更新��,使得這一病毒的影響范圍和爆發(fā)速度在與同類(lèi)病毒相比毫不遜色�����。
對(duì)此�����,獵豹移動(dòng)安全專(zhuān)家李鐵軍在接受記者采訪時(shí)表示����,“我覺(jué)得這個(gè)這次事件影響那么大的主要原因是沒(méi)有打補(bǔ)丁的電腦仍然非常多,特別是對(duì)于組件有內(nèi)部網(wǎng)絡(luò)的局域網(wǎng)用戶(hù)���,本來(lái)他們應(yīng)該有自己的補(bǔ)丁管理系統(tǒng)����,但是從此次事件可以看到���,卻并未采用������!
面對(duì)這類(lèi)大規(guī)模爆發(fā)的病毒�����,李鐵軍認(rèn)為����,最佳的防御方式是及時(shí)安裝系統(tǒng)補(bǔ)丁,局域網(wǎng)用戶(hù)需要在網(wǎng)絡(luò)出口部署防火墻進(jìn)行攔截攻擊��,終端用戶(hù)則需要及時(shí)對(duì)安全軟件進(jìn)行升級(jí)��。
360首席安全工程師鄭文彬在談到此次“想哭”勒索病毒對(duì)于機(jī)構(gòu)用戶(hù)影響更為嚴(yán)重的原因時(shí)談到�����,“此次主要是一些不打補(bǔ)丁���、不使用安全軟件的單位內(nèi)部或?qū)S镁W(wǎng)絡(luò)感染情況相對(duì)嚴(yán)重�,因?yàn)楹芏嗳藢?duì)此存在誤區(qū)�����,認(rèn)為內(nèi)網(wǎng)隔離了就不會(huì)中毒,因此也放松了對(duì)網(wǎng)絡(luò)威脅的警惕���,這其實(shí)是錯(cuò)誤的觀念�����。如果邊界的設(shè)備被感染���,或者利用USB擺渡攻擊等方式,隔離內(nèi)網(wǎng)同樣會(huì)受到威脅�,而且往往會(huì)比普通個(gè)人電腦更脆弱��!
企業(yè)用戶(hù)五大防護(hù)措施
1�、不要輕易打開(kāi)陌生人的郵件,特別是主題和附件包含Payment��、Invoice字樣的郵件���;
2�、可以逐步部署云桌面���,實(shí)現(xiàn)集中維護(hù)��,徹底避免此類(lèi)攻擊���;
3���、開(kāi)啟安全軟件的實(shí)時(shí)防護(hù)功能和云安全查殺功能,并及時(shí)升級(jí)特征庫(kù)���;
4、開(kāi)啟天擎針對(duì)敲詐者病毒開(kāi)發(fā)的文檔保護(hù)功能�����,主動(dòng)阻止惡意加密文檔和圖片的行為��;
5���、在天擎終端安全管理系統(tǒng)上開(kāi)啟云QVM引擎能有效增強(qiáng)終端對(duì)敲詐者病毒的攔截和查殺���。
6、360天擎推出了敲詐先賠服務(wù)���。對(duì)于所有360天擎政企用戶(hù)����,360企業(yè)安全承諾,如果用戶(hù)在開(kāi)啟了360天擎敲詐先賠功能后�����,仍感染了敲詐者病毒����,360企業(yè)安全將負(fù)責(zé)賠付贖金,為政企用戶(hù)提供百萬(wàn)先賠保障����。
責(zé)編:ZB
鄂公網(wǎng)安備 42010602000264號(hào)
