上周五,名為WannaCry的勒索病毒感染了150個國家的電腦。它加密用戶的文件,要求用戶支付價值300美元的比特幣來解鎖文件。如果72小時後未支付,勒索金額將翻倍至600美元,七天後,這些文件將被永久鎖定。
WannaCry(想哭,又叫Wanna Decryptor),是一種「蠕蟲式」的勒索病毒軟體,大小3.3MB,由不法分子利用美國安全局(NSA)洩露的危險漏洞「EternalBlue」(永恆之藍)進行傳播。
該惡意軟體會掃描電腦上的TCP 445埠(Server Message Block/SMB),以類似於蠕蟲病毒的方式傳播,攻擊主機並加密主機上存儲的文件,然後要求以比特幣的形式支付贖金。勒索金額為300至600美元。
2017年5月14日,WannaCry 勒索病毒出現了變種:WannaCry 2.0,取消Kill Switch 傳播速度或更快。截止2017年5月15日,WannaCry造成至少有150個國家受到網絡攻擊,已經影響到金融,能源,醫療等行業,造成嚴重的危機管理問題。
永恆之藍和WannaCry的前世今生
360核心安全部門的負責人鄭文彬在勒索病毒情況媒體通報會上介紹,2013年6月之後某段時間,美國國家安全局針對Win MS17-010網絡武器「永恆之藍」(EternalBlue)被黑客組織竊取。「永恆之藍」過去它用於攻擊特定的政府和企業目標。
今年4月份被黑客組織影子經紀人公開後,全球的病毒木馬作者都可以直接利用。「永恆之藍」主要是利用Windows SMB協議漏洞,遠程控制系統,只要聯網就會受到攻擊,就可以遠程控制電腦。
WannaCry病毒,是用「永恆之藍」的武器加上勒索病毒變成了蠕蟲型勒索病毒,一臺電腦感染後就會繼續掃描內網和網際網路上其他沒有補丁的系統,繼續感染這些系統,通過連鎖反應導致大規模的爆發感染。也就是說,「永恆之藍」是槍,而Wannacry是子彈。
病毒作者首先對國際網際網路上一臺電腦感染,這臺電腦感染後,作者進行勒索的同時,又在整個國際網際網路上進行傳播,傳播到其他機器。如果有一臺機器之前被感染,進入校園、企業和政府機構的內網,就會在政府機構的內網繼續進行傳播。政府內網被感染後,如果能聯網就可以重複感染國際網際網路上的機器。
由於病毒傳播機制十分混亂,一但放出去就是爆炸式的反應,包括病毒作者自己也很難控制。而勒索病毒的勒索交易過程都是用比特幣的形式和匿名的,WannaCry病毒的始作俑者幾乎難以尋找。不過,曾經FBI曾經懸賞300萬美元抓同一個家族的勒索病毒,但最後沒有人拿到這筆獎金。
在鄭文彬看來,美國國家安全局要為這件事情承擔一定的責任。它應該及時告知公眾,及時推進修復。但實際上漏洞永遠存在,更多的還是要正視,安全廠商、大眾和國家政府共同努力解決這樣的問題。
政企部門網絡安全建設的三點建議
WannaCry病毒的大規模肆虐也在全世界範圍內的政企以及公共服務部門造成了影響。
根據路透報導,美國政府一名高級官員表示,美國總統川普上周五晚間下令國土安全顧問TomBossert召開「緊急會議」評估這次全球性攻擊所造成的威脅。
12日晚,國內大學教育系統普遍反映遭受了這種病毒的襲擊,隨後擴展到國內幾乎所有地區,影響範圍遍布高校、火車站、自助終端、郵政、加油站、醫院、政府辦事終端等多個領域,被感染的電腦數字還在不斷增長中。
來自360威脅情報中心發布的數據顯示,截至到5月13日20點,國內也有29372家機構組織的數十萬臺機器感染。
對此360企業安全集團總裁吳雲坤認為,政企安全應該從兩個角度看,一是建設,二是運營。
吳雲坤向政企以及公共服務部門提出了三點建議:長期IT建設投入,投入大量設備做網絡隔離,全網病毒集中管控;選擇優異的產品廠商,選擇有能力的廠商,是對企業和對國家負責任的態度,因為對手有時候不一定是黑產,也可能是國家;需要經常檢查有安全產品是否有效、漏洞有沒有被修復,445埠有沒有被非法的開放,重視運營尤其是日常安全工作。
WannaCry病毒對於金融、能源、電力、通信、交通等諸多高度依賴於網際網路技術的領域也提出了警示,一旦在特殊時期,金融、能源、電力、通信、交通等領域的關鍵信息基礎設施遭到重點攻擊,屆時將造成交通中斷、金融紊亂、電力癱瘓等問題,具有很大的破壞性和殺傷力。
作者:深幾度,微信號:852405518,微信公眾號「深幾度」,轉載請保留版權內容。