勒索病毒來襲，保護(hù)傘如何撐起

“利用系統(tǒng)漏洞可以直接傳播、感染”“一旦中毒，電腦文件將被加密鎖定，黑客要求支付比特幣贖金”“涉及中國、英國、西班牙、俄羅斯等百余個國家和地區(qū)受影響”……5月12日起，WannaCry勒索病毒席卷而來，引發(fā)了一場全球網(wǎng)絡(luò)災(zāi)難。

圖/攝圖網(wǎng)

紅色彈窗鎖住了電腦屏幕，用戶電腦上幾乎所有的重要文件都被加密保存。

前段時間，全球百余個國家和地區(qū)發(fā)生超過7.5萬起電腦病毒攻擊事件，罪魁禍?zhǔn)资敲麨閃annaCry的電腦病毒。想要被感染病毒的計(jì)算機(jī)解除鎖定，只能向?qū)Ψ街Ц端蟮谋忍貛?，否則硬盤將被徹底清空。

WannaCry目前還沒有統(tǒng)一的中文名稱，不過很多人直接按照字面翻譯為“想哭”。它是一種蠕蟲式的勒索病毒軟件，由不法分子利用美國國家安全局（NSA）泄露的危險漏洞“永恒之藍(lán)”進(jìn)行傳播。歐盟刑警組織負(fù)責(zé)人羅布·溫賴特表示，本次網(wǎng)絡(luò)襲擊在全球范圍內(nèi)達(dá)到了“史無前例的級別”。

5月12日晚，WannaCry勒索病毒在全球多個國家蔓延，國內(nèi)多所高校的網(wǎng)絡(luò)遭到勒索病毒攻擊。桂林電子科技大學(xué)、賀州學(xué)院、桂林航天工業(yè)學(xué)院、大連海事大學(xué)、山東大學(xué)、江蘇大學(xué)、太原理工大學(xué)等高校教學(xué)系統(tǒng)癱瘓，大量學(xué)生畢業(yè)論文等重要資料被勒索病毒加密，只有支付贖金才能恢復(fù)。

受到WannaCry勒索病毒影響的不僅僅是校園，還包括部分企事業(yè)單位。中國石油在其官網(wǎng)中發(fā)布公告稱，5月12日22點(diǎn)30分左右，因WannaCry勒索病毒暴發(fā)，公司所屬部分加油站正常運(yùn)行受到波及。病毒導(dǎo)致加油站加油卡、銀行卡、第三方支付等網(wǎng)絡(luò)支付功能無法使用。不過，加油及銷售等基本業(yè)務(wù)運(yùn)行正常，加油卡賬戶資金安全不受影響。

5月13日，江蘇省鹽城市響水公安局出入境辦事處發(fā)布消息稱，因公安網(wǎng)遭到新型病毒的攻擊，暫時停辦出入境

國內(nèi)多家單位遭病毒攻擊

業(yè)務(wù)，具體恢復(fù)時間等待通知。

據(jù)中國聯(lián)通鄭州分公司的一名工作人員稱，5月14日，因?yàn)槭艿嚼账鞑《镜挠绊?，單位電腦全部癱瘓。

被WannaCry勒索病毒感染后，電腦中圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等多種類型的文件會被加密，且文件后綴名改為“.WNCRY”，勒索病毒運(yùn)用了高強(qiáng)度的加密算法，而暴力破解需極高的運(yùn)算量，基本不可能成功解密。

黑客要求中毒的電腦用戶必須支付300美元至600美元的比特幣贖金才能解開文件，如拒不支付，則七天后文件永久封鎖。

“蠕蟲+勒索”攻擊方式尚無前例

在中國計(jì)算機(jī)學(xué)會青年科技論壇聯(lián)合CCF計(jì)算機(jī)安全專業(yè)委員會舉辦的“勒索病毒：憑什么能綁架我們的系統(tǒng)”研討會上，北京神州綠盟信息安全公司安全研究部總監(jiān)左磊表示，以往勒索軟件主要利用網(wǎng)絡(luò)復(fù)制、傳播，傳染途徑多通過電子郵件誘導(dǎo)用戶點(diǎn)擊，但這次直接利用了漏洞快速傳播、感染。

“蠕蟲”與“勒索”第一次“合體”成了全球首例通過系統(tǒng)漏洞實(shí)現(xiàn)傳播的“勒索蠕蟲”。“借助‘蠕蟲’的傳播方式升級，讓傳統(tǒng)安全防護(hù)手段幾乎淪陷，甚至造成了更嚴(yán)重的內(nèi)網(wǎng)蔓延?！眮喰虐踩夹g(shù)支持中心總經(jīng)理蔡昇欽解釋，以往的勒索軟件具有一定的地域性、欺詐性，常常受限于不同國家的文字差異，難以進(jìn)行國與國之間的傳播，但這次不需要與用戶互動，也不需要誘騙用戶點(diǎn)擊，可以直接利用系統(tǒng)漏洞達(dá)到攻擊目的。

WannaCry勒索病毒的大小是3.3MB，所有未及時安裝MS17-010補(bǔ)丁的Windows系統(tǒng)都可能被攻擊。它通過MS17-010漏洞進(jìn)行快速感染和擴(kuò)散，使用加密算法對文件進(jìn)行加密。一旦某臺電腦被感染，同一網(wǎng)絡(luò)內(nèi)存在漏洞的主機(jī)都會被它主動攻擊，因此受感染的主機(jī)數(shù)量飛速增長。

今年4月，黑客組織“影子經(jīng)紀(jì)人”對外公布了從NSA盜取的Windows攻擊工具“永恒之藍(lán)”?！坝篮阒{(lán)”是一個武器級別的產(chǎn)品，可以直接遠(yuǎn)程遙控計(jì)算機(jī)。不法分子通過改造“永恒之藍(lán)”攻擊程序發(fā)起了這次網(wǎng)絡(luò)攻擊事件，無需用戶進(jìn)行任何操作，只要開機(jī)聯(lián)網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等一系列惡意程序?！斑^去，‘蠕蟲’需要依附郵件，在網(wǎng)絡(luò)上‘爬’得很慢，但是有了這個武器之后，就相當(dāng)于開著汽車來傳播了?！眮喰啪W(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長童寧說。

▲被WannaCry勒索病毒所感染的電腦界面（圖/中新網(wǎng)）

英國小伙意外阻攔病毒傳播

鑒于WannaCry勒索病毒的肆虐，微軟決定為已不再提供更新支持的XP、WindowsServer2003發(fā)布補(bǔ)丁，還發(fā)布了《勒索病毒Ransom：Win32/WannaCrypt防范及修復(fù)指南》。

WannaCry勒索病毒也并非沒有弱點(diǎn)，一名來自英國的網(wǎng)絡(luò)工程師無意中阻斷了病毒的蔓延。該名年僅22歲的工程師5月12日晚注意到，這一勒索病毒正不斷嘗試進(jìn)入一個極其特殊、尚不存在的網(wǎng)址，于是他順手花8.5英鎊注冊了這個域名，試圖借此網(wǎng)址獲取勒索病毒的相關(guān)數(shù)據(jù)。

令人不可思議的是，此后勒索病毒在全球的進(jìn)一步蔓延竟然得到了阻攔。

這名工程師和同事分析，這個奇怪的網(wǎng)址很可能是勒索病毒開發(fā)者為避免被網(wǎng)絡(luò)安全人員捕獲所設(shè)定的“檢查站”，而注冊網(wǎng)址的行為無意間觸發(fā)了程序自帶的“自殺開關(guān)”。

也就是說，勒索病毒在每次發(fā)作前都要訪問這個不存在的網(wǎng)址，如果網(wǎng)址繼續(xù)不存在，說明勒索病毒尚未引起安全人員注意，可以繼續(xù)在網(wǎng)絡(luò)上暢行無阻。而一旦網(wǎng)址存在，意味著病毒有被攔截并分析的可能。

在這種情況下，為避免被網(wǎng)絡(luò)安全人員獲得更多數(shù)據(jù)甚至反過來加以控制，勒索病毒會停止傳播。

不過，這名工程師和一些網(wǎng)絡(luò)安全專家都表示，這種方法只是暫時阻止了勒索病毒的進(jìn)一步發(fā)作和傳播，但幫不了那些病毒已經(jīng)發(fā)作的用戶，也并非徹底破解了這種勒索病毒。

病毒目前仍在進(jìn)行變種

英國年輕網(wǎng)絡(luò)工程師的推測很快變成了現(xiàn)實(shí)。

騰訊安全反病毒實(shí)驗(yàn)室5月16日表示，WannaCry勒索病毒在暴發(fā)之前已經(jīng)存在于互聯(lián)網(wǎng)中，并且病毒目前仍然在進(jìn)行變種。在監(jiān)控到的樣本中，發(fā)現(xiàn)疑似黑客的開發(fā)路徑，有的樣本名稱已變?yōu)閃annaSister.exe，從WannaCry“想哭”變成了WannaSister“想妹妹”。

在分析過程中，騰訊反病毒實(shí)驗(yàn)室發(fā)現(xiàn)，WannaCry勒索病毒在演化中為躲避殺毒軟件的查殺，有的樣本在原有病毒的基礎(chǔ)上進(jìn)行了加殼處理；有的樣本在代碼中加入了許多正常字符串信息，在字符串信息中添加了許多圖片鏈接，并且把WannaCry勒索病毒加密后，放在了自己的資源文件下，誤導(dǎo)病毒分析人員。

此外，有的樣本中發(fā)現(xiàn)病毒作者開始對病毒文件添加數(shù)字簽名證書，用簽名證書的方式來逃避殺毒軟件的查殺。病毒作者在一些更新的樣本中，也增加了反調(diào)試手法，例如通過人為制造SEH異常改變程序的執(zhí)行流程，注冊窗口Class結(jié)構(gòu)體將函數(shù)執(zhí)行流程隱藏在函數(shù)回調(diào)中等。

針對目前的WannaCry勒索病毒變種，國內(nèi)官方以及多家安全企業(yè)最新消息顯示，已找到有效的防御方法，用戶只要掌握正確的方法就可以避免被感染。

網(wǎng)絡(luò)安全不能一隔了之

本次事件也讓國內(nèi)安全行業(yè)來了一次集體反思。360企業(yè)安全集團(tuán)總裁吳云坤表示，多年來我國的企業(yè)安全總在強(qiáng)調(diào)內(nèi)外網(wǎng)隔離的思想，認(rèn)為網(wǎng)絡(luò)隔離是解決網(wǎng)絡(luò)安全問題最有效的方式，有些單位的信息安全工作人員仍簡單地以為只要隔離就能安全解決問題。但隨著互聯(lián)網(wǎng)時代的日益興盛，網(wǎng)絡(luò)邊界越來越模糊，業(yè)務(wù)應(yīng)用場景越來越復(fù)雜，也有更多的技術(shù)手段可以輕易突破網(wǎng)絡(luò)邊界。

“此次事件中招的大部分是企業(yè)和機(jī)構(gòu)內(nèi)網(wǎng)以及物理隔離網(wǎng)，事實(shí)證明隔離不是萬能的，不能一隔了之、萬事大吉。內(nèi)網(wǎng)是隔離的，本來應(yīng)是安全島，但內(nèi)網(wǎng)如果沒有任何安全措施，一旦被突破就會瞬間全部淪陷，所以在隔離網(wǎng)里要采取更加有效的安全措施。”吳云坤如此表示。

▲比特幣是一種虛擬貨幣，目前已有一些國家敞開國門，允許民眾持有使用（新華社姚琪琳攝）

有批評聲音指出，在WannaCry勒索病毒暴發(fā)之前，國內(nèi)沒有一家安全企業(yè)提早發(fā)出預(yù)警，之后則齊刷刷爭相出爐解決方案，表現(xiàn)讓人失望。哈爾濱安天科技股份有限公司發(fā)言人回應(yīng)說：“2014年起公司就開始不斷地發(fā)布關(guān)于勒索軟件的消息，今年三四月份還針對這個漏洞發(fā)過漏洞預(yù)警，直接指出有可能在一年內(nèi)暴發(fā)大規(guī)模感染，可惜都如同石沉大海。作為安全企業(yè)，我們也挺心酸的?！?/p>

吳云坤也表示，雖然網(wǎng)絡(luò)安全已經(jīng)上升到國家戰(zhàn)略層面和法制層面，但國內(nèi)某些機(jī)構(gòu)和企業(yè)整體安全意識還不強(qiáng)。此次事件發(fā)生前一個月，相關(guān)補(bǔ)丁和預(yù)警就已經(jīng)發(fā)布，此次被感染的大多數(shù)客戶都是因?yàn)闆]有及時打補(bǔ)丁所致。

與勒索蠕蟲的戰(zhàn)斗不會結(jié)束

如果把這次事件看成互聯(lián)網(wǎng)領(lǐng)域的一場災(zāi)難，在啟明星辰信息技術(shù)有限公司首席戰(zhàn)略官潘柱廷看來，對于事件的處置做得“相當(dāng)不錯”。比如國家網(wǎng)信、公安等部門迅速作出部署，各大安全廠商迅速發(fā)布應(yīng)對方案指南。

“未來還可能出現(xiàn)類似情況，甚至比這個影響更大?！迸酥⒄f，安全是一個持續(xù)動態(tài)檢測和防護(hù)的過程，NSA方程式工具可造成類似“永恒之藍(lán)”嚴(yán)重影響的漏洞或不止一個。

“現(xiàn)在不是整個事件的結(jié)束，恰恰是一個開始?！眮喰虐踩ㄓ冒踩a(chǎn)品中心總監(jiān)劉政平認(rèn)為，這類蠕蟲和勒索軟件相融合的模式帶有示范效應(yīng)，后面很多黑客會進(jìn)行復(fù)制，可以采用不同的漏洞、相同的手法進(jìn)行傳播和攻擊，之后還可能演變成跨平臺、跨系統(tǒng)，造成的威脅可能越來越大。

特別需要注意的是，物聯(lián)網(wǎng)時代的操作系統(tǒng)更為復(fù)雜。家庭安全攝像頭、嬰兒監(jiān)視器、胰島素泵、心臟起搏器、健身追蹤器、智能手表等智能設(shè)備給人們帶來便捷的同時，也增添了許多安全隱患?！耙坏┪锫?lián)網(wǎng)遇上勒索行為，人們的‘云上生活’將受到很大影響。”在蔡昇欽等業(yè)界人士看來，人們與勒索蠕蟲的戰(zhàn)斗不會結(jié)束，下次受到攻擊的很可能是手機(jī)、物聯(lián)網(wǎng)基礎(chǔ)設(shè)施等，由此可見防范于未然的重要性。

對此，北京奇虎360科技有限公司董事長周鴻祎呼吁相關(guān)部門、安全企業(yè)和各級單位共建網(wǎng)絡(luò)命運(yùn)共同體。他認(rèn)為，在網(wǎng)絡(luò)攻擊面前，單靠一家公司或一兩個單位解決不了問題，只有各級單位協(xié)同作戰(zhàn)，及時交換、共同分析數(shù)據(jù)信息，才能有助于將更多的網(wǎng)絡(luò)攻擊扼殺于萌芽狀態(tài)。（本刊綜合）※

比特幣是什么

簡單來說，比特幣就是一種虛擬貨幣。它不依靠任何貨幣機(jī)構(gòu)發(fā)行，而是依靠特定的算法、通過大量計(jì)算產(chǎn)生的。比特幣的數(shù)量不是無限的，設(shè)計(jì)者設(shè)定的最大數(shù)量是2100萬個?，F(xiàn)在1600萬以上的比特幣已經(jīng)被個人占有，剩下將近五百萬個比特幣需要大量的數(shù)據(jù)計(jì)算去挖掘。

比特幣的概念最早由“中本聰”在2009年提出，這個“發(fā)明人”2010年之后就從互聯(lián)網(wǎng)上銷聲匿跡了，他是個真實(shí)存在的人，還是一個虛擬名字或者一個團(tuán)隊(duì)，沒人說得清楚。直到2016年5月，澳大利亞企業(yè)家克雷格·賴特公開證實(shí)，自己就是比特幣的創(chuàng)始人“中本聰”。

比特幣近年的價格走勢驚人，剛被提出時一美元可以兌換1300個比特幣。到了2011年，一美元可以兌換一枚比特幣。而最新數(shù)據(jù)顯示，6月1日上午，一枚比特幣等于2058美元。這是什么概念？如果2009年你花1美元買了1300個比特幣，那么今年你已經(jīng)是一個坐擁260多萬美元的富翁了。