5月13日,一場流行病式的計算機(jī)病毒在全球的互聯(lián)網(wǎng)世界中爆發(fā),“疫情”已波及近百個國家。一旦感染該病毒,不到十秒,電腦里所有文件全被加密無法打開,只有按彈窗提示交贖金才能解密。
這一造成全球性恐慌的計算機(jī)病毒被稱為“勒索病毒”,又被叫做“敲詐者木馬”。這次傳播的是一個名為“wannacry”的新家族,該木馬通過加密形式,鎖定用戶電腦里的txt、doc、ppt、xls等后綴名類型的文檔,導(dǎo)致用戶無法正常使用程序,從而進(jìn)行勒索,要求用戶提交贖金之后才解鎖。
在5月15日工作日到來之際,大量局域網(wǎng)辦公電腦開機(jī),或?qū)⒃俅纬霈F(xiàn)病毒感染高峰。為此,澎湃新聞記者采訪百度、騰訊、阿里公司的互聯(lián)網(wǎng)安全專家對勒索病毒的原理、傳播、防護(hù)進(jìn)行了詳細(xì)解答。
病毒從何而來?
據(jù)外媒報道,病毒發(fā)行者利用了去年被盜的美國國家安全局(NSA)自主設(shè)計的Windows系統(tǒng)黑客工具Eternal Blue,將2017年2月的一款勒索病毒升級。被感染的Windows用戶必須在7天內(nèi)交納比特幣作為贖金,否則電腦數(shù)據(jù)將被全部刪除且無法修復(fù)。勒索病毒要求用戶在被感染后的三天內(nèi)交納相當(dāng)于300美元的比特幣,三天后“贖金”將翻倍。英國NHS官方宣布,襲擊該系統(tǒng)的勒索病毒叫做WannaCry(想哭嗎)或Wanna Decryptor(想解鎖嗎)。
騰訊安全部門向澎湃新聞表示, Wana系列敲詐者木馬的傳播渠道是利用了445端口傳播擴(kuò)散的SMB漏洞MS17-101,微軟在17年3月發(fā)布了該漏洞的補丁。2017年4月,黑客組織Shadow Brokers公布的Equation Group(方程式組織),使用的“網(wǎng)絡(luò)軍火庫”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或者攻擊組織,就是在借鑒了“網(wǎng)絡(luò)軍火庫”后進(jìn)行了這次全球大規(guī)模的攻擊,主要影響校園網(wǎng),醫(yī)院等內(nèi)網(wǎng)用戶。
傳播為何如此之快?
截至5月13日晚8點,我國共39730家機(jī)構(gòu)被這一新型“蠕蟲”式勒索病毒感染。病毒傳播速度之快前所未有。
百度首席安全專家韋韜告訴澎湃新聞記者,勒索病毒已經(jīng)發(fā)展很久了,與之前的不同之處是這次的病毒傳播模塊采取了主動傳播方式,因此形成了全球范圍內(nèi)的快速蔓延。
韋韜稱:“以前的勒索病毒主要通過郵件詐騙的方式,欺騙受害者人工點擊,需要人工介入。而這次的勒索病毒是利用了前段時間公開的微軟的一個遠(yuǎn)程漏洞,可以通過遠(yuǎn)程網(wǎng)絡(luò)連接直接入侵機(jī)器。這次蠕蟲與勒索病毒結(jié)合在一起,所以形成了像流行病學(xué)式的快速爆炸。”
有何危害?
韋韜認(rèn)為,主動傳播方式使得勒索病毒影響更大,因為病毒爆發(fā)集中,使得很多系統(tǒng)無法正常工作,但目前數(shù)據(jù)價值損失沒有表面上的那么大。因為中病毒的機(jī)器主要是不重視安全的計算機(jī)。微軟在今年3月份已經(jīng)發(fā)布了安全補丁,真正重視安全的部門只要及時升級,就不會這次勒索蠕蟲的影響。而之前郵件傳播的勒索病毒即便做了很好的安全升級工作,使用者一旦不小心誤點了執(zhí)行,也很有可能會中招。
韋韜還指出,從效果來看,目前病毒的傳播方比特幣錢包才收到了約17個左右的比特幣,相當(dāng)于3萬美元左右。這表明目前愿意交贖金的人并不多,也從側(cè)面說明了病毒侵入的資料價值并不高。不過還要等到周一看是否會有一波交贖金的高峰到來。
“橫向?qū)Ρ葋砜?,大陸各省在這次傳染中的情況還好,對比臺灣好不少。” 韋韜表示,目前大陸受影響相對較小的重要原因在于,大陸的運營商在過去蠕蟲傳播的時代,就已經(jīng)把這次病毒傳播的主要端口封禁了,所以這次運營商的網(wǎng)絡(luò)沒有出現(xiàn)大規(guī)模爆發(fā)。
為什么校園網(wǎng)用戶容易中招?
從中國的情況來看,在此次病毒傳播中,大量高校的校園網(wǎng)不幸“感染”。據(jù)報道,5月12日20時左右,國內(nèi)部分高校學(xué)生反映電腦被病毒攻擊,文檔被加密。攻擊者稱需支付比特幣解鎖。目前受影響的有賀州學(xué)院、桂林電子科技大學(xué)、桂林航天工業(yè)學(xué)院、大連海事大學(xué)、山東大學(xué)等。
騰訊表示,由于之前爆發(fā)過多起利用445端口共享漏洞攻擊案例,運營商對個人用戶關(guān)閉了445端口。因校園網(wǎng)是獨立的,故無此設(shè)置,加上不及時更新補丁,所以在本次事件中導(dǎo)致大量校園網(wǎng)用戶中招。
阿里云安全專家分析,此次勒索事件在校園網(wǎng)傳播速度之快,影響面之大,主要原因是當(dāng)前大部分學(xué)校基本是一個大的內(nèi)網(wǎng)互通的局域網(wǎng),不同的業(yè)務(wù)未劃分安全區(qū)域。例如:學(xué)生管理系統(tǒng)、教務(wù)系統(tǒng)等都可以通過任何一臺連入的設(shè)備訪問,同時,實驗室、多媒體教室、機(jī)器IP分配多為公網(wǎng)IP,如果學(xué)校未做相關(guān)的權(quán)限限制,所有機(jī)器直接暴露在外面。
物聯(lián)網(wǎng)設(shè)備也中招
“這次有一個非常有意思的現(xiàn)象,一些日常生活中用到的加油卡終端、ATM機(jī)等智能設(shè)備也中毒了,無法提供服務(wù)。這反映出現(xiàn)在不僅是辦公計算機(jī),這些智能設(shè)備也處于非常嚴(yán)重的安全威脅之下。” 韋韜說道。
韋韜指出:“隨著智能設(shè)備越來越普及、越來越深入生活的方方面面,這樣的威脅會變得非??植馈N易罱吹搅艘粋€漫畫,畫中家里所有的電器都在向你要錢。我認(rèn)為這次事件正是這樣的勒索物聯(lián)網(wǎng)時代的一個開端?,F(xiàn)實中的情況也是如此,目前國內(nèi)外很多智能設(shè)備在安全防護(hù)上的情況很不樂觀。”
如何防備?
綜合專家意見,防止中招最直接的辦法是及時打補丁修復(fù)漏洞。
騰訊方面表示,騰訊電腦管家可提供漏洞防御,主動攔截多層安全保護(hù),并會提示用戶打補丁,及時修復(fù)漏洞。 避免被勒索的方法包括:1,下載并打補丁,及時修復(fù)漏洞;2,關(guān)閉445等端口的網(wǎng)絡(luò)訪問權(quán)限;3,開啟騰訊電腦管家主動防御系統(tǒng)。此外,如果用戶被鎖定和勒索,也建議不要向勒索者繳納贖金。
從個人防護(hù)的角度,韋韜建議,要加強社會整體的互聯(lián)網(wǎng)安全教育,比如安全補丁要及時升級、不明郵件不要隨便點擊、不法的網(wǎng)站不要去瀏覽。
“但從組織、社會、國家的角度去看,我們一方面要加強信息安全普及教育,同時也必須要意識到很多人是不會去做升級這件事情的。因而企業(yè)、社會、國家必須做好整體性防護(hù)措施,及時切斷互聯(lián)網(wǎng)感染渠道,保護(hù)不懂安全的普通民眾免遭損失。” 韋韜說道。