病毒的爆發(fā)總是讓人觸不及防,不管是現(xiàn)實世界還是虛擬網(wǎng)絡(luò)世界。
本周五,一次迄今為止最大規(guī)模的勒索病毒網(wǎng)絡(luò)攻擊席卷全球。據(jù)卡巴斯基統(tǒng)計,在過去的十幾個小時里,全球共有74個國家的至少4.5萬電腦中招。而反病毒軟件廠商Avast的報告稱,至少7.5萬臺計算機被感染。勒索病毒“WanaCrypt0r 2.0”也已在99個國家被發(fā)現(xiàn)。
據(jù)英國金融時報和紐約時報披露,病毒發(fā)行者正是利用了去年被盜的美國國家安全局(NSA)自主設(shè)計的Windows系統(tǒng)黑客工具Eternal Blue,把今年2月的一款勒索病毒升級。被感染的Windows用戶必須在7天內(nèi)交納贖金,否則電腦數(shù)據(jù)將被全部刪除且無法修復(fù)。
英國的醫(yī)療網(wǎng)絡(luò)受到集中攻擊,而在中國,教育網(wǎng)絡(luò)成為重災(zāi)區(qū)。目前國內(nèi)平均每天有5000多臺機器遭到NSA“永恒之藍”黑客武器的遠程攻擊。
以前國內(nèi)多次爆發(fā)利用445端口傳播的蠕蟲,運營商對個人用戶已封掉445端口,但是教育網(wǎng)并沒有此限制,仍然存在大量暴露445端口的機器。
5月12日晚上20點左右,國內(nèi)部分高校學(xué)生反映電腦被病毒攻擊,文檔被加密。攻擊者稱需支付比特幣解鎖。
受影響的高校目前包括廣西的賀州學(xué)院、桂林電子科技大學(xué)、桂林航天工業(yè)學(xué)院、大連海事大學(xué)和山東大學(xué)等。
360針對校園網(wǎng)勒索病毒事件的監(jiān)測數(shù)據(jù)顯示,國內(nèi)首先出現(xiàn)的是ONION病毒,平均每小時攻擊約200次,夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊,并在中國的校園網(wǎng)迅速擴散,夜間高峰期每小時攻擊約4000次。
那這個病毒是什么?是不是真的那么恐怖?
這次的“永恒之藍”勒索蠕蟲,是NSA 網(wǎng)絡(luò)軍火民用化的全球第一例。一個月前,第四批NSA 相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers 組織公布,包含了涉及多個Windows 系統(tǒng)服務(wù)(SMB、RDP、IIS)的遠程命令執(zhí)行工具,其中就包括“永恒之藍”攻擊程序。
惡意代碼會掃描開放445 文件共享端口的Windows 機器,無需用戶任何操作,只要開機上網(wǎng),不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
目前,“永恒之藍”傳播的勒索病毒以O(shè)NION和WNCRY兩個家族為主,受害機器的磁盤文件會被篡改為相應(yīng)的后綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復(fù)。
不過這個病毒只是針對高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng),這些網(wǎng)絡(luò)的用戶只要開機就會中毒。個人用戶暫時不會受到影響。
這兩個家族(ONION和WNCRY)的勒索病毒以獲取贖金為目的,勒索金額分別是5個比特幣和300美元,折合人民幣分別為5 萬多元和2000 多元。
如果不支付這筆贖金會怎樣?磁盤文件會被病毒加密,加密使用了高強度的加密算法對難以破解,被攻擊者除了支付高額贖金外,沒有辦法進行強制破解,只有支付高額贖金才能解密恢復(fù)文件,對學(xué)習(xí)資料和個人數(shù)據(jù)造成嚴重損失。
微軟怎么應(yīng)對?
微軟公司聲明表示,這款勒索病毒的文件名是Ransom:Win32.WannaCrypt。微軟已于3月14日提供了系統(tǒng)安全升級補丁,目的就是用來防范這一款病毒襲擊。現(xiàn)已運行微軟免費殺毒軟件和更新了安全包的用戶都沒有危險。
本周五,微軟更新了Windows中的兩個安全工具——Windows Defender防病毒軟件和Windows Security Essentials——以此來尋找系統(tǒng)中的WanaCrypt0r勒索軟件。
微軟最新的更新是針對Windows 10系統(tǒng)用戶進行的強制更新;對于XP、2003等微軟已不再提供安全更新的機器,推薦使用“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞,并關(guān)閉受到漏洞影響的端口,可以避免遭到勒索軟件等病毒的侵害。
這次起源于美國的網(wǎng)絡(luò)病毒爆發(fā),對于中國來說是繼熊貓病毒之后最大規(guī)模的一次網(wǎng)絡(luò)病毒攻擊。
前美國中央情報局(CIA)雇員、美國國家安全局(NSA)的美籍技術(shù)承包人愛德華·斯諾登(EDWARD SNOWDEN)曾在2013年泄露了美國監(jiān)視計劃的細節(jié)。本周五,他指責美國國安局沒有阻止蔓延全球的網(wǎng)絡(luò)攻擊。
“盡管警告不斷,(美國國安局)建立了可以攻擊西方軟件的危險工具。”斯諾登說,“今天我們知道了其中的代價。”他表示,國會應(yīng)該就此事向國家安全局問詢,確認國安局是否知道其他軟件的漏洞,進而以這種方式被利用。他補充說:“如果(美國國安局)在發(fā)現(xiàn)漏洞后,就私下披露英國國家醫(yī)療服務(wù)體系的安全缺陷,像現(xiàn)在這樣的情況,就不會發(fā)生。”
計算機安全專家格雷厄姆·克萊利(GRAHAM CLULEY)表示:“美國情報機構(gòu)在微軟軟件中發(fā)現(xiàn)了微軟的一個安全漏洞,他們的做法并不正派,把這個漏洞保留給了自己,并利用這一漏洞來進行間諜行為。然后他們自己也遭了殃。而在這一點上,微軟認為,‘天啊,我們需要修補這個漏洞’。”
安全專家發(fā)現(xiàn),ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播,形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒“大禮包”,專門選擇高性能服務(wù)器挖礦牟利,對普通電腦則會加密文件敲詐錢財,最大化地壓榨受害機器的經(jīng)濟價值。
歸根到底,這次網(wǎng)絡(luò)病毒的爆發(fā),根本上還是出于對金錢利益的追求,從這點來說,這次網(wǎng)絡(luò)病毒攻擊并不可怕,特別是普通個人用戶和Windows 10系統(tǒng)的用戶。
在接受鳳凰科技的采訪時,微軟建議廣大電腦用戶升級到Windows 10,Windows 10用戶每次開機的升級更新建議,點擊“Yes”;重要的資料和數(shù)據(jù),隨時備份。