5月13日,一場流行病式的電腦病毒在全球的網際網路世界中爆發,“疫情”已波及近百個國家。一旦感染該病毒,不到十秒,電腦裏所有文件全被加密無法打開,只有按彈窗提示交贖金才能解密。
這一造成全球性恐慌的電腦病毒被稱為“勒索病毒”,又被叫做“敲詐者木馬”。這次傳播的是一個名為“wannacry”的新家族,該木馬通過加密形式,鎖定用戶電腦裏的txt、doc、ppt、xls等尾碼名類型的文檔,導致用戶無法正常使用程式,從而進行勒索,要求用戶提交贖金之後才解鎖。
在5月15日工作日到來之際,大量局域網辦公電腦開機,或將再次出現病毒感染高峰。為此,澎湃新聞記者採訪百度、騰訊、阿裏公司的網際網路安全專家對勒索病毒的原理、傳播、防護進行了詳細解答。
病毒從何而來?
據外媒報道,病毒發行者利用了去年被盜的美國國家安全局(NSA)自主設計的Windows系統駭客工具Eternal Blue,將2017年2月的一款勒索病毒升級。被感染的Windows用戶必須在7天內交納比特幣作為贖金,否則電腦數據將被全部刪除且無法修復。勒索病毒要求用戶在被感染後的三天內交納相當於300美元的比特幣,三天后“贖金”將翻倍。英國NHS官方宣佈,襲擊該系統的勒索病毒叫做WannaCry(想哭嗎)或Wanna Decryptor(想解鎖嗎)。
騰訊安全部門向澎湃新聞表示, Wana系列敲詐者木馬的傳播渠道是利用了445端口傳播擴散的SMB漏洞MS17-101,微軟在17年3月發佈了該漏洞的補丁。2017年4月,駭客組織Shadow Brokers公佈的Equation Group(方程式組織),使用的“網路軍火庫”中包含了該漏洞的利用程式,而該勒索軟體的攻擊者或者攻擊組織,就是在借鑒了“網路軍火庫”後進行了這次全球大規模的攻擊,主要影響校園網,醫院等內網用戶。
傳播為何如此之快?
截至5月13日晚8點,我國共39730家機構被這一新型“蠕蟲”式勒索病毒感染。病毒傳播速度之快前所未有。
百度首席安全專家韋韜告訴澎湃新聞記者,勒索病毒已經發展很久了,與之前的不同之處是這次的病毒傳播模組採取了主動傳播方式,因此形成了全球範圍內的快速蔓延。
韋韜稱:“以前的勒索病毒主要通過郵件詐騙的方式,欺騙受害者人工點擊,需要人工介入。而這次的勒索病毒是利用了前段時間公開的微軟的一個遠端漏洞,可以通過遠端網路連接直接入侵機器。這次蠕蟲與勒索病毒結合在一起,所以形成了像流行病學式的快速爆炸。”
有何危害?
韋韜認為,主動傳播方式使得勒索病毒影響更大,因為病毒爆發集中,使得很多系統無法正常工作,但目前數據價值損失沒有表面上的那麼大。因為中病毒的機器主要是不重視安全的電腦。微軟在今年3月份已經發佈了安全補丁,真正重視安全的部門只要及時升級,就不會這次勒索蠕蟲的影響。而之前郵件傳播的勒索病毒即便做了很好的安全升級工作,使用者一旦不小心誤點了執行,也很有可能會中招。
韋韜還指出,從效果來看,目前病毒的傳播方比特幣錢包才收到了約17個左右的比特幣,相當於3萬美元左右。這表明目前願意交贖金的人並不多,也從側面説明瞭病毒侵入的資料價值並不高。不過還要等到週一看是否會有一波交贖金的高峰到來。
“橫向對比來看,大陸各省在這次傳染中的情況還好,對比臺灣好不少。” 韋韜表示,目前大陸受影響相對較小的重要原因在於,大陸的運營商在過去蠕蟲傳播的時代,就已經把這次病毒傳播的主要端口封禁了,所以這次運營商的網路沒有出現大規模爆發。
為什麼校園網用戶容易中招?
從中國的情況來看,在此次病毒傳播中,大量高校的校園網不幸“感染”。據報道,5月12日20時左右,國內部分高校學生反映電腦被病毒攻擊,文檔被加密。攻擊者稱需支付比特幣解鎖。目前受影響的有賀州學院、桂林電子科技大學、桂林航太工業學院、大連海事大學、山東大學等。
騰訊表示,由於之前爆發過多起利用445端口共用漏洞攻擊案例,運營商對個人用戶關閉了445端口。因校園網是獨立的,故無此設置,加上不及時更新補丁,所以在本次事件中導致大量校園網用戶中招。
阿裏雲安全專家分析,此次勒索事件在校園網傳播速度之快,影響面之大,主要原因是當前大部分學校基本是一個大的內網互通的局域網,不同的業務未劃分安全區域。例如:學生管理系統、教務系統等都可以通過任何一台連入的設備訪問,同時,實驗室、多媒體教室、機器IP分配多為公網IP,如果學校未做相關的許可權限制,所有機器直接暴露在外面。
物聯網設備也中招
“這次有一個非常有意思的現象,一些日常生活中用到的加油卡終端、ATM機等智慧設備也中毒了,無法提供服務。這反映出現在不僅是辦公電腦,這些智慧設備也處於非常嚴重的安全威脅之下。” 韋韜説道。
韋韜指出:“隨著智慧設備越來越普及、越來越深入生活的方方面面,這樣的威脅會變得非常恐怖。我最近看到了一個漫畫,畫中家裏所有的電器都在向你要錢。我認為這次事件正是這樣的勒索物聯網時代的一個開端。現實中的情況也是如此,目前國內外很多智慧設備在安全防護上的情況很不樂觀。”
如何防備?
綜合專家意見,防止中招最直接的辦法是及時打補丁修復漏洞。
騰訊方面表示,騰訊電腦管家可提供漏洞防禦,主動攔截多層安全保護,並會提示用戶打補丁,及時修復漏洞。 避免被勒索的方法包括:1,下載並打補丁,及時修復漏洞;2,關閉445等端口的網路訪問許可權;3,開啟騰訊電腦管家主動防禦系統。此外,如果用戶被鎖定和勒索,也建議不要向勒索者繳納贖金。
從個人防護的角度,韋韜建議,要加強社會整體的網際網路安全教育,比如安全補丁要及時升級、不明郵件不要隨便點擊、不法的網站不要去瀏覽。
“但從組織、社會、國家的角度去看,我們一方面要加強資訊安全普及教育,同時也必須要意識到很多人是不會去做升級這件事情的。因而企業、社會、國家必須做好整體性防護措施,及時切斷網際網路感染渠道,保護不懂安全的普通民眾免遭損失。” 韋韜説道。
延伸閱讀:勒索軟體攻擊應對:週一上班先拔網線再開機
勒索病毒波及全球150國,攻擊發動者尚未被鎖定[責任編輯:郭曉康]