勒索病毒来袭保护伞如何撑起
2017-07-17
红色弹窗锁住了电脑屏幕,用户电脑上几乎所有的重要文件都被加密保存。
前段时间,全球百余个国家和地区发生超过7.5万起电脑病毒攻击事件,罪魁祸首是名为WannaCry的电脑病毒。想要被感染病毒的计算机解除锁定,只能向对方支付所要求的比特币,否则硬盘将被彻底清空。
WannaCry目前还没有统一的中文名称,不过很多人直接按照字面翻译为“想哭”。它是一种蠕虫式的勒索病毒软件,由不法分子利用美国国家安全局(NSA)泄露的危险漏洞“永恒之蓝”进行传播。欧盟刑警组织负责人罗布·温赖特表示,本次网络袭击在全球范围内达到了“史无前例的级别”。
5月12日晚,WannaCry勒索病毒在全球多个国家蔓延,国内多所高校的网络遭到勒索病毒攻击。桂林电子科技大学、贺州学院、桂林航天工业学院、大连海事大学、山东大学、江苏大学、太原理工大学等高校教学系统瘫痪,大量学生毕业论文等重要资料被勒索病毒加密,只有支付赎金才能恢复。
受到WannaCry勒索病毒影响的不仅仅是校园,还包括部分企事业单位。中国石油在其官网中发布公告称,5月12日22点30分左右,因WannaCry勒索病毒暴发,公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过,加油及销售等基本业务运行正常,加油卡账户资金安全不受影响。
5月13日,江苏省盐城市响水公安局出入境办事处发布消息称,因公安网遭到新型病毒的攻击,暂时停办出入境业务,具体恢复时间等待通知。
据中国联通郑州分公司的一名工作人员称,5月14日,因为受到勒索病毒的影响,单位电脑全部瘫痪。
被WannaCry勒索病毒感染后,电脑中图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件会被加密,且文件后缀名改为“.WNCRY”,勒索病毒运用了高强度的加密算法,而暴力破解需极高的运算量,基本不可能成功解密。
黑客要求中毒的电脑用户必须支付300美元至600美元的比特幣赎金才能解开文件,如拒不支付,则七天后文件永久封锁。
在中国计算机学会青年科技论坛联合CCF计算机安全专业委员会举办的“勒索病毒:凭什么能绑架我们的系统”研讨会上,北京神州绿盟信息安全公司安全研究部总监左磊表示,以往勒索软件主要利用网络复制、传播,传染途径多通过电子邮件诱导用户点击,但这次直接利用了漏洞快速传播、感染。
“蠕虫”与“勒索”第一次“合体”成了全球首例通过系统漏洞实现传播的“勒索蠕虫”。“借助‘蠕虫的传播方式升级,让传统安全防护手段几乎沦陷,甚至造成了更严重的内网蔓延。”亚信安全技术支持中心总经理蔡昇钦解释,以往的勒索软件具有一定的地域性、欺诈性,常常受限于不同国家的文字差异,难以进行国与国之间的传播,但这次不需要与用户互动,也不需要诱骗用户点击,可以直接利用系统漏洞达到攻击目的。
WannaCry勒索病毒的大小是3.3MB,所有未及时安装MS17-010补丁的Windows系统都可能被攻击。它通过MS17-010漏洞进行快速感染和扩散,使用加密算法对文件进行加密。一旦某台电脑被感染,同一网络内存在漏洞的主机都会被它主动攻击,因此受感染的主机数量飞速增长。
▲ 被WannaCry勒索病毒所感染的电脑界面(图/中新网)
标题
今年4月,黑客组织“影子经纪人”对外公布了从NSA盗取的Windows攻击工具“永恒之蓝”。“永恒之蓝”是一个武器级别的产品,可以直接远程遥控计算机。不法分子通过改造“永恒之蓝”攻击程序发起了这次网络攻击事件,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。“过去,‘蠕虫需要依附邮件,在网络上‘爬得很慢,但是有了这个武器之后,就相当于开着汽车来传播了。”亚信网络安全产业技术研究院副院长童宁说。
鉴于WannaCry勒索病毒的肆虐,微软决定为已不再提供更新支持的XP、Windows Server 2003发布补丁,还发布了《勒索病毒 Ransom:Win32/WannaCrypt 防范及修复指南》。
WannaCry勒索病毒也并非没有弱点,一名来自英国的网络工程师无意中阻断了病毒的蔓延。该名年仅22岁的工程师5月12日晚注意到,这一勒索病毒正不断尝试进入一个极其特殊、尚不存在的网址,于是他顺手花8.5英镑注册了这个域名,试图借此网址获取勒索病毒的相关数据。
令人不可思议的是,此后勒索病毒在全球的进一步蔓延竟然得到了阻拦。
这名工程师和同事分析,这个奇怪的网址很可能是勒索病毒开发者为避免被网络安全人员捕获所设定的“检查站”,而注册网址的行为无意间触发了程序自带的“自杀开关”。
也就是说,勒索病毒在每次发作前都要访问这个不存在的网址,如果网址继续不存在,说明勒索病毒尚未引起安全人员注意,可以继续在网络上畅行无阻。而一旦网址存在,意味着病毒有被拦截并分析的可能。
在这种情况下,为避免被网络安全人员获得更多数据甚至反过来加以控制,勒索病毒会停止传播。
不过,这名工程师和一些网络安全专家都表示,这种方法只是暂时阻止了勒索病毒的进一步发作和传播,但帮不了那些病毒已经发作的用户,也并非彻底破解了这种勒索病毒。
英国年轻网络工程师的推测很快变成了现实。
腾讯安全反病毒实验室5月16日表示,WannaCry勒索病毒在暴发之前已经存在于互联网中,并且病毒目前仍然在进行变种。在监控到的样本中,发现疑似黑客的开发路径,有的样本名称已变为WannaSister.exe,从WannaCry“想哭”变成了WannaSister“想妹妹”。
在分析过程中,腾讯反病毒实验室发现,WannaCry勒索病毒在演化中为躲避杀毒软件的查杀,有的样本在原有病毒的基础上进行了加壳处理;有的样本在代码中加入了许多正常字符串信息,在字符串信息中添加了许多图片链接,并且把WannaCry勒索病毒加密后,放在了自己的资源文件下,误导病毒分析人员。
此外,有的样本中发现病毒作者开始对病毒文件添加数字签名证书,用签名证书的方式来逃避杀毒软件的查杀。病毒作者在一些更新的样本中,也增加了反调试手法,例如通过人为制造SEH异常改变程序的执行流程,注册窗口Class结构体将函数执行流程隐藏在函数回调中等。
针对目前的WannaCry勒索病毒变种,国内官方以及多家安全企业最新消息显示,已找到有效的防御方法,用户只要掌握正确的方法就可以避免被感染。
本次事件也让国内安全行业来了一次集体反思。360企业安全集团总裁吴云坤表示,多年来我国的企业安全总在强调内外网隔离的思想,认为网络隔离是解决网络安全问题最有效的方式,有些单位的信息安全工作人员仍简单地以为只要隔离就能安全解决问题。但随着互联网时代的日益兴盛,网络边界越来越模糊,業务应用场景越来越复杂,也有更多的技术手段可以轻易突破网络边界。
“此次事件中招的大部分是企业和机构内网以及物理隔离网,事实证明隔离不是万能的,不能一隔了之、万事大吉。内网是隔离的,本来应是安全岛,但内网如果没有任何安全措施,一旦被突破就会瞬间全部沦陷,所以在隔离网里要采取更加有效的安全措施。”吴云坤如此表示。
有批评声音指出,在WannaCry勒索病毒暴发之前,国内没有一家安全企业提早发出预警,之后则齐刷刷争相出炉解决方案,表现让人失望。哈尔滨安天科技股份有限公司发言人回应说:“2014年起公司就开始不断地发布关于勒索软件的消息,今年三四月份还针对这个漏洞发过漏洞预警,直接指出有可能在一年内暴发大规模感染,可惜都如同石沉大海。作为安全企业,我们也挺心酸的。”
▲比特币是一种虚拟货币,目前已有一些国家敞开国门,允许民众持有使用(新华社 姚琪琳 摄)
吴云坤也表示,虽然网络安全已经上升到国家战略层面和法制层面,但国内某些机构和企业整体安全意识还不强。此次事件发生前一个月,相关补丁和预警就已经发布,此次被感染的大多数客户都是因为没有及时打补丁所致。
如果把这次事件看成互联网领域的一场灾难,在启明星辰信息技术有限公司首席战略官潘柱廷看来,对于事件的处置做得“相当不错”。比如国家网信、公安等部门迅速作出部署,各大安全厂商迅速发布应对方案指南。
“未来还可能出现类似情况,甚至比这个影响更大。”潘柱廷说,安全是一个持续动态检测和防护的过程,NSA方程式工具可造成类似“永恒之蓝”严重影响的漏洞或不止一个。
“现在不是整个事件的结束,恰恰是一个开始。”亚信安全通用安全产品中心总监刘政平认为,这类蠕虫和勒索软件相融合的模式带有示范效应,后面很多黑客会进行复制,可以采用不同的漏洞、相同的手法进行传播和攻击,之后还可能演变成跨平台、跨系统,造成的威胁可能越来越大。
特别需要注意的是,物联网时代的操作系统更为复杂。家庭安全摄像头、婴儿监视器、胰岛素泵、心脏起搏器、健身追踪器、智能手表等智能设备给人们带来便捷的同时,也增添了许多安全隐患。“一旦物联网遇上勒索行为,人们的‘云上生活将受到很大影响。”在蔡昇钦等业界人士看来,人们与勒索蠕虫的战斗不会结束,下次受到攻击的很可能是手机、物联网基础设施等,由此可见防范于未然的重要性。
对此,北京奇虎360科技有限公司董事长周鸿祎呼吁相关部门、安全企业和各级单位共建网络命运共同体。他认为,在网络攻击面前,单靠一家公司或一两个单位解决不了问题,只有各级单位协同作战,及时交换、共同分析数据信息,才能有助于将更多的网络攻击扼杀于萌芽状态。(本刊综合)※