WannaCry的第二轮网络攻击,欲哭无泪
WannaCry 勒索病毒于上周五爆发,已经影响了超过 150 个国家的至少 20 万台计算机。据俄国卡巴斯基软件安全公司的研究员证实,已经发现了 WannaCry 2.0 勒索病毒,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。
届时因今日工作日,全球各地企业、学校、医院、政府机构等还有许多电脑尚未更新,而这些可能受影响计算机将在上班日集体开机,造成集体中毒,引发更大一波灾情。
自上周日起,不少网络安全公司已发现全球多个国家的机构及个人电脑均遭受名为「WanaCrypt0r 2.0」的勒索软件攻击感染,除Windows 10及Server 2016外,近乎所有Windows系统及其服务器版本均受威胁,安全专家呼吁用户尽快更新安装官方的安全性更新版本,避免系统遭受灾难。
勒索病毒的已知和未知
勒索病毒,原名WannaCry(想哭),后又升级Wanna Crypt0r 2.0。该勒索蠕虫会扫描内网和公网的ip,若被扫描到的ip打开了445端口,则会使用“EternalBlue”(蓝之永恒)漏洞安装后门,释放一个名为Wana Crypt0r敲诈者病毒。
当受害者的电脑遭受感染后,所有档案均被加密成名为 .WNCRY 格式的副件,并无法正常开启读取资料。档案被加密后还是会弹出相同的界面,要求受害者在三天之内交付价值300美元的比特币赎金,逾期加倍,若未能在7天之内交付则永远无法恢复其档案。该提示界面共提供包括中文在内的28种不同语言。
目前国内近3万机构感染勒索病毒, 几乎覆盖所有地区。截至5月13日20点国内有29372家机构组织的数十万台机器感染,有教育科研机构4341家中招;公安系统几乎瘫痪,另包括北京、上海、重庆、四川等多个城市的中国石油加油站断网(今日已逐步修复)是此次事件的重灾区。
汽车行业也深受其害,雷诺汽车公司表示将暂停全球多个地域的汽车生产工作,以组织该病毒透过公司内部网络传播。同期,日产、FedEx以欧洲多家大型电信公司也遭受攻击。勒索蠕虫已攻击了近百个国家的超过10万家企业和公共组织,其中包括1600家美国组织,11200家俄罗斯组织。
IBM根据100个国家的数据分析,认为以下五个行业遭受最容易受到网络犯罪的攻击:
医疗保健:研究表明,网络攻击对医院、医生和诊所的攻击,会造成美国医疗行业每年高达60亿美元的损失。医疗行业的网络犯罪,特别是勒索的首要目标。此次WannaCry病毒最先在英国大规模爆发,病毒入侵英国国家卫生署,一些手术被迫中止。
制造行业:制造业的知识产权和商业秘密是网络犯罪的主要攻击对象之一。此次WannaCry爆发期间,国内还有大量政企机构网络节点尚在关机状态,目前影响尚未统计。
金融服务:90%在金融服务行业的IT安全专业人士认为,他们的组织很容易受到数据泄露。
政府及其他公共服务:公共部门现在与私人部门一样是黑客攻击的目标,此次WannaCry入侵的政府机构目前有美国联邦政府和俄罗斯内政部。
运输业:运输业,特别是物流业是竞争激烈的行业,每天都会产生大量有价值的隐私信息资料,这将成为网络犯罪最容易盯上的行业。
根据统计,国内包括校园网用户、机场、银行、加油站、医院、警察、出入境等事业单位都受到了攻击并且中毒。腾讯安全团队在溯源中发现,病毒爆发是在校园网用户里,但从哪开始不详。猎豹移动安全专家李铁军(微博)则表示,病毒的来源和传播路径目前没有结论,什么时间潜伏进内网的,都需要更多研究来分析。
WannaCry的传播路径是个谜团,互联网安全厂商们仍无法确切还原。
勒索行为成迷
根据腾讯安全团队提供的数据,截至5月13日晚间,全球共有90人交了赎金,总计13.895比特币,价值超过14万,到了5月14日下午四点半,缴纳赎金的人数增长至116人。
尽管目前安全专家们仍未找到解密病毒感染文件的方法,但互联网安全专家们坚持建议受感染用户不要缴纳赎金。原因在于,“WannaCry的勒索行为似乎无法构成一个完整的业务回路”。
反病毒引擎和解决方案厂商安天实验室创始人、首席技术架构师肖新光介绍,在缴纳赎金解密文件这个问题上,“我们的判断和网上的传闻(缴纳赎金成功解密)有出入,即支付了赎金也无法解密。因为每个用户都是个性化的密钥,意味着受害人需要向攻击者提供标识身份的信息。”而实际上受害者在缴纳赎金的过程中无法提供标识身份的信息,因此,这意味着即使受害者交了赎金,依然无法获得解密。
腾讯安全团队得出了同样的结论:经验证,交钱的过程,作者并没有核实受害者的逻辑,只是收了钱,并没有帮忙解密。
这显然并非巧合。肖新光给出另外两种可能的推测:“或者可能是作者根本就没有想解密;还有一种可能是,这是事件本身不是以勒索为目的,而是以勒索者的表现达到其他目的。”
这样使得WannaCry的勒索行为又成了另一个成迷。
腾讯安全反病毒实验室负责人马劲松表示,虽然目前监控到的数据并没有完全证实WannaCry 2.0勒索病毒已经来袭,但出现新变种的可能性非常大,广大用户务必强化网络安全意识,陌生链接不点击,陌生文件不要下载,陌生邮件不要打开,电脑安装并开启杀毒软件。
对于勒索病毒的模式。IBM曾对1,000名商业专业人士的调查发现,60%的受害者愿意支付赎金来安全获取数据。
微软总裁指责美国政府私藏漏洞信息
微软指责美国政府部门私藏大量有关计算机系统的漏洞信息,而 WannaCry 勒索病毒事件“敲响了警钟”。
微软总裁布拉德·史密斯(Brad Smith)周日在博客中表示:
“此次攻击再次表明,为何政府部门私藏漏洞信息会是个问题。我们看见,维基解密上出现了美国中央情报局(CIA)保存的漏洞,而目前来自 NSA 的这一漏洞影响了全球的用户。已有多起事件表明,政府部门掌握的漏洞信息会流向公众,进而造成广泛的破坏。”
史密斯在博文回击了对微软的指控,称微软今年早些时候已经发布了针对该漏洞的补丁。同时警告称,如果政府部门不停止私藏漏洞信息的做法,那么同样的攻击还会发生。
“全球各国政府应当将此次攻击当作警钟。它们需要采取不同的做法,在信息安全领域遵循同一规则,就像在现实世界中使用武器的方式一样。政府应当思考,这些漏洞信息在泄露并被利用后给平民造成的破坏。因此今年 2 月,我们呼吁制定新的‘数字日内瓦条约’对这些问题进行监督,这其中包括要求政府部门向相关供应商报告漏洞,而不是私藏、销售或利用这些漏洞。”
根据全球知名安全公司赛门铁克公司的安全专家表示,在修复该漏洞中,最昂貴的代价就是除了清除受到攻击的电脑或服务器病毒之外,还要将资料重新修复加密。预估每个国家单单在此项工作上就将花费高达数千万美元,而全球的损失则不可估计。
新的危险正在步步逼近,而人们目前对WannaCry病毒本身所知依然有限。
由于不少机构及个人用户未有定期更新安裝Windows系统的习惯,助长了今次「WanaCrypt0r 2.0」能快速感染多個国家的电脑。安全专家亦呼吁机构和个人用户尽快安装微软官方推出的MS17-010安全更新,确保修补今次攻击中使用到的SMB服务器漏洞。
不过,许多机构并未及时给较老的计算机打补丁。但由於于微软早已停止Windows XP系统的技术支持,因此相关更新未有提供,若还有较旧版本的系统受害,将是个比较头疼的事情。
但微软已表示,微软正在“争分夺秒地”协助受影响的客户,甚至为已经停止技术支持的老版本操作系统提供支持。
©转载请联系本公众号
更多精彩阅读请点击:
IT 战略家
这里不打算迎合任何人的三观
但可以保证提供有深度的思考
把握趋势,洞见未来
长按二维码关注