?
2017年5月12日,一個愜意的周末。
英國倫敦的一位醫生打開了全民醫療系統NHS的界面,準備查看今天的手術安排。
但是,在Windows歡迎界面后迎接他的并非是NHS的登錄框,而是一個紅色對話框,上面寫著“你的文件已經被加密了”。
他發現,電腦上的所有軟件與文件都被加密無法打開,而同一辦公室的電腦都被鎖死,這意味著今天多位病人手術都按時無法進行。
這位醫生不知道的是,不僅他所屬英國全民醫療系統NHS旗下的48家醫院受到這種病毒的沖擊,包括美國、俄羅斯、中國在內,總共150個國家的30萬名用戶的電腦都被這種病毒入侵并鎖死。
這就是在全球范圍內爆發,造成損失達80億美元的勒索病毒“WannaCry”。
毒如其名,感染者欲哭無淚
這款被稱為“WannaCry”(想哭)的蠕蟲病毒采用的是傳統的“釣魚式攻擊”,通過網頁鏈接或其他方式引誘用戶點擊并下載郵件、附件等看似正常的文件,從而完成病毒的入侵與安裝。
病毒會將用戶的電腦里所有文件的權限鎖死,并會在桌面彈出紅色勒索對話框,要求受害者支付價值三百美元的比特幣來“贖回”用戶自己的文件。
病毒爆發后不久,就有網絡專家根據其入侵方式與傳播方法,識別出這個病毒可能改造自之前泄露的NSA(美國國家安全局)黑客武器庫中的“永恒之藍”。“永恒之藍”的攻擊程序中,惡意代碼會掃描開放特定端口的Windows 機器,用戶只要開機上網,不法分子就可以對電腦和服務器進行破壞。
由于教育網及大量企業內網的電腦出于安全考慮,采用的是內部局域網架構,也沒有對相應端口進行封鎖與升級,成為此次蠕蟲病毒的重災區。
來自紐約大學的計算機教授賈斯汀•坎波斯向看看新聞Knews記者解釋,此次勒索病毒之所以來勢洶洶,和根源代碼來自美國網絡武器庫不無關系。那些泄露的襲擊代碼,“使得那些原本沒有能力的黑客也能夠利用這些成型的代碼發動攻擊。”
修復之路,遠不如想象中容易
勒索病毒的全球蔓延讓許多網絡安全專家都頭疼不已。在各大機構爭相發布相應指南和處理措施的同時,大量的網絡安全機構都在對病毒的蔓延與傳播情況進行監控。
一個意外的插曲是,英國的一位網絡安全工程師哈欽斯注意到一款勒索軟件正不斷嘗試進入一個并不存在的網址,于是他花8.5英鎊(約合75元人民幣)注冊了這個域名。不可思議的是,此后“Wannacry”勒索病毒在全球的蔓延得到大幅控制。
他和同事在事后分析,網址被注冊相當于觸發了勒索軟件自帶的“自殺開關”。網址很可能是黑客設定的“檢查站”,每次發作前軟件會訪問網址,如網址不存在,說明安全人員尚未注意,可橫行無阻;若網址存在,為避免被“反攻”,勒索軟件會停止傳播。
哈欽斯的這一舉動為廣大還沒有遭受感染的用戶爭取了喘息時間,升級官方發布的補丁。
但很快,勒索病毒又出現新的變種“Wannacry 2.0”,開始新一輪的入侵攻勢。
在國內,網絡安全公司也在積極行動。來自國家互聯網應急中心的嚴寒冰告訴看看新聞Knews記者,5月13日所檢測的攻擊數量已經超過了一百萬次,而到了5月14日,這個數字已經翻了一倍,被感染機器數量也從1萬臺上升到3.5萬臺。
隨后到來的5月15日,是“Wannacry”病毒爆發后的第一個工作日。全國數千萬臺電腦會在這個周一被喚醒。如果不采取措施對這些電腦進行保護,勒索病毒的感染范圍又將進一步擴大。
“周日的時候,我們專門寫了一個應對勒索軟件蠕蟲的指南,給社會還有廣大的一些單位提供應對蠕蟲的一些指導。”嚴寒冰對記者說道。
金山、騰訊、360,幾乎所有國內互聯網公司的安全部門都在周末發布了各自的應急補丁。Wannacry的攻勢漸漸減弱,擴散與感染程度被有效遏制。
網絡防御,亟需與時俱進
值得注意的是,那些采用封閉內網結構的設施在此次攻擊中紛紛中招,比如銀行的ATM機、公司職員的電腦、加油站等。
究其原因,對個人電腦來說,可以自行學習相關知識并進行修復;但是對于大型組織機構而言,面對成百上千臺機器,必須使用集中管理的客戶端。尤其是之前沒有做好安全防護措施的大型機構,這樣的問題處理起來十分棘手,其修復難度要更困難一些。
可以說,此前看起來固若金湯的內網系統架構,在此次勒索病毒危機中反而成為了幫助病毒擴散的“幫兇”。
360公司創始人周鴻祎告訴看看新聞Knews記者,任何系統都有被攻破的可能,國內內網系統薄弱的根本原因是源于意識上的落后。許多單位認為只要把內網與互聯網隔離開來就能夠解決病毒的問題,如果網絡安全意識還停留在這種程度,自然難以應對新型網絡攻擊。
他認為,保障網絡安全更應著重于網絡安全的策略建設和人才培養。
“許多單位都沒有成熟的網絡安全防護隊伍,在關鍵時刻沒有可執行的防護預案,自然在受到攻擊的時刻不能及時進行修復。”周鴻祎認為,借助專業硬件防護的同時,也建立屬于自己的網絡安全團隊,是傳統單位做好網絡防御的重要途徑。
(看看新聞Knews記者:施聰 朱厚真 劉水 金翔)
[編輯: 李敏娜]
?
