首页

比特币勒索病毒事件有望在一周左右平息

张文扬2017-05-15 16:23

经济观察网 记者 张文扬  5月12日晚,一场大规模的勒索软件攻击席卷了全球近百个国家超过10万多台计算机。

受到攻击的电脑上,黑客索要每台电脑300美元的赎金的消息用28种语言显示着。如果用户不支付价值300美元的比特币,电脑里的全部资料将于7日内被删除。同时黑客还警告,金额会在3日后翻倍。

目前,名为WannaCrypt蠕虫已感染国内约3万家机构组织的数十万台机器,覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域。而被感染的电脑数字还在不断增长中。

5月15日,作为病毒爆发后的中国第一个工作日,也迎来最大规模考验。

攻击之广

目前全球范围内有大量的机构报告,受到了“勒索”软件的攻击,这些机构分别在美国、英国、中国、俄罗斯、西班牙、意大利、越南等地。


英国NHS医疗系统首当其冲。伦敦、英格兰西北部和该国其他地区的医院于5月12日因“大规模”的黑客攻击而瘫痪。手术被取消,救护车被迫转向其他医院。医疗工作者报告说,他们的系统被锁定了,根本进不去。屏幕上有消息显示,要求他们支付“赎金”以重新开启。医院要求病人除非是紧急情况,不要来医院。

包括西班牙电信巨头Telefonica,电力公司Iberdrola,能源供应商Gas Natural在内的西班牙公司的网络系统也都瘫痪。葡萄牙电信、美国运输巨头FedEx、瑞典某当地政府、俄罗斯第二大移动通信运营商Megafon都已曝出相关的攻击事件。

13号,欧洲刑警组织在其官网上发布消息称,欧洲刑警组织已经成立网络安全专家小组,对发动本轮网络攻击的“幕后黑手”展开调查。此外,欧洲刑警组织还开始与受影响国家的相关机构展开紧密合作,共同应对网络攻击威胁,并向受害者提供帮助。

互联网金融国家实验室高级研究员朱易翔对经济观察网介绍道, WannaCry蠕虫早在今年2月份就已出现,5月12日大规模传播的WannaCry蠕虫是2.0版本。区别还在于,Wanna Cry蠕虫作者把美国NSA的网络军火库工具用到“传播”环节,使其传播达到了“核武器”级别的水平。

校园网之殇

宋同学是8点左右“中招”的。他对经济观察网说,晚上在寝室电脑上做毕业设计,出去拿了个外卖,回来之后就发现电脑中蠕虫了。电脑桌面上显示了一封勒索信。这封信上,可以选择显示语言,包括中文、韩文、日文、英文等。信上的内容大致是,想要解锁你电脑上的文档,请付300美金等价的比特币。上面还威胁说,一周之内不付款,就永远恢复不了文件了。

宋同学关掉了病毒显示的窗口,但过了一会儿,病毒窗口又跳出来了。检查电脑时发现,Word、MP3、PPT在内的文档,已经全部被锁定了。随之被一同锁定的,还有宋同学辛苦了好几个月、即将上交的毕业设计。

与宋同学同寝室的李同学也遭遇了这次病毒勒索。事实上,同一个校园网内,遭遇这次袭击的人不在少数。

中国多个高校也同时发布了关于连接校园网的电脑大面积中勒索病毒的消息。这种病毒致使许多高校毕业生的毕业论文(设计)被锁,需支付高额比特币赎金后才能解密。目前受影响的有大连海事学院、贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。

据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网是受攻击的重灾区。朱易翔分析道,类似于校园网这样“准封闭”的网络环境受到的影响比较大。这些环境网络边界比较复杂(多、乱),以大内网为主,内部互相访问较多,所以内部基本上不设防,一旦这个蠕虫进去,在内部就畅通无阻。

由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。

“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

比特币之恶

受到攻击的电脑显示,黑客索要每台电脑300美元的赎金——以医院为例,如果每家医院有1000台电脑计算,相当于医院需要支付近300万人民币赎金。

比特币是一种虚拟货币,不依靠特定机构发行,依据特定算法,通过大量的计算产生。可以购买现实或虚拟物品,也可以兑换成大多数国家的货币。


比特币敲诈病毒(CTB-Locker)最早在2015年初传入中国,随后出现爆发式传播。该病毒通过远程加密用户电脑文件,从而向用户勒索赎金,用户只能在支付赎金后才能打开文件。

其最新变种的敲诈金额为3个比特币,约合人民币6000余元。该病毒通过伪装成邮件附件,一旦受害者点击运行,就会弹出类似“订单详情”的英文文档。这时病毒已经在系统后台悄悄运行,并将在10分钟后开始发作。

是否支付赎金?大多数“中招”用户并不买账。他们选择用刷新系统而非支付赎金。而那些毕业设计被锁的毕业生则处于是否要满足黑客的挣扎中。

问题还在于,支付赎金后,加密文件就能万无一失地恢复吗?朱易翔介绍道,如果是数据库之类的,有9成概率可以提取数据并恢复;是office文件,且文件比较大(大于1.5兆),有一定的几率可以恢复;如果是小文件,则恢复希望比较渺茫。

美国著名软件公司赛门铁克公司研究人员13号预计,此次网络攻击事件,全球损失不可估量。

赛门铁克公司研究人员表示,修复漏洞中最昂贵的部分是清空每台受攻击的电脑或服务器的恶意软件,并将数据重新加密。单单此项内容就将花费高达数千万美元。

应对之策

一位英国安全研究人员在捕获到的 Wannacry 蠕虫病毒样本中,发现了一个很长的域名,他出于职业习惯就购买并注册了该域名,结果这个域名恰恰是勒索者用来控制蠕虫病毒传播的“秘密开关”,他的无意之举成功遏制了该蠕虫病毒的传播,挽救了成千上万的电脑。

然而勒索者们并未就此作罢,他们将病毒进行了技术改造后再次放出。

国家互联网应急中心博士、工程师韩志辉表示,目前,安全业界暂未能有效破除该勒索软件的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过专杀工具或重装操作系统的方式来清除勒索软件,但用户重要数据文件不能完全恢复。

几天来应对该勒索软件的实践表明,对广大用户而言最有效的应对措施是要安装安全防护软件,及时升级安全补丁,即使是与互联网不直接相连的内网计算机也应考虑安装和升级安全补丁。作为单位的系统管理技术人员,还可以采取关闭该勒索软件使用的端口和网络服务等措施。

北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。

5月12日,美国微软公司宣布针对攻击所利用的Windows操作系统漏洞,为一些它已停止服务的Windows平台提供补丁。虽然目前只有Windows系统会中招,但朱易翔也表示,不排除黑客将来搞个MAC版的病毒。

国家互联网应急中心建议广大用户及时更新Windows已发布的安全补丁,在网络边界、内部网络区域、主机资产、数据备份方面关闭445、135、137、139等端口(可以认为是计算机与外界通讯的出口)的外部网络访问权限,加强这些端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;安装并及时更新杀毒软件;不要轻易打开来源不明的电子邮件;并定期在不同的存储介质上备份信息系统业务和个人数据。

新技术加持和大量泄漏事件带给不法黑客的武器升级,远比安全部门快上很多。这次经历的全球性袭击,恐怕还是众多事件的开始而已。未来的全球网络安全,恐怕会是一场“大逃杀”模式的无尽战争。

这场病毒勒索事件什么时候能结束?朱易翔对经济观察网说,正常情况下要折腾几周,但是因为微软破例发了补丁,“有望在一周左右平息下来”。

经济观察报 要闻部记者
常驻北京,跟踪商务部各项政策及产业发展动态,重点关注对外贸易、一带一路、国际经济、高新技术产业、互联网、高端智库等,以深度报道、轻商业报道和人物专访见长。