经济观察报

理性 建设性

打开APP

探秘勒索病毒源头:背后可能有犯罪团队运营

预警 频道

张文扬 05-17 10:31 听报

图片来源:全景视觉

经济观察网 记者 张文扬 5月12日晚,一场大规模的勒索软件攻击席卷了全球近百个国家超过10万家组织和机构的计算机。

5月16日,上海交通大学密码与计算机实验室李卷孺博士接受了经济观察网专访,就比特币病毒勒索事件发端源头、影响机构、解决方案、比特币在其中的角色等方面进行了解读。

经济观察网:此次病毒的源头以及事件发端是怎样的?

李卷孺:本次勒索软件(该勒索软件通俗的名称叫做WannaCry,全称可以叫做WanaCrypt0r Ransomware)的源头(病毒的作者)并不清楚,但是从对其代码、软件界面(28种语言)和使用的加密模型来看,是一款相当成熟的勒索软件,应该不是一个业余开发人员短期就能完成的,背后可能有一个犯罪团队在运营。

本次WannaCry勒索软件大规模流行的发端可以归咎于2017年4月14日美国国家安全局下属的方程式(Equation Group)组织的漏洞利用工具的公开事件,当时多个Windows 远程漏洞利用工具公开,可以覆盖大量运行 Windows 操作系统相关计算机,任何人都可以直接下载并远程攻击。而就在一个月之后的5月13日,利用这些漏洞的WannaCry勒索软件大规模攻击就发生了。如果没有这些公开漏洞,那么这种突然间大规模爆发的传播是很难出现的。

经济观察网:哪些相关主体和受影响的机构在找解决方案?有没有找到?

李卷孺:本次攻击主要依靠的公开的Windows漏洞传播,因而受影响的主要是大量使用陈旧Windows版本的一些企业(一些还在使用Windows xp等机关和公司)和缺乏更新的终端(例如很多加油终端、自动售票机、售货机等)。

从该勒索软件的攻击方式来看,主要是加密计算机上的文档,而对正常的系统运行破坏比较小(计算机不会崩溃或者锁死),因而受到影响的还是那些在系统上存放了重要数据而需要恢复的计算机使用主体。尽管这些相关主体都希望能找到解决方案,但是从目前看来,WannaCry的加密算法模型并没有存在明显的缺陷,因而想要完全恢复被加密文件,只能通过勒索软件开发者的私钥去解密,因而就涉及到支付赎金。尽管有一些分析指出可以通过恢复删除文件的方法找回数据,但这种方法不能保证所有被删除文件都能被完整找回,仍然存在一定比例的加密文件无法恢复。

实际上勒索软件早在2015年就已经流行,2016年在美国就有大量的政府机构和相关部门被勒索软件攻击,例如2016年11月的新闻:

旧金山交通局的计算机系统上周遭到了勒索软件的攻击,黑客看起来并不是专门针对旧金山交通局发起攻击的,而是根据已知漏洞进行漏洞扫描时发现该局计算机系统的漏洞。黑客利用的是甲骨文WebLogic服务器的一个已知漏洞。旧金山交通局的发言人声称,勒索软件加密了部分系统,但它的网络并没有被从外界侵入,公交车运营系统和客户支付系统都没有受到影响,服务器上的数据也没有被攻击者访问。安全研究人员称,攻击者利用了开源漏洞扫描工具去识别和入侵服务器扩散勒索软件。旧金山交通局没有向勒索者支付100比特币的赎金,而是利用备份重启了系统。

经济观察网:比特币在其中扮演了什么角色?

李卷孺:比特币及一类广义的密码学货币(Cryptocurrency)是通过密码学函数(特别是密码学单向Hash函数)的计算困难性问题构建的去中心化的一种电子货币系统。

在勒索软件传播过程中,比特币发挥的最基本的特性是它的匿名性交易特性,即通过勒索者公布的比特币钱包地址,既无法追查到相关的实体,也无法追查到勒索者后续交易,这样勒索软件作者就可以放心大胆的收取赎金而不用担心被抓获。

实际上,正是随着比特币的流行,勒索软件才开始大量的传播。今天的勒索软件并没有使用什么特别新颖的密码学技术,其使用的算法都是公开多年的成熟算法,而只有当分布式去中心化匿名密码货币完成了价值上的提升,勒索软件才正式开始成为当前网络犯罪的主流攻击手段之一

活动报名

  • 姓名
  • 手机号
  • 验证码

提示

报名成功

最新评论

还没有任何评论,赶紧发布吧!

猜你喜欢