“勒索”病毒72小时

冯庆艳2017-05-19 21:00

图片来源:全景视觉

经济观察网 记者 冯庆艳

5月12日下午三点,值班人员把那条报警短信转给郑文彬时,他有一个预感:十多年都未发生的大规模勒索病毒事件,恐怕要成真了。

位于北京朝阳区的360总部大楼6层,是一个网络安全响应中心,监控系统24小时轮流值班。这家公司的首席安全工程师郑文彬终于看到那件“意料之中,却又感到不可思议”的事,“实时监控数据显示,一个病毒传播量陡然飙升,在当时一小时内中国就有几千台电脑被攻击”。

五天后,360董事长周鸿祎在谈起当时那一刻时说,“我感觉像潘多拉盒子被打开了”。

被恶魔笼罩着的是全球150多个国家的无数台电脑的主人。5月12日当天,英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,截至记者发稿,全球30万台电脑、其中中国29000多个IP遭受感染。

涉及国家众多的同时,个人用户遭攻击之外,波及医院、教育、公安、石油、民航和铁路等国家的IT基础设施。

其中,英国国立医疗服务(NHS)在此次病毒攻击中受到重大影响,英格兰、苏格兰许多医院正常的治疗活动受到影响,英国政府表示,在NHS全国248个医疗机构中,共有48个受到了攻击。

而中国的一些高校是病毒刚开始发作的重灾区之一。360针对勒索病毒事件的检测数据显示,5月12日“想哭”勒索病毒发起全球攻击后,在中国部分校园网开始扩散,夜间高峰期每小时攻击约4000次。

与此同时,中石油包括北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在5月13日凌晨突然断网,造成无法刷银行卡及使用网络支付,一天左右后才基本恢复正常。

作为值班人员之外第二个知晓“想哭”勒索病毒的人,郑文彬直到现在仍心有余悸。由于连熬几天夜、每天仅睡3到4个小时,他的眼睛通红、精神状态稍显疲惫。

从2006年进入网络安全领域,十多年的从业经验下,正常思维判断,郑文彬没想到,以前往往买卖双方私下交易,网络黑产利益链悄然存活多年,这个病毒波及范围如此之广而且出现大规模IT基础设施遭感染的局面。

5月12日17点多,就在发现病毒警报两小时后,郑文彬迅速联动其所在的技术团队、产品团队、客服部门以及负责企业安全的部门,成立了第一个应对这个病毒事件的群,后续又迅速运转起来两个群,这三个群,其中有各部门的技术团队的群,有负责企业、政府、个人等各个部门信息沟通的群,另外一个便是企业高层协调群,于是各方就迅速运转起来。

周鸿祎也加入了协调群,并不断提出建议意见,郑文彬说,“做一个集成的查杀、打补丁进行免疫、被病毒加密后恢复、可以离线用的工具,正是来自于老周的建议”。

这一次有200人左右投入进来,主要做产品和技术、研发测试方面的工作,其中郑文彬的响应团队不到50人,而公司的企业安全部门则有上千人在为此忙碌,主要是客户和产品的响应方面。

在360大楼6层应急响应中心,一个由各个部门联动组成的安全技术团队,都聚集在一起办公,不论白天和晚上都保持十几个人在那里值班。那几天的办公场景是,桌子上放满了凌乱的快餐盒,每个人都像“打了鸡血”一样,即使在夜间也在一直分析找漏洞,“这个阵地一直有人守,上半夜一拨人,下半夜再换另一拨人”,郑文彬说,“为了避免更大损失,我们一直在跟对方赛跑”。

“这是一个在文件加密方面比较规范的勒索病毒,流程符合密码学标准,”郑文彬坦言,如果没有私钥,基本无法解密。

大约过了一天,5月13日下午的晚点时间,应急响应中心里传出好消息,终于解密了该病毒存在设计上的一个漏洞,当天晚上技术团队接着熬夜做恢复工具,直到5月14日凌晨2点,才把这个工具正式发布出去。

“在360安全卫士5亿用户中,仅约有20万没有打补丁的用户电脑被病毒攻击,但基本都被拦截下来。正常安装和开启360的用户不会中毒。” 360安全产品负责人孙晓骏说。

而针对不少企业和政府的计算机系统,没有官方补丁的系统,或者官方补丁打不上的系统,郑文彬的团队又在5月15日上午发了一个热补丁,以化解此类用户的危机。

这恰好离蠕虫勒索病毒爆发72小时左右,郑文彬终于可以舒口气。“目前勒索病毒已经得到控制,其高峰期可以说已过去了。”

周鸿祎在两天后召开的发布会上解释说,此次“想哭”勒索病毒的巨大威力,是永恒之蓝(Eternalblue)这颗堪比洲际导弹的网络军火赋予的,这个武器是早在今年4月14日,黑客组织影子经纪人(Shadow Brokers)公布的Equation Group(方程式组织)使用的一些“网络军火”之一,这些“网络军火”包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中以“永恒之蓝”最为方便利用。

实际上,早在4月15日,就有网络安全公司就在网上做了国内最早的一个安全预警,称有严重漏洞和武器被公布了,告知用户等打补丁的方式,也发布了蠕虫预警。然而,这并未引起用户重视。

几天后的4月19日,360针对永恒之蓝等漏洞和武器,推出了免疫工具,那之后,郑文彬说,“我们担心发生大规模攻击,所以仍然密切监控。”

4月27日,360监控到了一种名叫“洋葱”(ONION)的病毒,但该病毒传播量比较少,属于点对点的,并非蠕虫式的,中国也有零星用户被攻击。

据了解,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

不过,让周鸿祎庆幸的是,“永恒之蓝”这么强大的武器,落到了一帮有点搞笑的毛贼手里,相当于他们搞到了一枚洲际导弹,但却用它做了一件很低俗的敲诈勒索的事情。

根据公开的比特币交易平台数据,截至5月15日凌晨五点,全球已有136人交了赎金,共价值3.6万美元。由于网络犯罪分子要求,三天之内付款,三天后翻倍。可能会有人在此之前交赎金。

腾讯玄武实验室负责人于旸表示,永恒之蓝这样的漏洞和工具,如果不被公开,在黑市上交易,至少价值数十万美元到上百万美元。他说,“十多年以来,从恶作剧式的网络犯罪到以政治和经济利益为目的的网络犯罪的演进过程,折射出了网络世界的蓬勃发展。”

实际上针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全卫士也已推出“NSA武器库免疫工具”,能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

缘何此次电脑用户仍大规模“中招”?一些遭攻击严重的国家网络系统陷入一片瘫痪之中。

郑文彬说,机构最早感染了一些校园网,主要是这些校园网存在暴露着445端口又没有打补丁的机器,一台中招,一片传染,而很多企业内网从不打补丁,只寄希望于隔离网,只要一台从外边感染的电脑,拿到内网去用,内网便整个被传染了。

一个例子是,有一个国家机关基本全线瘫痪,网络安全公司派了几十人到那个单位去都觉得人力不足,就是因为它每一台电脑都需要手动去修复,完全脱离互联网的环境。

“这次勒索病毒发生前,我们就已经基于360的数据和监测扫描出国内很多重要机构,被永恒之蓝已经光顾过和渗透过了,所以,这次对全球的网络军备竞赛来说,可能会点燃一个导火索。”周鸿祎说。

360互联网安全中心提供的数据显示,国内机构感染永恒之蓝勒索蠕虫行业分布情况如下:教育科研占14.7%,商业中心占10.3%,交通运输占9.1%,政府、事业单位、社会团体占3.6%,医疗卫生2.4%,企业占1.4%……

于旸表示,“想哭”勒索病毒事件是一个标志性事件,这种级别的蠕虫事件很多年没有发生过了,而随着信息安全工作和操作系统厂商的集体努力,使得可以大规模蠕虫传播的漏洞越来越稀有。

“这次和十年前那几次大规模蠕虫事件最大的不同,就是把蠕虫、勒索软件两种威胁,以及一个威力巨大的漏洞结合在一起。未来这很可能会让其他网络犯罪分子复制模仿这种方式。” 于旸说。

TMT新闻部主任
关注TMT(科技/媒体/电信)领域的重大事件。擅长调查、深度及人物报道。