核心提示
2017年5月12日,一个惬意的周末。英国伦敦的一位医生打开了全民医疗系统NHS的界面,准备查看今天的手术安排。但是,在Windows欢迎界面后迎接他的并非是NHS的登录框,而是一个红色对话框,上面写着“你的文件已经被加密了”。
2017年5月12日,一个惬意的周末。
英国伦敦的一位医生打开了全民医疗系统NHS的界面,准备查看今天的手术安排。
但是,在Windows欢迎界面后迎接他的并非是NHS的登录框,而是一个红色对话框,上面写着“你的文件已经被加密了”。
他发现,电脑上的所有软件与文件都被加密无法打开,而同一办公室的电脑都被锁死,这意味着今天多位病人手术都按时无法进行。
这位医生不知道的是,不仅他所属英国全民医疗系统NHS旗下的48家医院受到这种病毒的冲击,包括美国、俄罗斯、中国在内,总共150个国家的30万名用户的电脑都被这种病毒入侵并锁死。
这就是在全球范围内爆发,造成损失达80亿美元的勒索病毒“WannaCry”。
毒如其名,感染者欲哭无泪
这款被称为“WannaCry”(想哭)的蠕虫病毒采用的是传统的“钓鱼式攻击”,通过网页链接或其他方式引诱用户点击并下载邮件、附件等看似正常的文件,从而完成病毒的入侵与安装。
病毒会将用户的电脑里所有文件的权限锁死,并会在桌面弹出红色勒索对话框,要求受害者支付价值三百美元的比特币来“赎回”用户自己的文件。
病毒爆发后不久,就有网络专家根据其入侵方式与传播方法,识别出这个病毒可能改造自之前泄露的NSA(美国国家安全局)黑客武器库中的“永恒之蓝”。“永恒之蓝”的攻击程序中,恶意代码会扫描开放特定端口的Windows 机器,用户只要开机上网,不法分子就可以对电脑和服务器进行破坏。
由于教育网及大量企业内网的电脑出于安全考虑,采用的是内部局域网架构,也没有对相应端口进行封锁与升级,成为此次蠕虫病毒的重灾区。
来自纽约大学的计算机教授贾斯汀坎波斯向看看新闻Knews记者解释,此次勒索病毒之所以来势汹汹,和根源代码来自美国网络武器库不无关系。那些泄露的袭击代码,“使得那些原本没有能力的黑客也能够利用这些成型的代码发动攻击。”
修复之路,远不如想象中容易
勒索病毒的全球蔓延让许多网络安全专家都头疼不已。在各大机构争相发布相应指南和处理措施的同时,大量的网络安全机构都在对病毒的蔓延与传播情况进行监控。
一个意外的插曲是,英国的一位网络安全工程师哈钦斯注意到一款勒索软件正不断尝试进入一个并不存在的网址,于是他花8.5英镑(约合75元人民币)注册了这个域名。不可思议的是,此后“Wannacry”勒索病毒在全球的蔓延得到大幅控制。
他和同事在事后分析,网址被注册相当于触发了勒索软件自带的“自杀开关”。网址很可能是黑客设定的“检查站”,每次发作前软件会访问网址,如网址不存在,说明安全人员尚未注意,可横行无阻;若网址存在,为避免被“反攻”,勒索软件会停止传播。
哈钦斯的这一举动为广大还没有遭受感染的用户争取了喘息时间,升级官方发布的补丁。
但很快,勒索病毒又出现新的变种“Wannacry 2.0”,开始新一轮的入侵攻势。
在国内,网络安全公司也在积极行动。来自国家互联网应急中心的严寒冰告诉看看新闻Knews记者,5月13日所检测的攻击数量已经超过了一百万次,而到了5月14日,这个数字已经翻了一倍,被感染机器数量也从1万台上升到3.5万台。
随后到来的5月15日,是“Wannacry”病毒爆发后的第一个工作日。全国数千万台电脑会在这个周一被唤醒。如果不采取措施对这些电脑进行保护,勒索病毒的感染范围又将进一步扩大。
“周日的时候,我们专门写了一个应对勒索软件蠕虫的指南,给社会还有广大的一些单位提供应对蠕虫的一些指导。”严寒冰对记者说道。
金山、腾讯、360,几乎所有国内互联网公司的安全部门都在周末发布了各自的应急补丁。Wannacry的攻势渐渐减弱,扩散与感染程度被有效遏制。
网络防御,亟需与时俱进
值得注意的是,那些采用封闭内网结构的设施在此次攻击中纷纷中招,比如银行的ATM机、公司职员的电脑、加油站等。
究其原因,对个人电脑来说,可以自行学习相关知识并进行修复;但是对于大型组织机构而言,面对成百上千台机器,必须使用集中管理的客户端。尤其是之前没有做好安全防护措施的大型机构,这样的问题处理起来十分棘手,其修复难度要更困难一些。
可以说,此前看起来固若金汤的内网系统架构,在此次勒索病毒危机中反而成为了帮助病毒扩散的“帮凶”。
360公司创始人周鸿祎告诉看看新闻Knews记者,任何系统都有被攻破的可能,国内内网系统薄弱的根本原因是源于意识上的落后。许多单位认为只要把内网与互联网隔离开来就能够解决病毒的问题,如果网络安全意识还停留在这种程度,自然难以应对新型网络攻击。
他认为,保障网络安全更应着重于网络安全的策略建设和人才培养。
“许多单位都没有成熟的网络安全防护队伍,在关键时刻没有可执行的防护预案,自然在受到攻击的时刻不能及时进行修复。”周鸿祎认为,借助专业硬件防护的同时,也建立属于自己的网络安全团队,是传统单位做好网络防御的重要途径。