勒索病毒肆虐全球 網(wǎng)絡安全警鐘再敲

楊光

“拔網(wǎng)線”成了很多辦公一族5月15日上班后要做的第一件事。這都是WannaCry勒索病毒惹的禍。

攻擊兇猛“史無前例”

5月12日晚，WannaCry勒索病毒（中文名“想哭”）在全球多個國家蔓延?！跋肟蕖敝饕昧宋④沇indows操作系統(tǒng)存在漏洞的電腦。電腦感染后會顯示一個信息，稱用戶電腦系統(tǒng)內(nèi)的檔案已被加密，須向黑客支付價值約300美元甚至更多的電子貨幣比特幣來贖回。同時黑客還警告，金額會在3天后翻倍，若7天內(nèi)還是沒收到，就會把所有文件刪除。據(jù)英國金融時報報道，該病毒的發(fā)行者利用去年被盜的美國國家安全局自主設計的 Windows系統(tǒng)黑客工具 Eternal Blue，把今年2月的一款勒索病毒進行升級后就成了WannaCry。

至歐洲時間5月14日早上，多達150個國家的20萬臺電腦遭該勒索病毒的侵害。受到該病毒影響的不僅僅是校園網(wǎng)，還包括部分企事業(yè)單位。中國官方媒體報道稱，中國有近 4 萬家公共和私人機構(gòu)受到了攻擊。中國國家互聯(lián)網(wǎng)信息辦公室稱，受害者包括政府機構(gòu)和私營企業(yè)，涉及教育、銀行和信息技術等領域。歐洲的警方協(xié)調(diào)機構(gòu)估計，至少有 20 萬個個人終端成為本次攻擊的受害者。

“想哭”病毒致使醫(yī)院癱瘓，擾亂了運輸網(wǎng)絡，還使企業(yè)無法運轉(zhuǎn)。歐洲刑警組織表示，盡管勒索軟件的出現(xiàn)并非新鮮事，但是“想哭”病毒的攻擊規(guī)?！笆窡o前例”。

由于本次攻擊是勒索病毒借助了蠕蟲的傳播方式，病毒通過系統(tǒng)漏洞進行入侵，無需用戶點擊下載，惡意程序就能遠程植入系統(tǒng)。同時，病毒能啟動掃描功能進行二次傳播，這就有能力進行大規(guī)模傳播，局域網(wǎng)在這次事件中受沖擊最大。

在英國，英格蘭和蘇格蘭醫(yī)療系統(tǒng)的部份電腦系統(tǒng)受病毒感染，運作大受影響。除了英國，遭受“想哭”襲擊的有一長串名單：德國鐵路（Deutsche Bahn）、美國物流集團聯(lián)邦快遞（FedEx）、法國汽車制造商雷諾（Renault）、西班牙電信（Telefónica）、西班牙電力公司（Iberdrola）、葡萄牙電信（Portugal Telecom）等都受到影響。俄羅斯和印度的情況最嚴重，這兩個國家仍廣泛使用“最容易中招”的微軟視窗XP系統(tǒng)。

據(jù)360安全專家介紹，這次的“永恒之藍”勒索蠕蟲，是NSA網(wǎng)絡軍火民用化的全球第一例。一個月前，第四批NSA相關網(wǎng)絡攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統(tǒng)服務（SMB、RDP、IIS）的遠程命令執(zhí)行工具，其中就包括“永恒之藍”攻擊程序。

據(jù)追蹤比特幣非法使用情況的倫敦公司 Elliptic Enterprises 稱，截至當?shù)貢r間周一，用戶只向黑客支付了總計約人民幣 34 萬元贖金。不過，這些贖金只占此次網(wǎng)絡攻擊所產(chǎn)生實際損失的一小部分。據(jù)《華爾街日報》報道，硅谷網(wǎng)絡風險建模公司 Cyence 的首席技術官 George Ng 稱，在考慮了電腦系統(tǒng)平均備份比例以及遭攻擊公司的業(yè)務范圍后，估計此次網(wǎng)絡攻擊造成的全球電腦死機直接成本總計約 80 億美元。

轉(zhuǎn)機源于“無心插柳”

電腦專家指出，大部份的病毒依靠引誘使用者點擊一些由黑客撰寫的電郵附件傳播；但“想哭”有所不同——它可以自動在內(nèi)網(wǎng)散播，讓病毒在短時間感染許多系統(tǒng)，導致“想哭”病毒大面積傳播爆發(fā)。

“想哭”病毒，是一種勒索病毒。所謂勒索病毒，是以敲詐勒索為目的的新型網(wǎng)絡病毒。它的特點是，不僅具備傳染性，而且以敲詐勒索贖金為目的。另外就是這個病毒很頑固，每臺機器的加密方式不同，被它惡意加密的文件，除了病毒制造者外，目前無人能解。

安全專家提到：“目前的互聯(lián)網(wǎng)環(huán)境中，我們個人會做很多防護措施，比如安裝殺毒軟件。但這次病毒影響最大的不是個人所使用的互聯(lián)網(wǎng)，而是政府和企業(yè)內(nèi)部的網(wǎng)絡，這些網(wǎng)絡在過去的管理當中，由于沒有打補丁，導致了漏洞的存在，病毒就得以在這些系統(tǒng)中快速傳播，從而對政府或企業(yè)的業(yè)務系統(tǒng)，比如說交費、學生的畢業(yè)論文、加油等等產(chǎn)生極大影響。勒索病毒不單單是影響一臺電腦，還直接影響到了人們的工作和生活?！?/p>

5月14日下午，國家網(wǎng)絡與信息安全信息通報中心緊急通報，監(jiān)測發(fā)現(xiàn)在全球范圍內(nèi)爆發(fā)的勒索病毒出現(xiàn)了變種WannaCry 2.0，與之前版本的不同是，這個變種取消了Kill Switch，不能通過注冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

關于勒索病毒的變種，專家解釋，病毒變種，危害程度和第一版的病毒其實是一樣的，只是加速了病毒的傳播速度。過去病毒為了對抗殺毒軟件、安全軟件，做了一些機制來保護自己，現(xiàn)在的變種就是打開了這樣的一些保護機制，更加肆無忌憚地在網(wǎng)上傳播，傳播速度更快。

對于變種病毒的防范方法，專家說：“變種之前和變種之后的防護方法其實大同小異，最重要的是針對用戶的電腦打補丁，把漏洞修補。政府和企業(yè)用戶，不僅僅要解決單臺電腦的問題，還要通過網(wǎng)絡策略的配置，來解決病毒的快速傳播問題。一旦一臺電腦中毒，要把病毒控制在一臺電腦當中做隔離，這時候就需要通過網(wǎng)絡的手段來控制病毒的快速傳播。”

WannaCry勒索病毒第一波雖然來勢兇猛，但發(fā)展速度很快就減緩下來。原來是一位英國網(wǎng)絡安全人員無意中阻止了第一波的發(fā)展勢頭。

他發(fā)現(xiàn)在代碼的一開始，有一個特殊的域名地址（ www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com），完全不像一個正常的域名。與此同時，地球另一端思科的網(wǎng)絡安全人員也發(fā)現(xiàn)了這個域名。他們發(fā)現(xiàn)，在之前網(wǎng)絡上完全沒有針對這個域名的訪問，而從勒索病毒爆發(fā)開始，這個域名的訪問量激增，峰值達到了每小時1400多次。

發(fā)現(xiàn)這個域名之后，這位英國網(wǎng)絡安全人員照例進行了搜索，發(fā)現(xiàn)那個域名地址并沒有被注冊，出于職業(yè)習慣，他花了一點小錢就對這個域名進行了注冊。他發(fā)現(xiàn)這個域名幾乎連接到了世界各個國家的電腦。當時，他自己不知道發(fā)生了什么事，只知道這個域名不簡單。

事后才發(fā)現(xiàn)，他當時隨意的注冊，簡直立了大功！隨著對病毒代碼的進一步分析，安全人員發(fā)現(xiàn)，這個域名看起來像是病毒作者給自己留的一個緊急停止開關（ 防止事情失去他自己的控制）。也就是說，每一個感染了病毒的機器，在發(fā)作之前都會事先訪問一下這個域名，如果這個域名依舊不存在，那就繼續(xù)傳播，如果已經(jīng)被人注冊了，無論是被病毒作者本人還是被其他人，那就停止傳播。

就是這個簡單的域名，經(jīng)英國那位網(wǎng)絡安全人員不經(jīng)意間的注冊，就觸發(fā)了病毒作者留給自己的緊急停止的開關……

未雨綢繆勝于亡羊補牢

勒索病毒在給社會經(jīng)濟造成損失的同時，也再次拉響了網(wǎng)絡安全的警報，包括公安教育醫(yī)療能源等防護失當，引人深思。面對此次勒索病毒，360、亞信、安天、安恒、綠盟、可信聯(lián)盟等迅速行動。

亞信網(wǎng)絡安全產(chǎn)業(yè)技術研究院副院長童寧認為，此次勒索蠕蟲病毒雖然造成不小的損失，但是從另一個方面來說，不失為一堂生動的網(wǎng)絡安全教育課，提示社會各方面在享受互聯(lián)網(wǎng)帶來的便利的同時，還要時刻繃緊網(wǎng)絡安全這根弦。隨著網(wǎng)絡日益滲透到生活的方方面面，網(wǎng)絡安全的威脅也將從虛擬走進現(xiàn)實?！半S著物聯(lián)網(wǎng)設備走進生活，網(wǎng)絡安全威脅可能更加普遍，假如被‘劫持的不是電腦，而是無人機或無人駕駛汽車，給人們帶來的危險將是直接而現(xiàn)實的?！?/p>

公安部信息安全等級保護評估中心張振峰認為：“我們?nèi)祟惤鉀Q問題分為兩個層次，低層次是停留在出現(xiàn)問題解決問題層面，而高層次是著眼于如何防止問題發(fā)生。不要總是在事后才亡羊補牢，才去重視，倘若平時能夠合規(guī)一點，哪怕只落實一部分，也會降低事件發(fā)生的可能，減小事件造成的損失?！?/p>

中國工程院院士倪光南談到“勒索病毒”時指出，“自主可控”是實現(xiàn)網(wǎng)絡安全的前提。目前我國的網(wǎng)絡系統(tǒng)相當于是在別人的地基上建房子，在CPU等關鍵技術領域，發(fā)達國家處于領先地位，因此，只有構(gòu)建屬于中國自主技術、平臺的網(wǎng)絡生態(tài)系統(tǒng)，才能真正避免受制于人，也才能有效解決類似于此次“勒索病毒”的問題。