席卷全球的红色幽灵“WannaCry”

发布时间:2017-09-20浏览次数:268

  2017512日,一个惬意的周末。英国伦敦的一位医生打开了全民医疗系统NHS的界面,准备查看今天的手术安排。
  但是,在Windows欢迎界面后迎接他的并非是NHS的登录框,而是一个红色对话框,上面写着“你的文件已经被加密了”。他发现,电脑上的所有软件与文件都被加密无法打开,而同一办公室的电脑都被锁死,这意味着今天多位病人手术都按时无法进行。
这位医生不知道的是,不仅他所属英国全民医疗系统NHS旗下的48家医院受到这种病毒的冲击,包括美国、俄罗斯、中国在内,总共150个国家的30万名用户的电脑都被这种病毒入侵并锁死。
  这就是在全球范围内爆发,造成损失达80亿美元的勒索病毒“WannaCry”。
毒如其名,感染者欲哭无泪
  这款被称为“WannaCry”(想哭)的蠕虫病毒采用的是传统的“钓鱼式攻击”,通过网页链接或其他方式引诱用户点击并下载邮件、附件等看似正常的文件,从而完成病毒的入侵与安装。
  病毒会将用户的电脑里所有文件的权限锁死,并会在桌面弹出红色勒索对话框,要求受害者支付价值三百美元的比特币来“赎回”用户自己的文件。
病毒爆发后不久,就有网络专家根据其入侵方式与传播方法,识别出这个病毒可能改造自之前泄露的NSA(美国国家安全局)黑客武器库中的“永恒之蓝”。“永恒之蓝”的攻击程序中,恶意代码会扫描开放特定端口的Windows 机器,用户只要开机上网,不法分子就可以对电脑和服务器进行破坏。
  由于教育网及大量企业内网的电脑出于安全考虑,采用的是内部局域网架构,也没有对相应端口进行封锁与升级,成为此次蠕虫病毒的重灾区。
  来自纽约大学的计算机教授贾斯汀•坎波斯向看看新闻Knews记者解释,此次勒索病毒之所以来势汹汹,和根源代码来自美国网络武器库不无关系。那些泄露的袭击代码,“使得那些原本没有能力的黑客也能够利用这些成型的代码发动攻击。”
修复之路,远不如想象中容易
  勒索病毒的全球蔓延让许多网络安全专家都头疼不已。在各大机构争相发布相应指南和处理措施的同时,大量的网络安全机构都在对病毒的蔓延与传播情况进行监控。
  一个意外的插曲是,英国的一位网络安全工程师哈钦斯注意到一款勒索软件正不断尝试进入一个并不存在的网址,于是他花8.5英镑(约合75元人民币)注册了这个域名。不可思议的是,此后“Wannacry”勒索病毒在全球的蔓延得到大幅控制。
  他和同事在事后分析,网址被注册相当于触发了勒索软件自带的“自杀开关”。网址很可能是黑客设定的“检查站”,每次发作前软件会访问网址,如网址不存在,说明安全人员尚未注意,可横行无阻;若网址存在,为避免被“反攻”,勒索软件会停止传播。
  哈钦斯的这一举动为广大还没有遭受感染的用户争取了喘息时间,升级官方发布的补丁。但很快,勒索病毒又出现新的变种“Wannacry 2.0”,开始新一轮的入侵攻势。
在国内,网络安全公司也在积极行动。来自国家互联网应急中心的严寒冰告诉看看新闻Knews记者,513日所检测的攻击数量已经超过了一百万次,而到了514日,这个数字已经翻了一倍,被感染机器数量也从1万台上升到3.5万台。
  随后到来的515日,是“Wannacry”病毒爆发后的第一个工作日。全国数千万台电脑会在这个周一被唤醒。如果不采取措施对这些电脑进行保护,勒索病毒的感染范围又将进一步扩大。
  “周日的时候,我们专门写了一个应对勒索软件蠕虫的指南,给社会还有广大的一些单位提供应对蠕虫的一些指导。”严寒冰对记者说道。
  金山、腾讯、360,几乎所有国内互联网公司的安全部门都在周末发布了各自的应急补丁。Wannacry的攻势渐渐减弱,扩散与感染程度被有效遏制。