还原“勒索病毒”路径 360专家提醒用户两件事
WannaCry从5月12日开始在全球范围内爆发,5月12日夜间在中国出现第一轮爆发高峰。经过周末的休息日,今天(周一)上午又经历了一小轮爆发高峰。至今,事态已经基本控制。
在今天360公司的沟通会上,安全专家提醒广大用户,这么大规模的蠕虫爆发,很多年都没有见过了(上一次还是2008年),大家的安全意识在降低。因此,特别提醒用户两点:
无论什么网络条件下使用电脑,一定要装安全软件。
无论什么使用状况,文件备份都很重要。
接下来,跟着360安全专家一起还原一下被称为勒索病毒的WannaCry(想哭)爆发路径以及这三天以来造成的影响。
下图是勒索病毒“想哭”时间线,由此可见隐患在4年前就埋下了:
下图是“想哭”病毒蠕虫式传播示意图:
好了,接下来说一说从12日爆发以来的影响到底有多大?
12日,英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击。
最先报道出来的,是全英国上下多达25家医院和医疗组织遭到大范围网络攻击。医院的网络被攻陷,电脑被锁定,电话打不通.......有报道称,黑客向每家医院索要300比特币(接近400万人民币)的赎金,如果3天之内没有交上,赎金翻倍,如果7天内没有支付,黑客将删除所有资料....非常可恨,据报道已经有病人因为医院网络被攻陷、无法得到及时求助而死亡。
随后攻击面积不断扩大。12日夜间,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。另外有网友反映,大连海事大学、山东大学等也受到了病毒攻击。
中国高校学生面临着一次声势浩大的网络绑架。而更有毕业生因为毕业论文无法完成,有可能导致毕业延后的情况发生。
不完全统计显示,此次攻击规模已涉及全球99个国家和地区,英国、美国、中国、俄罗斯、西班牙、意大利和台湾均有感染报告。
网络安全公司Avast称在全世界检测到7.5万WannaCry劫持,规模之大让Avast软件研究员Jakub Kroustek为之震惊。因此,该安全事件被多家安全机构风险定级为“危急”。这可能是继熊猫烧香之后,又一大范围的电脑中毒事件。
截止目前,已经有国外研究机构验证,交付赎金后确实可解密文件。而截至5月15日凌晨,136人交了赎金,总价值约3.6万美元。从这一数据来看,全球交赎金的用户并不多。但360认为,即便支付赎金也不能百分之百做到文件恢复。
12日,360安全团队开始连轴奋战。截止目前,360安全卫士5亿用户中,绝大多数用户已在3月修复漏洞,不受影响。约20万没有打补丁的用户电脑被病毒攻击,基本全部拦截。交出了出“360用户无影响”的漂亮成绩单。
同时,基于病毒网络活动特征监测统计(覆盖非360用户):在5月12日至5月13日间,国内出现29000多个感染WNCRY1.0勒索病毒的IP,各行业分布情况如下图,可见,教育、生活服务、政府机关、医疗都是“重灾区”。
勒索病毒到底是什么?
据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
也就是说“勒索”软件利用的是微软操作系统的一个漏洞。
据悉,这个漏洞最早是美国国家安全局(NSA)发现的,美国国安局将其命名为“永恒之蓝”(EternalBlue)。后来,一个名叫“影子经纪人”的黑客组织从美国国安局的黑客武器库那里窃取了工具,然后在网上公开售卖牟利。
目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,中毒后的表现是:受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和与300美元等值的比特币,折合人民币分别为5万多元和2000多元。
大家可能还有一个疑惑,为什么在中国会是大面积在校园爆发?
有报道说,这次病毒选择攻击校园。还真不是这么回事。由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网存在大量暴露着445端口的机器,因此校园成为此次不法分子使用NSA黑客武器攻击的重灾区。
正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。
360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
关于病毒解释清楚了,懂懂想再多说几句。早年的黑客是以“炫技”为主,后来的黑客商业目的越来越明确。这次病毒爆发之快、之广,目前的信息还不完整。但可以看到勒索的条件是以比特币为主。
比特币最早是一种网络虚拟货币,跟腾讯公司的Q币类似,但是已经可以购买现实生活当中的物品。它的特点是分散化、匿名,不属于任何国家和金融机构,并且不受地域限制,也因此“最适合”被不法分子当做洗钱工具。
这一次的病毒事件就是黑客利用了比特币没有痕迹的交易漏洞,从而可以轻松地坐收渔利。以比特币交易网的最新价格为准,目前一个比特币的价值高达10504元,近乎天价。
比特币的价格一路走高,这更让不法分子趋之若鹜,不惜犯险。
下图为比特币的走势:
360安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。
最后,懂懂想说,信息安全是一个永恒的话题,总是在不断地演进中。道高一尺,魔高一丈,就是在不断斗法中不断深入。我们需要360这类的安全公司保卫和守护,同时也需要我们每一个用户都提高安全意识,关注信息安全的动态,及时按照各种提示,保护好自己的电脑。
懂懂笔记
懂懂工作室,创始人董军历任《中国经营报》采访部主任、主笔、3C事业部主任,从事TMT领域报道近二十年,对于行业有着深刻、独到的理解。
于2014年、2015年分别参与了《微信思维》、《微信力量》两本畅销书的撰写。
于2016-2017年独立撰写《小米生态链战地笔记》。
董军于2016年创办懂懂工作室,冷眼旁观,麻辣点评,深入分析,帮助你用新的视角了解快速变化的产业。
【懂懂笔记】是全平台自媒体,团队原创内容发布在微信公号、百家号、百度百家、新浪创世纪、网易、企鹅号、界面、今日头条、一点资讯、蓝鲸、UC头条、北京时间、虎嗅、钛媒体等十几个科技类主流平台。
END