投資界巨擘巴菲特在2017年股東大會上表示:人類面臨的最大威脅是網路攻擊,發生核戰爭的可能性要低於生化武器與網路攻擊。話音未落,WannaCry蠕蟲席捲全球,這是一起大規模勒索軟體感染事件,並在持續。WannaCry目前還沒有統一的中文名稱,不過很多人直接按照字面翻譯為“想哭”。
“想哭”的病毒到底是什麼
據BBC報道,這起大規模勒索軟體感染全球超過150個國家用戶中招,美國、英國、中國、俄羅斯、西班牙、義大利、越南等上百個國家和地區受到嚴重影響,醫療、企業、電力、能源、銀行、交通等多個行業均遭受不同程度的影響。有些大學的網路中招,致使不少畢業生的畢業設計文件被鎖。
WannaCry勒索蠕蟲感染的電腦將被鎖定,包括照片、圖片、文檔、壓縮包、音頻、視頻、可執行程式等多種類型的文件被加密,被加密後的文件尾碼名改為“。WNCRY”,勒索軟體運用了高強度的加密演算法使得目前難以破解,暴力破解需要極高的運算量,基本不可能成功解密。受害者目前只能乖乖付錢消災。攻擊者甚至叫囂,如果在規定時間不付錢,金額翻倍,甚至刪除文件。
莫慌,這到底是怎麼回事?用最簡單的話解釋,就是電腦沒有及時安裝補丁更新,被漏洞利用程式攻擊,攻擊者將電腦上的文件加密,彈出勒索頁面,索要贖金。進而,攻擊者會植入遠端控制木馬、虛擬貨幣挖礦等惡意程式。
WannaCry病毒文件的大小3.3MB,是一款蠕蟲勒索式惡意軟體。除Windows 10系統外,所有未及時安裝MS17-010補丁的Windows 系統都可能被攻擊。WannaCry 通過MS17-010漏洞進行快速感染和擴散,使用RSA+AES加密演算法對文件進行加密。也就是説,一旦某個電腦被感染,同一網路記憶體在漏洞的主機都會被它主動攻擊,因此受感染的主機數量飛速增長。同時,WannaCry 包含28個國家語言,可謂細緻。
問題的根源在於 Windows 系統的MS17-010漏洞。2017年3月14日,微軟髮布安全公告MS17-010,Microsoft Windows SMB 伺服器安全更新 (4013389),等級為嚴重。漏洞説明是:如果攻擊者向 Windows SMBv1伺服器發送特殊設計的消息,那麼其中最嚴重的漏洞可能允許遠端執行代碼。
4月,駭客組織Shadow Brokers 對外公佈了從美國國家安全局(NSA)盜取的多個Windows攻擊工具。WannaCry 勒索蠕蟲攻擊代碼部分即基於這些攻擊工具庫中的EtenalBlue(永恒之藍)。
如果3月份的安全公告和4月份的攻擊工具泄漏還沒有被引起重視的話,僅僅1個月後,基於EtenalBlue(永恒之藍)的勒索蠕蟲肆虐,不再存在於預測和想像裏,而是真實的發生在我們身邊,嚴重影響了工作與生活。
“想哭”的日子要持續多久
利用Windows系統遠端安全漏洞進行傳播,WannaCry會掃描開放445文件共用端口的Windows機器,無需用戶任何操作,只要開機上網,就能在存在漏洞的電腦或伺服器中植入惡意程式。當侵入組織或機構內部時,它會不停地探測脆弱的電腦設備,並感染它們,因此受感染的主機數量飛速增長。
讓我們把目光回到多年之前,2003年8月,衝擊波病毒(W32。Blaster。Worm)肆虐全球,病毒運作時會不停地利用IP掃描技術尋找網路上系統為Win2000或XP的電腦,找到後利用DCOM/RPC緩衝區漏洞攻擊該系統,一旦攻擊成功,病毒體將會被傳送到對方電腦中進行感染,使系統操作異常、不停重啟、甚至導致系統崩潰。另外,該病毒還會對系統升級網站進行拒絕服務攻擊,導致該網站堵塞,使用戶無法通過該網站升級系統。
當時,為了控制蠕蟲病毒的擴散,部分運營商在主幹網路上封禁了445端口,但是當前教育網及大量企業內網並沒有此安全策略的部署與端口限制而且並未及時安裝補丁,仍然存在大量暴露445端口且存在漏洞的電腦,因此導致了此次勒索蠕蟲病毒的嚴重氾濫。
鋻於WannaCry勒索蠕蟲的肆虐,微軟決定為已不再提供更新支援的XP、Windows Server 2003發佈補丁,還發佈了《勒索病毒 Ransom:Win32/WannaCrypt 防範及修復指南》。
在分析和處置WannaCry 勒索蠕蟲病毒時,發生了一個意外的事情。
英國安全研究人員在分析病毒代碼時發現了一個很長的域名,而此域名並未被註冊。當他註冊了此域名後,才發現這個域名看起來像是病毒作者給自己留的一個緊急停止開關,防止事情失去控制。每一個感染了病毒的機器,在發作之前都會事先訪問一下這個域名,如果這個域名不存在,就繼續傳播。如果訪問成功,就停止傳播。無意之間,這位研究人員阻止了蠕蟲病毒進一步大範圍爆發的可能。
但是不容鬆懈的是,WannaCry勒索蠕蟲持續感染狀況不會馬上停止,未來幾週會更具挑戰。隨著工作日更多的電腦開機,將會出現更多的感染。而逐漸出現的改進型無關鍵開關的病毒變種、改進型更換payload的病毒變種,也會對安全防範和處理提出新的挑戰。
那麼多電腦怎麼就“哭”了
每次重大的網路安全事件,都會給人們一些嚴厲的警示,也推動了網路安全的進步。我們都知道,電腦系統保持更新是多麼的重要,但是為什麼還有那麼多的電腦沒有及時安裝補丁呢?主要是以下幾種原因:
首先,業務系統太古老,無法相容最新的作業系統,只能使用陳舊的作業系統,如 Windows XP、Windows Server 2003,而微軟公司已經不再對這些陳舊的作業系統提供補丁更新支援。也就是説,如果不對這些陳舊的作業系統進行全面的安全防護,不將業務系統更新部署到最新的作業系統上,今天會被 WannaCry 蠕蟲攻擊,明天可能就會被另外的蠕蟲病毒攻擊。
其次,懶惰和得過且過的態度是安全的最大敵人,安全保護是一項嚴謹、勤奮的工作,任何的疏忽和大意都會造成嚴重的損失。等到不得不乖乖給勒索者交錢時,才會想到不應該。
另外,有人認為打補丁會對穩定性造成影響。給作業系統打補丁是一種變更操作,會對原環境造成影響,但經過嚴格測試的補丁和在測試環境中的驗證,都能消除這些疑慮。以穩定為名忽視安全,是最得不償失的。
很多人出於安全習慣的考慮,在電腦上安裝了各種第三方安全助手,這些安全助手往往綜合了多種自動化操作,給用戶帶來了便捷。但使用這些第三方安全助手一定注意:微軟在3月份已經對 Win 7 以上版本推送了補丁更新。但第三方安全助手會關閉Windows自動更新。所以從某種程度上來説,需要改變認識,第三方安全助手並不是最終的安全保障。
