日,網(wǎng)絡(luò)安全領(lǐng)域的知名人士周鴻祎發(fā)表驚人言論,稱全球范圍內(nèi)發(fā)生的Windows電腦藍(lán)屏事件異常蹊蹺,極有可能是一次精心策劃的網(wǎng)絡(luò)攻擊事件!此言一出,立即引發(fā)了業(yè)界和廣大網(wǎng)友的廣泛關(guān)注。
周鴻祎在分析此次事件時(shí)指出,首先,作為一家專業(yè)的殺毒公司,其發(fā)布升級(jí)程序前必然會(huì)經(jīng)過嚴(yán)格的規(guī)范驗(yàn)證,以確保軟件的穩(wěn)定性和安全性。因此,殺毒公司犯下如此低級(jí)錯(cuò)誤的可能性極低。其次,網(wǎng)絡(luò)上傳言是某殺毒公司剛?cè)肼毜男÷殕T錯(cuò)誤修改了代碼導(dǎo)致的問題,這一說法在周鴻祎看來更是站不住腳。他表示,核心代碼的修改通常需要經(jīng)過層層審核和批準(zhǔn),底層員工很難接觸到這些敏感信息。
那么,這次藍(lán)屏事件的真正原因是什么呢?周鴻祎提出了一個(gè)大膽的猜測(cè):有可能是黑客冒充員工進(jìn)入到殺毒公司工作,潛伏一年半載之后,再偷偷修改代碼,從而引發(fā)這次全球范圍內(nèi)的電腦藍(lán)屏事件。這種攻擊方式隱蔽性強(qiáng)、危害性大,一旦成功實(shí)施,將對(duì)全球網(wǎng)絡(luò)安全造成巨大威脅。
在談到360公司時(shí),周鴻祎表示,360作為國(guó)內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全企業(yè),在應(yīng)對(duì)類似攻擊時(shí)展現(xiàn)出了強(qiáng)大的實(shí)力。他自豪地指出,360從未發(fā)生過如此嚴(yán)重的安全事故,這充分證明了其強(qiáng)大的技術(shù)實(shí)力和安全防護(hù)能力。同時(shí),他也呼吁其他網(wǎng)絡(luò)安全企業(yè)加強(qiáng)技術(shù)研發(fā)和人才培養(yǎng),共同應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。
值得注意的是,這次藍(lán)屏事件在國(guó)內(nèi)的影響相對(duì)較小。周鴻祎認(rèn)為,這主要得益于國(guó)內(nèi)系統(tǒng)安全工作的扎實(shí)開展。他表示,近年來,國(guó)內(nèi)在網(wǎng)絡(luò)安全領(lǐng)域投入了大量的人力、物力和財(cái)力,不斷提升網(wǎng)絡(luò)安全防護(hù)能力。同時(shí),政府、企業(yè)和個(gè)人也加強(qiáng)了網(wǎng)絡(luò)安全意識(shí)的培養(yǎng)和普及,形成了全社會(huì)共同維護(hù)網(wǎng)絡(luò)安全的良好氛圍。
對(duì)于廣大網(wǎng)友來說,這次藍(lán)屏事件無疑是一次深刻的警示。我們應(yīng)該時(shí)刻保持警惕,加強(qiáng)網(wǎng)絡(luò)安全防護(hù)意識(shí),避免個(gè)人信息泄露和財(cái)產(chǎn)損失。同時(shí),我們也應(yīng)該支持網(wǎng)絡(luò)安全企業(yè)的發(fā)展和創(chuàng)新,共同維護(hù)一個(gè)安全、穩(wěn)定、繁榮的網(wǎng)絡(luò)空間。
總之,周鴻祎的爆料為我們揭示了這次全球Windows電腦藍(lán)屏事件背后的可能真相。在這個(gè)信息化時(shí)代,網(wǎng)絡(luò)安全已經(jīng)成為我們生活的重要組成部分。只有加強(qiáng)技術(shù)研發(fā)、提升安全防護(hù)能力、加強(qiáng)安全意識(shí)培養(yǎng),我們才能共同應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn),守護(hù)好我們的數(shù)字世界。#頭條首發(fā)大賽#?
洲刑警組織(Europol)在上周日稱,席卷全球的勒索病毒“想哭” ( WannaCry ) 在5月12日的第一輪攻擊中已感染了150個(gè)國(guó)家的近20萬臺(tái)電腦。安全軟件公司愛維士 ( Avast ) 在博客中指出,在首次襲擊中,黑客的主要目標(biāo)是俄羅斯、烏克蘭和中國(guó)臺(tái)灣。據(jù)360威脅情報(bào)中心統(tǒng)計(jì),中國(guó)大陸有超過29000多個(gè)IP被感染。據(jù)報(bào)道,多地公安系統(tǒng)、學(xué)校、醫(yī)院以及中石油旗下的2萬座加油站都中招。
一、病毒是怎么蔓延開來的?
據(jù)《金融時(shí)報(bào)》報(bào)道,首輪襲擊大約在倫敦時(shí)間5月12日的8點(diǎn)24分。一位歐洲用戶無意中打開了郵件附件中的病毒壓縮文件,導(dǎo)致病毒開始大肆傳播。《紐約時(shí)報(bào)》根據(jù)博客MalwareTech 提供的數(shù)據(jù),將首日病毒爆發(fā)的過程做成了動(dòng)態(tài)地圖。從監(jiān)測(cè)數(shù)據(jù)來看,勒索病毒在全球迅速蔓延,歐洲成為第一輪襲擊的重災(zāi)區(qū)。不少大型企業(yè)和機(jī)構(gòu)也未能幸免于難,其中包括西班牙電信公司 ( Telefónica )、英國(guó)境內(nèi)的61家醫(yī)療企業(yè)、法國(guó)汽車制造商雷諾 ( Renault )、德國(guó)聯(lián)邦鐵路公司 ( BAHN )、俄羅斯第二大移動(dòng)運(yùn)營(yíng)商 MegaFon以及俄羅斯聯(lián)邦儲(chǔ)蓄銀行 ( Sberbank ) 。
病毒擴(kuò)散5小時(shí)地圖:從美國(guó)東部時(shí)間5月12日上午11點(diǎn)至下午4時(shí)許,WannaCry病毒攻擊的電腦已遍布世界各個(gè)大洲。(其中有部分在下午2點(diǎn)至3點(diǎn)的數(shù)據(jù)未被記錄)圖片來源:紐約時(shí)報(bào)
二、目前病毒被控制住了嗎?
首輪襲擊開始的5月12日正值許多國(guó)家的星期五——當(dāng)周的最后一個(gè)工作日,多家媒體和機(jī)構(gòu)認(rèn)為病毒襲擊可能會(huì)在周末結(jié)束、人們重返工作時(shí)變得更加不可遏制。但從監(jiān)測(cè)數(shù)據(jù)來看,截至5月16日(周二),相較周日的感染情況,又有約10萬臺(tái)計(jì)算機(jī)受到感染,但病毒襲擊的速度已經(jīng)開始放緩。然而,根據(jù)5月17日路透社的報(bào)道,勒索病毒的幕后黑客組織“影子經(jīng)紀(jì)人”(Shadowbrokers)宣稱,將釋放出更多的惡意病毒,并將采用出售惡意代碼和數(shù)據(jù)的方式來替代勒索,形成“商業(yè)模式”。
值得一提的是,WannaCry病毒首輪攻擊的原本威力有可能更強(qiáng),來自 Kryptos Logic (網(wǎng)絡(luò)安全公司)的IT工程師 Marcus Hutchins通過控制關(guān)鍵域名,有效地限制了病毒的進(jìn)一步傳播。在分析病毒代碼后,他發(fā)現(xiàn)在部分病毒代碼的開頭有一個(gè)特殊的域名地址:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。該域名在5月12日上午8點(diǎn)病毒開始攻擊時(shí),訪問數(shù)量激增。
圖片來源:MalwareTech
他還發(fā)現(xiàn)病毒存在一個(gè) kill-switch 的開關(guān)。在攻擊前,病毒會(huì)依據(jù)這一長(zhǎng)串的域名來查看自身是否處于防病毒環(huán)境。在域名被注冊(cè)后,查看防病毒環(huán)境的這一步會(huì)終止,所有的病毒會(huì)以為自己處于防病毒系統(tǒng),就退出了攻擊。這個(gè)發(fā)現(xiàn)在一定程度上限制了病毒的傳播。
根據(jù)5月14日卡巴斯基的監(jiān)測(cè)報(bào)告顯示,在新一輪的病毒攻擊中發(fā)現(xiàn)了兩個(gè)新的變種,其中一種取消了 kill-switch 開關(guān),但由于代碼的編寫缺陷,取消開關(guān)的 WannaCry 病毒暫時(shí)未引起大規(guī)模的攻擊事件。
三、黑客收到了多少贖金?
WannaCry 病毒“綁架”的是用戶數(shù)據(jù)。遭受病毒襲擊的用戶如想恢復(fù)數(shù)據(jù),需要向黑客的比特幣賬戶交付價(jià)值300美元的比特幣,否則文件將被永久刪除。澎湃新聞 ( www.thepaper.cn ) 在比特幣平臺(tái) BlockChain 中查詢了美國(guó)媒體 Quartz 公布的3個(gè)主要的黑客比特幣賬戶(用于勒索的賬戶總數(shù)還不得而知)。截至5月15日,這3個(gè)賬戶共收到188筆轉(zhuǎn)賬,至少獲得了28.48個(gè)比特幣,按照當(dāng)日市價(jià)估算,獲利約49614美金。
美國(guó)國(guó)土安全部的電腦緊急應(yīng)對(duì)小組稱,并不支持遭受襲擊的用戶向黑客支付贖金,因?yàn)檫@還有可能會(huì)泄露自己銀行信息。360安全技術(shù)負(fù)責(zé)人鄭文彬在接受36氪采訪時(shí)表示,從病毒規(guī)模來看,現(xiàn)在交付贖金的人并不是很多,且支付贖金并不能百分之百確保恢復(fù)文件。雖然已有國(guó)外研究機(jī)構(gòu)驗(yàn)證,交付贖金后確實(shí)可解密文件。
四、這類襲擊以后會(huì)越來越普遍嗎?
網(wǎng)絡(luò)安全公司賽門鐵克 ( Symantec ) 在《2017年網(wǎng)絡(luò)安全威脅報(bào)告》中指出,勒索病毒襲擊在近年來有愈演愈烈之勢(shì)。從賽門鐵克的監(jiān)測(cè)數(shù)據(jù)來看,2016年勒索病毒攻擊事件較前年增長(zhǎng)了36%,從34萬起上升到46.3萬起。美國(guó)是遭受勒索軟件襲擊最多的國(guó)家,占到了34%;緊隨其后的是日本和意大利,分別占到9%和7%。
五、黑客從哪里入侵了計(jì)算機(jī)?
卡巴斯基安全實(shí)驗(yàn)室發(fā)布的報(bào)告稱,此次黑客使用的網(wǎng)絡(luò)攻擊工具是“永恒之藍(lán)” ( Eternal Blue ),來源于美國(guó)國(guó)家安全局 ( NSA ) 的網(wǎng)絡(luò)武器庫(kù)。WannaCry 掃描開放的445文件共享端口,無需任何操作,只要用戶開機(jī)上網(wǎng),“永恒之藍(lán)”就能在電腦里執(zhí)行任意代碼,植入勒索病毒等惡意程序。
通過445端口,用戶可以在局域網(wǎng)中輕松訪問各種共享文件或使用共享打印機(jī)。然而,這個(gè)在“業(yè)內(nèi)”毀譽(yù)參半的端口,本身也是黑客攻擊的主要目標(biāo)之一。根據(jù) statistic 的數(shù)據(jù)顯示,2014年第四季度的全球網(wǎng)絡(luò)襲擊中,對(duì)于445端口的襲擊占到了15%,排在已知受攻擊端口的第二位。
語
一場(chǎng)席卷全球的勒索病毒仍在入侵人們的電腦,同時(shí)也讓一個(gè)黑客組織浮出水面。5月13日開始,一種名為“WanaCrypt0r 2.0”的蠕蟲病毒開始在互聯(lián)網(wǎng)上蔓延,它可以使感染的電腦在10秒內(nèi)鎖住,電腦里所有文件全被加密無法打開,只有按彈窗提示交贖金才能解密。
一場(chǎng)席卷全球的勒索病毒仍在入侵人們的電腦,同時(shí)也讓一個(gè)黑客組織浮出水面。5月13日開始,一種名為“WanaCrypt0r 2.0”的蠕蟲病毒開始在互聯(lián)網(wǎng)上蔓延,它可以使感染的電腦在10秒內(nèi)鎖住,電腦里所有文件全被加密無法打開,只有按彈窗提示交贖金才能解密。據(jù)外媒報(bào)道,歐洲刑警組織稱,最近爆發(fā)的WannaCry勒索病毒已攻擊了150個(gè)國(guó)家的20多萬臺(tái)電腦。
(網(wǎng)絡(luò)圖片)
事件
關(guān)于病毒的爆發(fā)原理,相信大家這幾天也看了不少文章。簡(jiǎn)言之,這一蠕蟲勒索病毒,通過針對(duì)Windows中的一個(gè)漏洞攻擊用戶,對(duì)計(jì)算機(jī)內(nèi)的文檔、圖片等實(shí)施高強(qiáng)度加密,并向用戶索取以比特幣支付的贖金,否則七天后“撕票”,即使支付贖金亦無法恢復(fù)數(shù)據(jù)。其加密方式非常復(fù)雜,且每臺(tái)計(jì)算機(jī)都有不同加密序列號(hào),以目前的技術(shù)手段,解密幾乎“束手無策”。
在全球網(wǎng)絡(luò)互聯(lián)互通的今天,受害者當(dāng)然不僅限于中國(guó)。
據(jù)360威脅情報(bào)中心統(tǒng)計(jì),從12日爆發(fā)之后,全球近百個(gè)國(guó)家的超過10萬家組織和機(jī)構(gòu)被攻陷,其中包括1600家美國(guó)組織,11200家俄羅斯組織,中國(guó)則有29000多個(gè)IP被感染。在西班牙,電信巨頭Telefonica,電力公司Iberdrola,能源供應(yīng)商Gas Natural在內(nèi)的眾多公司網(wǎng)絡(luò)系統(tǒng)癱瘓;葡萄牙電信、美國(guó)運(yùn)輸巨頭FedEx、瑞典某地方政府、俄羅斯第二大移動(dòng)通信運(yùn)營(yíng)商Megafon都已曝出遭受攻擊。而根據(jù)歐洲刑警組織的說法,本次攻擊已經(jīng)影響到150個(gè)國(guó)家和地區(qū)。隨著病毒版本的更新迭代,具體數(shù)字可能還會(huì)增加。
那么,問題來了:這是誰干的?!
(網(wǎng)絡(luò)圖片)
黑手
沒有答案。
用360核心安全團(tuán)隊(duì)負(fù)責(zé)人鄭文彬的話說,勒索病毒的溯源一直是比較困難的問題。曾經(jīng)FBI懸賞300萬美元找勒索病毒的作者,但沒有結(jié)果,目前全球都沒有發(fā)現(xiàn)勒索病毒的作者來自哪個(gè)國(guó)家。但從勒索的方式看,電腦感染病毒之后會(huì)出現(xiàn)包括中文在內(nèi)十五種語言的勒索提示,且整個(gè)支付通過比特幣和匿名網(wǎng)絡(luò)這樣極難追蹤的方式進(jìn)行,很有可能是黑色產(chǎn)業(yè)鏈下的組織行為。
勒索病毒是2013年才開始出現(xiàn)的一種新型病毒模式。2016年起,這種病毒進(jìn)入爆發(fā)期,到現(xiàn)在,已經(jīng)有超過100種勒索病毒通過這一行為模式獲利。比如去年,CryptoWall病毒家族一個(gè)變種就收到23億贖金,近幾年蘋果電腦、安卓和iPhone手機(jī)也出現(xiàn)過不同類型的勒索病毒。
雖然下黑手者目前還找不到,但其所用的工具,卻明確無誤地指向了一個(gè)機(jī)構(gòu)——NSA(National Security Agency),美國(guó)國(guó)家安全局。這一機(jī)構(gòu)又稱國(guó)家保密局,隸屬于美國(guó)國(guó)防部,是美國(guó)政府機(jī)構(gòu)中最大的情報(bào)部門,專門負(fù)責(zé)收集和分析外國(guó)及本國(guó)通訊資料。黑客所使用的“永恒之藍(lán)”,就是NSA針對(duì)微軟MS17-010漏洞所開發(fā)的網(wǎng)絡(luò)武器。
事情是這樣的:NSA本身手里握有大量開發(fā)好的網(wǎng)絡(luò)武器,但在2013年6月,“永恒之藍(lán)”等十幾個(gè)武器被黑客組織“影子經(jīng)紀(jì)人”(ShadowBreakers)竊取。
今年3月,微軟已經(jīng)放出針對(duì)這一漏洞的補(bǔ)丁,但是一是由于一些用戶沒有及時(shí)打補(bǔ)丁的習(xí)慣,二是全球仍然有許多用戶在使用已經(jīng)停止更新服務(wù)的WindowsXP等較低版本,無法獲取補(bǔ)丁,因此在全球造成大范圍傳播。加上“蠕蟲”不斷掃描的特點(diǎn),很容易便在國(guó)際互聯(lián)網(wǎng)和校園、企業(yè)、政府機(jī)構(gòu)的內(nèi)網(wǎng)不間斷進(jìn)行重復(fù)感染。
(網(wǎng)絡(luò)圖片)
救災(zāi)
開機(jī)先斷網(wǎng)自查
相關(guān)專家建議,計(jì)算機(jī)使用者要謹(jǐn)慎打開來路不明的鏈接和文件,并及時(shí)備份重要的數(shù)據(jù)和文件,面對(duì)周一工作日帶來的大范圍開機(jī),需要及時(shí)斷網(wǎng)自查。
金山毒霸安全中心表示,已緊急發(fā)布針對(duì)“永恒之藍(lán)”勒索病毒免疫工具及應(yīng)急處置方案和針對(duì)勒索病毒的免疫工具,以控制該病毒在局域網(wǎng)內(nèi)的傳播。針對(duì)電腦已中病毒,大量數(shù)據(jù)已被加密的用戶,推薦使用金山毒霸,免費(fèi)使用數(shù)據(jù)恢復(fù)(免費(fèi)賬號(hào):ksda679795862,密碼:kingsoft)。金山毒霸安全專家指出,那些已經(jīng)被加密的數(shù)據(jù)文件,在沒有取得密鑰的情況下,解密基本沒有可能。但在了解到病毒加密的原理之后,發(fā)現(xiàn)仍有一定機(jī)會(huì)找回原始文件:病毒加密原文件時(shí),會(huì)刪除原文件,被簡(jiǎn)單刪除文件的硬盤只要未進(jìn)行大量寫入操作,就存在成功恢復(fù)的可能。
金山毒霸安全專家表示,病毒加密用戶文檔后會(huì)刪除原文件,所以,存在一定機(jī)會(huì)恢復(fù)部分或全部被刪除的原文件。建議電腦中毒后,盡量減少操作,及時(shí)使用專業(yè)數(shù)據(jù)恢復(fù)工具,恢復(fù)概率較高。針對(duì)勒索病毒,騰訊電腦管家在兩天之內(nèi)連續(xù)發(fā)布“勒索病毒免疫工具”、“文件恢復(fù)工具”、“文檔守護(hù)者”等工具。用戶可按照相關(guān)工具的使用說明保護(hù)電腦安全,避免自己的電腦感染勒索病毒。
該負(fù)責(zé)人表示,幾天來應(yīng)對(duì)該勒索軟件的實(shí)踐表明,對(duì)廣大用戶而言最有效的應(yīng)對(duì)措施是要安裝安全防護(hù)軟件,及時(shí)升級(jí)安全補(bǔ)丁,即使是與互聯(lián)網(wǎng)不直接相連的內(nèi)網(wǎng)計(jì)算機(jī)也應(yīng)考慮安裝和升級(jí)安全補(bǔ)丁。作為單位的系統(tǒng)管理技術(shù)人員,還可以采取關(guān)閉該勒索軟件使用的端口和網(wǎng)絡(luò)服務(wù)等措施。
這場(chǎng)病毒災(zāi)難中,360反應(yīng)最快。該公司昨日表示,國(guó)內(nèi)5億360的用戶在勒索病毒的攻擊下并未受到影響,360安全衛(wèi)士的多重保護(hù)防御措施功不可沒。據(jù)介紹,對(duì)于那些之前已經(jīng)安裝了360安全衛(wèi)士的用戶,依靠360安全衛(wèi)士云安全、云主防產(chǎn)品和技術(shù),即使有漏洞,仍然能夠攔截蠕蟲病毒利用行為、敲詐病毒加密勒索行為,給用戶提供高強(qiáng)度的防護(hù),避免中招。此外,對(duì)于那些沒有安裝360安全衛(wèi)士的用戶,360及時(shí)推出了安全衛(wèi)士離線救災(zāi)版,在斷網(wǎng)情況下,第一時(shí)間救災(zāi)。用戶即使“中招”,還可以使用360推出的勒索蠕蟲病毒文件恢復(fù)工具,搶救用戶被加密勒索的文件。