河報(bào)·大河財(cái)立方記者 楊霄
升級(jí)版勒索病毒在春節(jié)假期已在國(guó)內(nèi)開始蔓延。2月27日,騰訊安全發(fā)布最新消息,國(guó)內(nèi)多家醫(yī)院機(jī)構(gòu)服務(wù)器疑似遭最新勒索病毒攻擊,數(shù)據(jù)庫文件被加密破壞,已影響正常就醫(yī)秩序。一旦遭遇攻擊后,病毒會(huì)向計(jì)算機(jī)用戶發(fā)送一封“索費(fèi)”郵件,總之,不付款你就甭想正常開機(jī)。
騰訊企業(yè)安全分析發(fā)現(xiàn),此次出現(xiàn)的勒索病毒是globeimposter家族的變種,該勒索病毒將加密后的文件重命名為
.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN等擴(kuò)展名,并通過郵件來告知受害者付款方式,使其獲利更加容易方便。
據(jù)了解,此次爆發(fā)的globeimposter家族勒索病毒變種,主要以國(guó)內(nèi)公共機(jī)構(gòu)服務(wù)器作為攻擊對(duì)象。從已被網(wǎng)絡(luò)安全機(jī)構(gòu)捕獲的傳播樣本來看,其惡意代碼框架和流程是一致的,唯一不同的就是加密文件的后綴名和攻擊者的郵箱地址信息。不僅如此,惡意代碼樣本為了防止被輕易的分析,加密了大多數(shù)字符串和一部分API,而加密后的文件后綴將會(huì)重命名為.TRUE等。
勒索病毒攻擊后,計(jì)算機(jī)會(huì)出現(xiàn)何種癥狀?
騰訊安全技術(shù)人員解釋,勒索侵入軟件后,會(huì)選擇重要文件或硬盤區(qū)進(jìn)行加密。同時(shí),會(huì)創(chuàng)建勒索信息文件,引導(dǎo)受害者通過郵件與勒索者進(jìn)行聯(lián)系,要求受害者將一個(gè)加密的圖片或文檔發(fā)送到指定的郵箱進(jìn)行付費(fèi)解密。
如何規(guī)避勒索病毒攻擊呢?
事實(shí)上,企業(yè)及個(gè)人用戶日常應(yīng)養(yǎng)成良好的電腦使用習(xí)慣,加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí):盡量關(guān)閉不必要的端口、不必要的文件共享,禁用對(duì)共享文件夾的匿名訪問。同時(shí),采用高強(qiáng)度的密碼,并且強(qiáng)制要求每個(gè)服務(wù)器使用不同密碼管理。同時(shí),應(yīng)嚴(yán)格限制使用U盤、移動(dòng)硬盤等可執(zhí)行擺渡攻擊的設(shè)備,同時(shí)盡快備份電腦中的重要文件和數(shù)據(jù)資料。
況簡(jiǎn)介
來自安徽的一家醫(yī)藥公司,公司服務(wù)器被360勒索病毒攻擊。在尋常周末之后,周一上班的員工發(fā)現(xiàn)辦公室內(nèi)的兩臺(tái)電腦出現(xiàn)感染勒索病毒的癥狀,負(fù)責(zé)人了解情況后,及時(shí)聯(lián)系數(shù)據(jù)安全人員。通過檢測(cè)、整理,用時(shí)5小時(shí),完成7個(gè)G 的數(shù)據(jù)恢復(fù),數(shù)據(jù)恢復(fù)百分百。
數(shù)據(jù)化的辦公讓辦公室的效率提升數(shù)倍,但如果使用不當(dāng)、防護(hù)不到位,被有心之人加以利用的話,那么無疑也會(huì)遭遇極大的麻煩,這家醫(yī)藥公司遭遇的便是這類型的360勒索病毒的入侵。這種病毒在入侵電腦后,會(huì)在第一時(shí)間在內(nèi)網(wǎng)中感染更多的服務(wù)器,之后,便會(huì)對(duì)服務(wù)器進(jìn)行掃描,對(duì)所有的數(shù)據(jù)文件進(jìn)行算法加密,讓用戶的服務(wù)器軟件無法使用,數(shù)據(jù)無法讀取,對(duì)工作將造成極大的影響。
值得慶幸的是,面對(duì)360勒索病毒造成的數(shù)據(jù)加密,我們已經(jīng)能夠?qū)ζ溥M(jìn)行數(shù)據(jù)恢復(fù)工作,并且基本能夠做到百分百恢復(fù)。所以在委托人提出請(qǐng)求后,我們也是第一時(shí)間對(duì)其中毒服務(wù)器進(jìn)行了檢測(cè)分析,確定需要恢復(fù)的數(shù)據(jù)后,緊急展開恢復(fù)工作,共用時(shí)5小時(shí),完成了這兩臺(tái)服務(wù)器,7個(gè)G數(shù)據(jù)的恢復(fù)工作,恢復(fù)后的數(shù)據(jù)能夠完美附加系統(tǒng)運(yùn)行,客戶非常滿意。
就如同平時(shí)所說,針對(duì)勒索病毒的攻擊,及時(shí)、定期的對(duì)重要數(shù)據(jù)進(jìn)行備份,是最優(yōu)的方法,當(dāng)然,更希望各位老板永遠(yuǎn)都不會(huì)受到勒索病毒的侵?jǐn)_。關(guān)注我,了解更多有關(guān)勒索病毒的信息,如果有任何數(shù)據(jù)恢復(fù)的問題,也可以評(píng)論、私信,我會(huì)在看到的第一時(shí)間回復(fù)、解答,今天的分享就到這里,祝您身體健康,開心愉快!
在剛剛過去的周末,凌晨時(shí)分我接到英國(guó)朋友打來的電話,他略帶驚恐的告訴我,英國(guó)數(shù)十家醫(yī)院的電腦系統(tǒng)受到黑客攻擊陷入癱瘓。醫(yī)生不能查看病人病歷、救護(hù)車無法派遣、甚至連X光都照不了,英國(guó)整個(gè)醫(yī)務(wù)系統(tǒng)都陷入一場(chǎng)史無前例的混亂中。
我此前留學(xué)英國(guó)學(xué)的就是計(jì)算機(jī)科學(xué)(Computer Science),我印象中的英國(guó)醫(yī)務(wù)、乃至整個(gè)公共服務(wù)系統(tǒng),還從未發(fā)生過如此大規(guī)模的網(wǎng)絡(luò)黑客攻擊事件。
第一時(shí)間去了解事實(shí)后,我發(fā)現(xiàn)這是一次涉及近百個(gè)國(guó)家(包括中國(guó)在內(nèi))的惡性全球信息安全犯罪,包括紐約時(shí)報(bào)在內(nèi)的國(guó)外主流媒體都在頭版對(duì)此事進(jìn)行了報(bào)道,行業(yè)社群中相關(guān)的討論也如火如荼——在日漸成熟的互聯(lián)網(wǎng)信息社會(huì),黑客已經(jīng)成為對(duì)人類社會(huì)殺傷力最大的“隱形恐怖分子”,威脅越來越大。
先梳理一下整個(gè)事件的脈絡(luò):
英國(guó)國(guó)家衛(wèi)生服務(wù)部門(National Health Service,簡(jiǎn)稱NHS)管理所有公立醫(yī)院,它的電腦系統(tǒng)存儲(chǔ)和管理著全部醫(yī)院的數(shù)據(jù)。黑客入侵了NHS的電腦系統(tǒng),使英國(guó)各地醫(yī)院和衛(wèi)生部門電腦上的文件都感染了一種新型病毒。這種新型病毒對(duì)文件惡意加密,然后要求電腦使用者付款解密文件,從而導(dǎo)致了英國(guó)公共服務(wù)系統(tǒng)癱瘓。
受害者在“中招”后會(huì)看到一個(gè)彈窗,要求使用者支付價(jià)值300美元的比特幣來解密自己的文件,三天內(nèi)沒有完成支付,贖金將會(huì)翻倍。
文件遭“加密劫持”界面
不止是英國(guó),西班牙、意大利、葡萄牙、俄羅斯等國(guó)家也陸續(xù)爆出大量的感染案例,全球有超過74個(gè)國(guó)家的百萬臺(tái)電腦在短時(shí)間內(nèi)遭到感染。
毫無意外的,中國(guó)也成了重災(zāi)區(qū)。就在同一天,大量中國(guó)電腦的感染案例在網(wǎng)上曝光,全國(guó)數(shù)十家知名高校、石油系統(tǒng)、公安系統(tǒng)也被波及。電腦受感染后出現(xiàn)的癥狀與英國(guó)NHS一樣,病毒通過對(duì)大學(xué)生畢業(yè)設(shè)計(jì)等重要文件進(jìn)行惡意加密,對(duì)受害者實(shí)行勒索。
中國(guó)高校成為重災(zāi)區(qū)
校園電子屏
勒索病毒波及中石油
公安網(wǎng)受到影響
這是一場(chǎng)名副其實(shí)的全球IT劫難。由于黑客的主要目的是勒索錢財(cái),這種病毒又被稱為勒索病毒。而受害者在“中招”后,電腦文件會(huì)被加密成后綴為“.onion”的文件,所以這種病毒在前期被稱為onion勒索病毒。隨著病毒感染范圍的不斷擴(kuò)大,幾乎每一臺(tái)被感染的電腦都會(huì)彈出一個(gè)名為“Wanna Decryptor 2.0”的勒索窗口,因此更多的人把這種病毒稱之為“WannaCry”,即“想哭”的意思。但很多人可能不知道,勒索病毒還有一個(gè)更優(yōu)雅的名字——“永恒之藍(lán)”。
“永恒之藍(lán)”的出身頗具神秘色彩。程序猿圈中流行的說法是,它可能與幾年前愛德華·斯諾登(Edward Snowden)曝光的美國(guó)國(guó)家安全局(National Security Agency,簡(jiǎn)稱NSA)秘密監(jiān)控項(xiàng)目“棱鏡計(jì)劃”有著千絲萬縷的聯(lián)系。
2016年8月,一個(gè)名為“Shadow Brokers”的黑客組織疑似獲得了“棱鏡計(jì)劃”中的一些機(jī)密網(wǎng)絡(luò)工具,其中有個(gè)叫做“EternalBlue”的網(wǎng)絡(luò)攻擊工具,即“永恒之藍(lán)”。而“永恒之藍(lán)”遭泄露后,一些黑客對(duì)這一工具進(jìn)行了修改,就變成了今天的這個(gè)勒索病毒。上文提到的勒索病毒很可能就是“永恒之藍(lán)”的一個(gè)最新變種。
“永恒之藍(lán)”的攻擊特性,是利用搭載微軟系統(tǒng)(windows)的電腦開放的445端口進(jìn)行感染;只要windows電腦開機(jī)上網(wǎng),它就能悄無聲息地植入到電腦或服務(wù)器中進(jìn)行惡意文件加密。這個(gè)445端口,本身就是一個(gè)毀譽(yù)參半的網(wǎng)絡(luò)端口——有了它,我們可以在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機(jī);但也正因?yàn)橛辛怂沤o了黑客可乘之機(jī)。
在如今這個(gè)互聯(lián)網(wǎng)如此發(fā)達(dá)的年代,我們?cè)缇筒恍枰ㄟ^445端口來共享文件和控制打印機(jī)了,因此一些網(wǎng)絡(luò)運(yùn)營(yíng)商早在2008年就已對(duì)它進(jìn)行了禁用。而幾乎所有在這次全球性IT劫難中遭到“永恒之藍(lán)病毒”攻擊勒索的受害者,中招原因就是因?yàn)殚_放了445端口。
事到如今,網(wǎng)上已經(jīng)有了大量關(guān)于如何在電腦中關(guān)閉445端口的教程。亡羊補(bǔ)牢,也算是可以應(yīng)付一時(shí)的威脅。但是,與其每次都是在傷害發(fā)生后再去補(bǔ)救,不如一開始就防微杜漸。
在多年從事企業(yè)信息管理與安全服務(wù)過程中,我越來越切身感受到,“企業(yè)信息化”需要管理者和業(yè)務(wù)人員轉(zhuǎn)變傳統(tǒng)IT使用思維,才能真正規(guī)避風(fēng)險(xiǎn)、提升效率;也才能擺脫一次次后知后覺的窘境,輕松應(yīng)對(duì)下一個(gè)類似“永恒之藍(lán)”的威脅。
針對(duì)病毒防范,我有以下三點(diǎn)建議。
1、克服對(duì)IT的抵觸心理和自身惰性,意識(shí)到、并突破不好的用戶習(xí)慣。
這次“永恒之藍(lán)”事件,微軟早在2017年3月14日就推送了面向vista或以上系統(tǒng)的安全更新補(bǔ)丁,為什么還會(huì)有那么多人受害?其中一個(gè)重要原因就是,受害者中有相當(dāng)一部分人還在使用windows XP這個(gè)被淘汰的操作系統(tǒng)。
升級(jí)麻煩、舊軟件不兼容、不愿學(xué)習(xí)新的軟件操作、一些競(jìng)爭(zhēng)廠商的不實(shí)宣傳等,導(dǎo)致了現(xiàn)在的結(jié)果。但本質(zhì)上,這是我們的懶惰心理在作祟;或者,用一個(gè)好聽一些的說法——我們稱之為“用戶習(xí)慣”。
我一直認(rèn)為,推陳出新、堅(jiān)持作對(duì)的事情,而不是一直抱著舊有的、錯(cuò)誤的習(xí)慣不放,本身就是一種可貴的習(xí)慣。“習(xí)慣于打破舊有習(xí)慣”,勇于學(xué)習(xí)和接納新知識(shí),這是在信息時(shí)代立于不敗之地的思想基礎(chǔ)。
2、學(xué)習(xí)并獨(dú)立判斷新技術(shù)的價(jià)值。
許多唯利益論者認(rèn)為,微軟公司之所以每隔幾年就推出一套操作系統(tǒng),無非是為了賺錢;現(xiàn)有系統(tǒng)已經(jīng)完全夠用,沒有升級(jí)的必要。
在我看來,“賺錢”的前提是“有沒有帶來價(jià)值”,這恰恰是很多人忽略的重點(diǎn)。電腦病毒和外在威脅不斷推陳出新,如果我們依然抱著偏見和舊觀念,不在學(xué)習(xí)和認(rèn)知新形勢(shì)的基礎(chǔ)上作出獨(dú)立判斷,必然會(huì)受到傷害,這次肆虐全球的“永恒之藍(lán)”事件就給我們敲響了警鐘。
事實(shí)上,開啟了windows10自動(dòng)更新的電腦,可以對(duì)“永恒之藍(lán)”免疫,而用戶從舊系統(tǒng)升級(jí)到windows10,微軟公司是給過一年免費(fèi)升級(jí)期的。操作系統(tǒng)在目前微軟的營(yíng)收總占比已低于10%,對(duì)于微軟來說,云生態(tài)才是未來盈利的方向。掌握這些IT信息,對(duì)管理者作出正確決策至關(guān)重要。
3、永遠(yuǎn)把“安全”放在保存管理文件的第一位。
我們平日常見的系統(tǒng)安全防衛(wèi)手段,如殺毒軟件、防火墻、安全補(bǔ)丁等其實(shí)是一種被動(dòng)防護(hù)。
我們永遠(yuǎn)不知道下一個(gè)IT威脅會(huì)發(fā)生在哪里,所以只能盡可能封堵風(fēng)險(xiǎn)系數(shù)高的漏洞,或者加快應(yīng)急響應(yīng)速度。
但對(duì)企業(yè)來說,一味加強(qiáng)正面安全防衛(wèi)并不能預(yù)防所有威脅,我們也需要一個(gè)危機(jī)預(yù)案,一個(gè)兜底的方案去保障文件安全。它的重點(diǎn)在于,哪怕事故發(fā)生了,我們也能掌握控制權(quán)。對(duì)“永恒之藍(lán)”事件來說,將文件進(jìn)行妥善的保管和備份就是一個(gè)兜底方案。它可以做到就算文件被黑客惡意加密了,我們還有一套完整的數(shù)據(jù)可供使用。
對(duì)企業(yè)的商業(yè)機(jī)密和個(gè)人保密文件來說,若不想在互聯(lián)網(wǎng)上有任何文件存留痕跡,我更推薦使用私有云的方式進(jìn)行保存和備份。
最后我給企業(yè)一個(gè)小貼士:基于Linux系統(tǒng)的技術(shù)原理和其在服務(wù)器領(lǐng)域的良好口碑,使用基于Linux系統(tǒng)的私有云要比使用基于windows系統(tǒng)的私有云要更安全。
▌延伸閱讀
黑客(Hacker)和駭客(Cracker)的區(qū)別
黑客最早源自英文hacker,早期在美國(guó)的電腦界是帶有褒義的。但在媒體報(bào)導(dǎo)中,黑客一詞往往指那些“軟件駭客”(software cracker)。
黑客一詞,原指熱心于計(jì)算機(jī)技術(shù),水平高超的電腦專家,尤其是程序設(shè)計(jì)人員。 但到了今天,黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。對(duì)這些人的正確英文叫法是Cracker,有人翻譯成“駭客”。
黑客和駭客根本的區(qū)別是:黑客們建設(shè),而駭客們破壞。
黑客一詞一般有以下四種意義:
1、對(duì)(某領(lǐng)域內(nèi)的)編程語言有足夠了解,可以不經(jīng)長(zhǎng)時(shí)間思考就能創(chuàng)造出有用的軟件的人。
2、惡意(一般是非法地)試圖破解或破壞某個(gè)程序、系統(tǒng)及網(wǎng)絡(luò)安全的人。這個(gè)意義常常對(duì)那些符合條件1的黑客造成嚴(yán)重困擾,他們建議媒體將這群人稱為“駭客”(cracker)。有時(shí)這群人也被叫做“黑帽黑客”。
3、試圖破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的人。這群人往往被稱做“白帽黑客”或“匿名客”(sneaker)或紅客。許多這樣的人是電腦安全公司的雇員,并在完全合法的情況下攻擊某系統(tǒng)。
4、通過知識(shí)或猜測(cè)而對(duì)某段程序做出(往往是好的)修改,并改變(或增強(qiáng))該程序用途的人。
有疑問?歡迎與我微信直連 微信號(hào):qyc515