全球爆發電腦勒索病毒���,“疫情”已波及99個國家��。包括中國����、俄羅斯��、英國�����、美國在內的眾多國家�,都被該病毒攪得雞犬不寧����。
除英國國家醫療服務體系(NHS)�、美國聯邦快遞�、西班牙電信公司外�����,俄羅斯內政部的1000多臺電腦也紛紛“中招”����,受到嚴重影響���。而據俄羅斯RT新聞網報道����,最新的數據統計顯示����,全球范圍內已有超過10萬臺電腦被攻擊�。
英國NHS系統遭到此病毒攻擊圖據《每日郵報》
但就在這場損傷巨大的全球“浩劫”中����,一位“意外的英雄”橫空出世——署名為MalwareTech的一名英國信息安全研究員���,將該病毒中隱藏的“刪除開關”找了出來��,成功阻止了該病毒在全球的傳播擴散�。
13日下午�,紅星新聞記者對其進行了采訪���,揭秘了MalwareTech是如何利用幾美元�����,就成功阻止了一場病毒繼續在全球范圍內傳播的災難��。
拒付贖金
“600美元���,不如重新買臺電腦”
據國外媒體報道��,這種勒索病毒名為WannaCry(及其變種)���。被感染后�,用戶電腦中的文件等會被加密鎖定�,并提示受害者支付一定價值的比特幣贖金才可解鎖�����。而據紅星新聞記者了解到的情況�,受害者們被勒索的贖金金額并不相同�����,有的為300美元��,有的則為600美元����。
在寧波大學城鄉規劃專業讀大二的許強(化名)就是該病毒的受害者之一���。他告訴紅星新聞記者�,今早起床時���,他在手機上看到了相關新聞���,為了以防萬一��,他還特意拿出了有段時間未曾使用的U盤����,準備對電腦文檔進行備份����。但開機之后�����,電腦屏幕上彈出勒索窗口卻讓他徹底傻眼�����。
許強電腦上彈出的勒索窗口受訪者供圖
“我都沒有聯網�?�!?
對于電腦的“中招”��,許強表示十分不解��。
許強告訴記者��,網頁上面的中文勒索稱�,“最好3天之內付款��,過了3天費用就會翻倍�����,一個禮拜之內未付款���,將會永遠恢復不了����,”對此����,許強堅定表示��,自己是不會給黑客贖金的�����。
“600美元(約合4138元人民幣)����,還不如去重新買臺電腦�?!痹S強說����,他將重裝電腦系統���。
紅星新聞記者通過調查發現����,和許強一樣的人并不在少數�����。在一個QQ群里����,記者發現有許多剛入群的新人們紛紛吐槽�,自己的電腦也“中招”了����,正在重裝系統�����,或尋求解決辦法�����。目前�,這個群的成員還在不斷增加��。
而卡巴斯基實驗室在向包括紅星新聞在內的媒體所提供的關于此事的評論中這樣寫道:
“該勒索軟件可以通過一種Windows漏洞感染受害者���,微軟公司已經在微軟公告MS17-010中修復了這一漏洞�����。這種名為‘永恒之藍’(Eternal Blue)的漏洞����,于4月14日在Shadowsbroker黑客組織的信息中被披露���?���!?
還有一些專家則表示����,該漏洞最早其實是被美國國安局(NSA)發現的����,但其研發的相關工具被Shadowsbroker竊取利用�。
意外英雄
發現病毒軟件中隱藏“刪除開關”
署名為MalwareTech的英國研究員告訴紅星新聞記者��,其實在這場全球“浩劫”剛開始時�,他就已經從英國的一個留言板上得到了消息�。但不巧的是����,他當時正在外面�����。
“等我回家后�����,我在WannaCry病毒中發現了一個未注冊的域名�,并因此決定注冊該域名�����,以便追蹤這一病毒����?�!?
為此�����,MalwareTech花了10.69美元的費用注冊購買了這一域名��。
▲MalwareTech向美國《紐約時報》提供的全球電腦被勒索軟件攻擊圖片圖據《紐約時報》
事實上�����,MalwareTech找到的�,就是該病毒中隱藏的“刪除開關”��。
“后來在一些分析員的幫助下��,我們終于確認�,在注冊了這一域名后��,這一感染停止了���?!?
而在接受英國《衛報》采訪時��,MalwareTech則表示�,在上線后�,該域名接收到每秒數千次的連接請求����。
而這又意味著什么呢��?
MalwareTech向紅星新聞記者解釋說��,通常情況下���,他們經常采用這種方式來追蹤惡意病毒軟件����,“或者用來阻止犯罪分子控制該病毒”��。也就是說����,在注冊該域名后���,他將擁有WannaCry病毒的運行權�����。
這一“開關”被編碼隱藏在惡意軟件中��,如果惡意軟件的制造者希望停止該病毒的傳播���,那么只要激活這一開關即可�。這里的開關機制為�,該惡意軟件將會向任何網站����,包括這個非常長的毫無感官意義的域名網站發送請求�����,而一旦該請求得到回應�����,就意味著該域名上線��,“刪除開關”就會生效��,惡意軟件也會停止傳播���。
為時已晚
歐洲��、亞洲已來不及搶救美國還有時間
來自Proofpoint安全公司的瑞安說:
“他們(MalwareTech和其他同事)今天得到了意外英雄獎����。他們根本沒有意識到�����,這一舉動對延緩勒索病毒的傳播起到了多么巨大的作用�����?!?
對于“意外英雄”這樣的頭銜�����,MalwareTech并沒有排斥�����。他說��,“我們也是直到12日晚上6點才意識到發生了什么���,但它確實有效��?���!?
▲MalwareTech今早發推:“坦白說在注冊域名時����,我也不知道這能夠阻止其傳播�,直到注冊后我才發現���,所以這純屬意外���?��!?推特截圖
不過瑞安也表示���,MalwareTech注冊該域名的時機太晚��,已經無法阻止該病毒傳播至歐洲和亞洲��,以致于眾多組織和機構被感染��。但這卻給眾多美國用戶爭取到了時間��,使他們可以緊急對系統升級補丁�����,避免感染病毒��。
但遺憾的是�����,這一“刪除開關”對于已經感染了該病毒的電腦無能為力����。
MalwareTech告訴紅星新聞記者�,他的域名上線后�����,部分電腦可能還會被感染,“不過加密的情況不會發生�?��!钡圆慌懦摬《究赡軙衅渌兎N�,而且擁有完全不同的“刪除開關”�。所以��,這種病毒可能還會繼續傳播�����。
“不過WannaCry這一版本不會再奏效了����?��!?
令MalwareTech略為擔心的是���,雖然這個病毒版本已經失效�����,“但他們(背后的制作者)可能還會制造出更多的病毒���?�!?
雖然做出了如此“壯舉”����,但MalwareTech卻告訴紅星新聞記者�,事實上他本人在這一領域僅工作了一年之久��,不過作為一項愛好�,他已經做了有10年了��。
紅星新聞記者丨王雅琳
【新聞多一點】
中國高校中招:教育網未設防
5月12日����,安全軟件制造商Avast表示�����,這一病毒已經在99個國家觀察到超過57000個感染例子��。據中新社5月14日報道�,目前安全機構暫未能有效破除該勒索軟的惡意加密行為�����,用戶只能進行預防�����,用戶中毒后可以通過重裝操作系統的方式來解除勒索行為�,但用戶重要數據文件不能直接恢復����。
5月13日���,中國國家互聯網應急中心發文稱�,上述勒索軟件利用的是此前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段�,向終端用戶進行滲透傳播���,并向用戶勒索比特幣或其他價值物�。
據中國網絡安全公司360首席安全工程師鄭文彬介紹���,中國此次遭受攻擊的主要是教育網用戶�����。這種勒索軟件利用微軟“視窗”操作系統445端口的漏洞��,國內一些網絡運營商此前已封掉了該端口�����,但教育網并未設限����。微軟此前已發布相關漏洞補丁���,但一些沒來得及更新的電腦就會被攻擊��。
阿里云安全專家分析�����,此次全球比特幣勒索病毒是由美國國家安全局(NSA)泄露的Windows系統 SMB/RDP遠程命令執行漏洞引起��。利用該漏洞����,黑客可遠程實現攻擊Windows的445端口(文件共享)��。如果系統沒有安裝今年3月的微軟補丁����,無需用戶任何操作���,只要開機上網�,黑客即可在電腦里執行任意代碼����,植入勒索病毒等惡意程序��。
考慮到Windows系統 SMB/RDP遠程命令執行漏洞的危險性��,國內外不少云服務廠商都在4月封掉了445端口����。但全球不少個人電腦�����、IDC物理機房仍存在大量暴露著445端口的機器��,這給了黑客可乘之機�。
阿里云安全專家分析��,此次勒索事件在校園網傳播速度之快�����,影響面之大�����,主要原因是當前大部分學?��;臼且粋€大的內網互通的局域網���,不同的業務未劃分安全區域�����。例如:學生管理系統���、教務系統等都可以通過任何一臺連入的設備訪問��,
同時�,實驗室�����、多媒體教室�����、機器IP分配多為公網IP�,如果學校未做相關的權限限制�,所有機器直接暴露在外面�。
騰訊反病毒實驗室認為�����,各大高校通常接入的網絡是為教育�、科研和國際學術交流服務的教育科研網��,此骨干網出于學術目的�����,大多沒有對445端口做防范處理��,這是導致這次高校成為重災區的原因之一�����。
中新社的報道提及�����,此外���,如果用戶電腦開啟防火墻���,也會阻止電腦接收445端口的數據�����。但中國高校內��,一些同學為了打局域網游戲�����,有時需要關閉防火墻��,也是此次事件在中國高校內大肆傳播的另一原因��。
據中新社報道�����,從5月12日晚間起�����,中國多個高校的師生陸續發現自己電腦中的文件和程序無法打開�����,而是彈出對話框要求支付比特幣等贖金后才能恢復�。記者注意到���,山東大學�����、南昌大學�����、廣西師范大學��、東北財經大學�、電子科技大學中山學院在內十幾家高校發布遭受病毒攻擊的通知���,提醒師生注意防范�。
據新華社報道��,鄭文彬告訴記者����,電腦被這種勒索軟件感染后�,其中文件會被加密鎖住��,支付黑客所要求贖金后才能解密恢復����。據悉����,勒索金額最高達5個比特幣�����,目前價值人民幣5萬多元�����。
鄭文彬說�����,此次傳播的病毒以代號ONION和WINCRY的兩個家族為主�����,監測顯示國內首先出現前者��,后者在12日下午出現并在校園網中迅速擴散��。
有部分單位疑中招
澎湃新聞走訪發現���,有部分單位已經出現網絡故障����,并已開始升級系統��。13日下午���,澎湃新聞走訪重慶部分醫院�����、加油站��、通訊網絡營業廳發現����,除中國石油重慶銷售公司所屬加油站只能使用現金支付外���,其他單位網絡暫未受到勒索病毒影響��。
重慶一加油站公告
重慶一加油站電腦中毒后的情況
張貼在重慶市渝中區虎頭巖一家加油站內的公告顯示�,由于網絡故障�����,中國石油重慶銷售公司所屬加油站昆侖加油卡充值及互聯網支付業務暫時不能使用����,系統恢復時間另行通知��。
該加油站工作人員稱���,他們是13日凌晨發現網絡系統故障�,隨后接到上述通告��?!敖裉靵砑佑偷模櫩停┎荒苡勉y行卡�、支付寶和微信���,發票可以正常開具��?�!?
13日晚7時許����,澎湃新聞來到武漢洪山區仁和路上的中國石油加油站����,加油站入口處一則公告顯示:5月13日����,由于加油站系統升級�����,暫時無法實現加油IC卡��、銀行卡���、微信和支付寶的消費和儲值�����,請使用現金結算��。
該加油站多名工作人員告訴澎湃新聞�����,是從今天開始不能用網絡支付的�,“昨天還好好的�����,不知道是不是因為電腦中了病毒�����,只是被通知說只能用現金�����,值班管理領導也不在��,具體情況不清楚”�����。
武漢一加油站門口張貼的告示
隨后�����,澎湃新聞來到位于武漢市洪山區友誼大道上的中國石化大洲加油站�����,工作人員告訴澎湃新聞:“現金����,IC卡都可以啊��,一切正常�?���!?
“勒索病毒”防范策略具體措施
