比特币勒索病毒席卷全球,你的电脑中招了吗?想必大家都非常想知道这次网络届的“生化危机”什么时候能够结束,自己的文件怎么样才能恢复呢?这勒索病毒背后主谋又是谁呢?
随着“永恒之蓝”以惊人速度传播,各种各样的“搭车传播”层出不穷,尽管我们尚不能锁定其究竟谁是主谋,但只要循着“产业链即利益链”、“利益最大者即嫌疑最大者”的思路耐心跟踪,真相大白的一天就不会太过遥远。
勒索病毒
超级蠕虫病毒、勒索软件“永恒之蓝”自5月12日开始发作,迄今已席卷150个以上的国家,造成逾20万部电脑和局域网瘫痪,医院、工厂和公共服务设施成为“重灾区”,正如一位IT资深业者所坦言,“我们还从未见过如此迅速传播的恶意软件”。
亡羊补牢从来都是这类恶性事件发作后人们最集中的念头,但如今的情况却是羊被偷了,偷羊的工具也找到了,谁偷的羊、工具从何而来,却仍是一头雾水。
勒索软件背后产业链没那么简单
为弄清这一切,人们需要尽早梳理清楚此次勒索软件背后的“产业链”。
表面上看,这条产业链是简单明了的:肇事者自己用几十种语言写明了勒索标的(200比特币),给出了支付渠道,承诺“款到解锁”,并威胁“不给钱后果自负”,这是经典的“绑票勒赎”,只不过作案地点从现实搬到虚拟空间,“肉票”从大活人变成了局域网或电脑。
黑客
但真这么简单吗?
法国电脑杂志《LeMagIT》副主编马奇夫(Valéry Marchive)就一针见血地指出,如果肇事者真的指望“比特币产业链”能让自己大捞一笔,他的金融知识可谓完全不及格:尽管受害者多达20万,但截至5月16日仅有200出头的受害者乖乖付钱,占比勉强达到1%,赎金总额更刚过6万美元。而且随着时间的推移,受害者(不论沃特迪士尼那样的企业集团或小小的终端用户)正迅速达成“不交赎金”的共识,因为一来交了似乎也是白搭,二来事已经闹大,接下来“也就好办了”。有人讥讽称,“如此绑票,连本都捞不回来”。
一些业内人士讥讽此次行动“很业余”:攻击时间选择在效果最差的周五中午,而非效果最好的周一早上;设置统一的“取消开关”;比特币看似不易跟踪其实对政府级别的审查者而言并非不能追踪到受益人……更重要的是,迄今并无一例“付了赎金便能解锁”的实例,且事情一下被闹大,网上绑匪即便想提供“售后服务”,恐怕也是太冒险了。
永恒之蓝
嫌疑最大者依然扑朔迷离
问题在于,这条“明产业链”很可能不过是虚晃一枪。
随着“永恒之蓝”以惊人速度传播,各种各样的“搭车传播”如雨后春笋,层出不穷:各路反病毒公司一面不断提出一个又一个“疑似嫌犯”,来头一个比一个大、一个比一个神秘,意在强调“矛利”,一面不断明示暗示自己所卖的“盾坚”;电脑操作系统和网络硬、软件服务商则或指责“疑似责任人”,或影射“无能的同行”,或强调自己产品的安全可靠——即便已被“永恒之蓝”证明不那么安全可靠,也忘不了提醒一声“我们可是早就出了补丁的,你们不打不关我事”;甚至,那些有名或不那么有名的黑客组织也趁机“炫耀武力”,扬言“下次我们会干得更吓人”。
“卖矛的”(黑客)、“卖盾的”(反病毒公司)、“卖武士的”(软硬件和操作系统服务商)的做法看似混乱,实则个个有迹可循:夸大“敌情”,强调自己是唯一可靠的御敌、退敌出路。很显然,不论是哪一类商品或“服务”热销,其最终所得都将是惊人的大手笔。与之相比,账面上人人看得见的那几万美元,几可忽略不计。
我们必须相信一点,能制作并散布如此规模和级别勒索软件的“黑手”,绝不会愚蠢到买椟还珠或金炮弹打跳蚤的地步,他们所谋求的回报,必定远远超出其可观的付出。
比特币勒索病毒
尽管到目前为止,我们尚不能从有限的线索中圈出“真产业链”中真正的受益者(也就是事件的主谋),尚不能锁定其究竟是上述“三卖”中的哪一“卖”,但只要循着“产业链即利益链”、“利益最大者即嫌疑最大者”的思路耐心跟踪,真相大白的一天就不会太过遥远。
你需要知道的8个问题
面对这突如其来的病毒攻击,作为普遍网民的我们该怎么处置,保护个人财产安全?某实验室就此整理了八大问题,分析了这个蠕虫的前世今生,并提出了几项有效的应对措施。
问题一:已经感染病毒的如何降低影响?
如果你的电脑被勒索病毒感染,或者你的朋友中招,向你求助,那我们该怎么处理将影响降到最低呢?
首先,这是一款勒索蠕虫,蠕虫病毒的特点是会通过网络进行自动复制和传播,就像电影《釜山行》中,被僵尸噬咬过的人也会变成僵尸去传染给更多的人。
如何降低影响
所以第一步需要做的就是断开网络,防止自己的电脑去感染更多的电脑。
其次,建议中招用户将硬盘进行格式化处理,彻底消除硬盘上蠕虫病毒,就像一次彻底的细胞切除手术。
然后,再重新安装系统,并安装相应的系统补丁。
最后,还需要安装杀毒软件,并把杀毒软件的病毒库更新到最新版本。
目前,许多人最常犯的错误就是心存侥幸,将受到感染的电脑继续连接到网络里,做各种尝试操作,亦或是认为支付赎金可以解密。其实该勒索蠕虫会对电脑中的文档进行RSA加密。这种加密方式的特点是,只要加密密钥足够长,普通电脑需要数十万年才能够破解,等于说个人几乎是不可能破解的。所以一旦电脑中毒,基本没有挽回余地。
问题二:未中毒者如何排除风险?
如果你是幸运儿,并未在此次攻击中受影响,那么也请别做一个普通的吃瓜群众,只要你使用的是Windows系统,很久不曾更新补丁,就仍有很大的中毒风险。建议通过“三步法”提前排除这个风险:
第一步:关网络。该勒索蠕虫需要通过网络传播,关闭网络也就切断了病毒的传播途径。针对普通的台式机,最直接的方式就是拔掉网线;如果家里使用的是笔记本电脑,可以关闭本机的无线网卡;家中如果使用了无线路由器的,也可以关闭无线路由器;最后,还可以通过在已开机的PC中禁用网络的方法进行关闭。个人可以根据自己的实际情况,选择对应的方式来进行断网操作。
中毒表现
第二步:关端口。该勒索蠕虫是通过扫描电脑上的TCP 445端口(Server MessageBlock/SMB)进行攻击的,所以关闭445端口也就关闭了勒索蠕虫的攻击大门。该动作分为以下几步:
a. 打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
b. 选择启动防火墙,并点击确定
c. 点击高级设置
d. 点击入站规则,新建规则,以445端口为例
e. 选择端口、下一步
f. 选择特定本地端口,输入445,下一步
g. 选择阻止连接,下一步
h. 配置文件,全选,下一步
i. 名称,可以任意输入,完成即可
启动防火墙
第三步:打补丁。前两步属于指标不治本的方式,只是临时阻止了勒索蠕虫的攻击,如果要治本还需要及时利用官方的系统补丁堵上系统漏洞。早在今年3月份,微软就提供了该漏洞的补丁,建议用户开启系统自动更新,并检测更新进行安装。如果自动更新失败,也可以手动从微软的官方网站下载补丁进行安装。补丁下载地址为: 。
问题三:手机会不会中毒?
保证了电脑万无一失,那么我们使用频率更高的手机会不会面临风险呢?
手机不会受该勒索蠕虫影响。该勒索蠕虫利用的是Windows系统漏洞,受影响的系统是从Windows 2000到Windows10,以及Windows Server 2000到Windows Server 2016的各个版本。而目前手机的操作系统则是iOS、Android、Winphone等,并不属于Windows,所以不受该勒索蠕虫的影响。
问题四:为什么此次勒索病毒传播如此迅速?
要了解这个原因,我们还得从勒索蠕虫的原理说起。
攻击模式
首先,WannaCry蠕虫利用的漏洞非常普遍,绝大部分的个人PC机仍然使用微软的Windows操作系统,而Windows系统默认打开了445端口,并且大量的Windows用户没有定期更新补丁的习惯,这给蠕虫的传播提供了大量宿主。其次,传统的勒索软件需要靠“骗”,也就是说需要哄骗受害者主动点击某个附件、某个网址等等。而此次蠕虫病毒可以进行自我传播和自动复制,也就是可以进行主动的探测和传播。这个从“被动”到“主动”的转化,造成了传播速度上质的差异。
其次,WannaCry勒索病毒传播利用了一个特殊的漏洞工具,叫“永恒之蓝”,听起来像是某颗名贵钻石的名字。这个漏洞工具来源于美国国家安全局(NSA)的网络武器库。今年4月14日,一个名为“影子中间人”的黑客组织曾经进入美国国家安全局网络,曝光了该局一批档案文件,同时公开了该局旗下的“方程式黑客组织”使用的部分网络武器。据报道,这批网络武器中就包括可以远程攻破全球约70% 视窗系统(Windows)机器的漏洞利用工具(即“永恒之蓝”)。经紧急验证这些工具真实有效。当时,该事件引起了安全圈子的轰动。尽管微软早就对该漏洞发布了补丁,但是并未给企业和机构敲响警钟,大量的企业和组织并没有安装补丁。
“永恒之蓝”工具被公布后,立刻受到追捧,因为它能够搭载任意病毒进行全网蠕虫化自动传播,其中最厉害的就是这次的WannaCry病毒。
中毒表现
问题五:WannaCry病毒勒索为何只要比特币?
事实上,勒索病毒本身与比特币并无直接关系,而黑客之所以要求以比特币进行赎金支付,恰恰是看中了比特币在支付转账时的全球化、去中心化和匿名性等“优势”。
首先,比特币有一定的匿名性,便于黑客隐藏身份;其次它不受地域限制,可以全球范围收款、转账;再次比特币还有“去中心化”的特点,可以让黑客通过程序自动处理受害者赎金。
众所周知,正常的跨国汇款需要经过层层外汇管制机构审查,交易记录会被包括银行在内的多方记录在案,甚至交易超过一定额度后,为防止洗钱等违规行为,还需向有关部门上报。但如果用比特币交易就简单多了,只要输入数字地址,点几下鼠标,等待确认交易后,就可以完成交易(目前国内已经暂停提币)。
同时,相比于其他数字货币,比特币目前占有最大的市场份额,具有最好的流动性。近期比特币价格大幅上涨,也是其被黑客看中的原因。
问题六:为什么学校、医院、政府等公共机构是重灾区?
学校成重灾区
对于这个问题,或许一般的用户也都有这样的直观感觉:学校、医院等公共机构中的电脑设备使用的系统往往是最落后的,甚至速度也是最慢的,加上缺乏专业技术人才,安全意识较低。这类机构的电脑不能做到及时更新补丁,成为被攻击的首要原因。
其次,当前大部分学校基本是一个大的内网互通的局域网,不同的业务未划分安全区域。例如:学生管理系统、教务系统等都可以通过任何一台连入的设备访问。同时,实验室、多媒体教室、机器IP分配多为公网IP,如果学校未做相关的权限限制,所有机器直接暴露在外面。各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。
问题七:病毒得到遏制了么?会不会出现新的变种?
从目前的数据分析,该勒索蠕虫已经得到了遏制,新增的受感染系统正在下降。同时,有国外网络安全公司捕获到该病毒的2.0版本,所以不排除新一轮攻击的扩大。“就像地震往往会有余震一样,我们需要警惕病毒的各种变种”,不过我们只要做好防御准备,打了最新的系统补丁就不用担心。
文件被锁
问题八:我们从这次勒索病毒事件中学到了什么?
安全意识薄弱是很多人中招的最重要原因,这次事件之后,强烈建议网络用户至少做好以下四项预防工作:
1、重要文件一定要随时备份,可以通过网盘、u盘等介质进行备份。如果是企业,也可以搭建集中的文件服务器进行文件的集中管理和备份。
2、系统一定保持最高安全等级,及时升级到最新版本,建议打开自动更新功能。同时,系统需要安装杀毒软件,更新病毒库。
3、不要轻易打开陌生文件,尤其是陌生邮件和IM通信软件中的文件。
4、安装正版操作系统、Office软件,尽量不用来历不明的盗版软件。
反思:我们为什么不养成备份的习惯
从上周五开始,一款名为"WannaCry"的勒索病毒正在全球范围内肆虐。
"WannaCry"攻击了全球超过150个国家和地区的网络,包括美国、中国以及整个欧洲在内的多个高校内网、大型企业内网和政府机构专网"被袭",一度造成诸多业务和服务瘫痪。
而遭受感染的电脑之后,电脑里的所有数据都会被加密,用户完全打不开,接着屏幕会弹出消息框,要求受害人在三天内支付300美元同等价值的比特币赎金,超时翻倍。因此,这款勒索病毒别名也叫‘比特币病毒’。
WannaCry具备了一款超级病毒应有的特点:神秘、快速以及严重的破坏。
比特币勒索
而全球范围内的安全专家也在“加班加点“。
微软第一时间已经发布了相关的补丁 MS17-010 用以修复被 “ Eternal Blue” 攻击的系统漏洞。因为这次中招的用户几乎都是Windows用户,其它操作系统如 mac OS、Android、iOS 均未中招。
腾讯电脑管家等国内安全团队也推出了开机解决方案和免疫修复工具。
同时,也有不少安全专家建议用户,关闭Windows 的 135、139、445 端口。因为这些端口默认状态下是开放的,而WannaCry 正是通过 445 端口来进行大规模传播。
但随着WannaCry变种的预警出现,可以预见,短期内安全专家们与病毒作者间的猫鼠游戏还将持续一段时间。
还有什么能够做的?
有一件事似乎被大多数人都忽视了,那就是“备份“。
在国内至少有90%以上的网民,几乎没有备份意识——毕竟我们已经过了太久太“舒服“的日子。
WannaCry变种拦截
“网民几乎已经忘了电脑病毒这个东西,以为自熊猫烧香后,病毒已经不见了。其实,不是病毒不见了,而网民看不见而已。病毒一直都在,庞大的黑色产业链越来越专业,隐藏越来越深,也基本上不破坏系统,目标只是赚钱。”——安全专家李铁军表示。
而正是这种“不备份“的习惯,让Wannacry打了个我们措手不及。试想,如果所有网民都有良好的备份习惯,始作俑者向谁去“勒索“?
所以从某种程度上说,这个“不爱备份“的坏习惯所带来的风险和危害甚至超过了这次的“比特币病毒”Wannacry。
因为即使没有病毒入侵,你也可能遭遇硬盘损坏、电脑丢失等种种其他想不到的情况,而因为你不爱备份,那些你所珍藏或重视的东西,也将付之一炬。
那么,我们应该如何正确的备份,以至于将事情的危害降至最低呢?
有三条建议供你参考:
1、重要资料一定备份
2、按文件种类和用途区分备份
3、少用和慎用U盘和移动硬盘备份,多用和勤用云端备份
什么是重要资料?
重要文件
从博主的理解上来看,一个是跟你的经济利益挂钩的,还有一个是跟你的情感利益挂钩的。比如跟经济利益相关的,你的所有的工作资料、你的简历、你的账单、你的健康报告等所有涉及到你切身利益的东西且重要的,都应该备份。而一些你自己拍摄的照片、视频、音频,甚至包括你爱的音乐、电影等内容,可以称为和情感利益挂钩的文件,这些内容是你的美好记忆和感受,值得永久珍藏的。
按文件种类和用途区分备份
就博主的经验来看,针对不同的文件选择不同的云存储产品: Office、PDF等小容量且操作频繁的文档存在云笔记,比如有道云笔记;照片、视频、电影、音乐等大容量存网盘。
和我经济利益相关的内容,绝大部分都是一些办公文档以及个人重要信息,比如说简历,方法很简单,而且可以根据自己的需求利用多级目录分类,如下:
多用云端备份 慎用U盘和移动硬盘
U盘
为什么建议用网盘备份资料,而不建议用U盘和移动硬盘?有三点原因:
第一,不方便。实在是太不方便了,移动互联网如此发达的今天,U盘几乎淡出了人们的视野,移动硬盘因为容量足够大还有用武之地,但也被网盘动辄5T的储存容量给挤压的空间无几了。原因就是,U盘和移动硬盘,无法满足现代人随需随取的要求。
第二,U盘和移动硬盘容易丢失或者损坏也是一大问题。比如说博主,已经不知道丢了多少个U盘了,随之而去的是U盘里面那些重要而又珍贵的文件。
第三,U盘和移动硬盘本身就是一个巨大的移动“毒库“。你还记得上学时候你的电脑多少次被别人的U盘染上病毒的么?还记得因此重装过多少次电脑?因此换过多少次硬盘?而在此次的“比特币勒索病毒“风波里,北京市委网信办、北京市公安局、北京市经信委联合发出的通知有一条就明确指出,“严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。“
"WannaCry"的肆虐还在继续,已经有"中招"用户开始"投降",向黑客支付比特币以解锁中毒的加密文件。但值得庆幸的是这只占极少数,其背后的犯罪团伙并没有从中攫取太多利益——这看上去结果并没有那么坏。
黑客
但痛定思痛,如果每个人都更加强防范意识:
该打的补丁要及时打、不该点开的文件不要点、最重要的是,该备份的东西,一定要及时备份!
或许下次黑客再来袭的时候,我们就不会如此慌乱。
关于勒索病毒背后主谋的消息还没有一个确定的结论,不过此次勒索病毒的大范围传播的一个大原因是因为大家没有一个好的网络习惯吧。电脑系统升级不够及时,文件不能够及时备份,网络上的不明病毒链接横行,这些原因都导致了勒索病毒的恐慌。距了解,近期勒索病毒就会被停止传播,大家现在只要耐心等待~
