首頁>要聞 要聞
專家談勒索病毒肆虐:“網(wǎng)絡(luò)軍火”擴(kuò)散失控事件
5月12日晚,全球爆發(fā)大規(guī)模“勒索”病毒(WannaCry)感染事件,只有繳納高額贖金(有的要比特幣)才能解密被病毒鎖定的資料和數(shù)據(jù)。英國多家醫(yī)院中招,病人資料受到外泄威脅,同時(shí)俄羅斯、意大利等多個(gè)歐洲國家,我國大量企業(yè)內(nèi)網(wǎng)也大規(guī)模受到感染,有的甚至癱瘓。
勒索到的235個(gè)比特幣還未被領(lǐng)取
那么這個(gè)“勒索”病毒怎么來的,為什么這么厲害?被加密的數(shù)據(jù)還能夠解開嗎?“勒索”的比特幣從哪來、怎么支付?教育網(wǎng)聲明其不是重災(zāi)區(qū),這次的安全應(yīng)急響應(yīng)是否過度?5月16日下午,中國計(jì)算機(jī)學(xué)會(huì)青年科技論壇(CCF YOCSEF)聯(lián)合CCF計(jì)算機(jī)安全專業(yè)委員會(huì)共同舉行一次“勒索病毒:憑什么能綁架我們的系統(tǒng)?”特別技術(shù)論壇,邀請國內(nèi)信息安全領(lǐng)域內(nèi)的知名專家、學(xué)者進(jìn)行相關(guān)探討。
“這是第一例蠕蟲型‘勒索’病毒軟件。”左磊是北京神州綠盟信息安全公司安全研究部總監(jiān),他先給這次爆發(fā)的“勒索”軟件進(jìn)行了定義,“蠕蟲病毒主要是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播,傳染途徑一般是通過電子郵件引導(dǎo)用戶點(diǎn)擊,但這次勒索軟件又多了一步,利用漏洞快速傳播,加密文件以進(jìn)行勒索”。
左磊介紹,今年2月就有人在網(wǎng)上宣稱發(fā)現(xiàn)了這一惡意軟件,3月也有人宣布發(fā)現(xiàn)。當(dāng)時(shí)還是1.0版本,不具備蠕蟲的性質(zhì)。微軟曾經(jīng)在3月發(fā)布過針對漏洞的6個(gè)補(bǔ)丁,但一個(gè)月之后這一病毒軟件2.0版本出現(xiàn)。左磊從技術(shù)角度分析了微軟操作系統(tǒng)的漏洞是如何被“勒索”軟件攻擊的。這一軟件攻擊范圍很廣,許多系統(tǒng)可以傳播。
左磊也看到報(bào)道,英國一個(gè)年輕的IT專家通過分析“想哭”軟件發(fā)現(xiàn),它預(yù)設(shè)如果訪問某個(gè)域名就自我刪除,而這個(gè)域名尚未注冊,他通過注冊這個(gè)域名并進(jìn)行相關(guān)操作,成功阻止了“想哭”軟件蔓延。
“這個(gè)軟件5月14日出現(xiàn)變種,目前已經(jīng)發(fā)現(xiàn)兩個(gè)變種,第一個(gè)變種改動(dòng)簡單已經(jīng)失效。”左磊說,“勒索”軟件影響范圍很大,他們監(jiān)測到,截至5月16日13時(shí)有237筆被勒索的支付,包括235個(gè)比特幣,約5.9萬美元,折合41萬元人民幣,但目前沒有人領(lǐng)取。
北京理工大學(xué)計(jì)算機(jī)學(xué)院教授祝烈煌則給大家展示了被勒索的比特幣是如何形成的,以及它與傳統(tǒng)貨幣的區(qū)別、資金流向。他提出,要根據(jù)已經(jīng)查明的3個(gè)資金流向地址,在網(wǎng)絡(luò)世界中建立相應(yīng)的反制措施。
這是大規(guī)模“網(wǎng)絡(luò)軍火”擴(kuò)散失控事件
安天科技公司副總裁王小豐則把這款新型蠕蟲式“勒索”軟件稱為“魔窟”:“安全從業(yè)人員這幾天一直都很緊張,進(jìn)行分析、應(yīng)對,我們認(rèn)為這是一起全球大規(guī)模‘網(wǎng)絡(luò)軍火’擴(kuò)散失控事件。”
他說,一個(gè)月前,安天就曾發(fā)布有關(guān)提示:“網(wǎng)絡(luò)軍火”擴(kuò)散會(huì)在全球降低攻擊者成本,會(huì)帶來“蠕蟲”回潮。此預(yù)警不幸言中。好在,此次國內(nèi)的網(wǎng)絡(luò)安全企業(yè)反應(yīng)相對迅速。天安在5月12日晚就拿出了分析報(bào)告,并發(fā)出相關(guān)應(yīng)對預(yù)案。并在隨后針對“勒索”軟件的防范發(fā)布指南,發(fā)布了免疫工具。
“‘網(wǎng)絡(luò)軍火’攻擊性強(qiáng)、穿透性強(qiáng),會(huì)造成大規(guī)模災(zāi)難;我們的基礎(chǔ)防御水平還很低;要舉一反三,現(xiàn)在不是網(wǎng)絡(luò)更安全了,而是隱蔽性增加了,難以被發(fā)現(xiàn)了。”針對此次攻擊事件,王小豐有許多思考,他認(rèn)為今后我們會(huì)面臨更多“網(wǎng)絡(luò)軍火”攻擊和失控的危險(xiǎn),“此次暴露出隔離網(wǎng)內(nèi)漏洞比較多。過于依賴網(wǎng)絡(luò)邊界防護(hù)和物理隔離的安全體系,反而內(nèi)部網(wǎng)絡(luò)安全可能疏漏較多,系統(tǒng)安全治理工作也任重道遠(yuǎn)。”
中標(biāo)軟件副總經(jīng)理李震寧在論壇上也代表國產(chǎn)操作系統(tǒng)廠商發(fā)表了看法:“雖然這次攻擊只是針對windows系統(tǒng)而不會(huì)影響到Linux,但這個(gè)漏洞是被美國國家安全局掌控,被黑客泄露后發(fā)動(dòng)攻擊。還有更多沒有被公開的漏洞,這才是這個(gè)事件中透射的最可怕問題。我們大量的設(shè)備是基于這樣的系統(tǒng)構(gòu)建,系統(tǒng)還有多少漏洞后門不得而知。我國提出要在實(shí)施信息領(lǐng)域核心技術(shù)設(shè)備攻堅(jiān)戰(zhàn)略、在操作系統(tǒng)等研發(fā)和應(yīng)用取得重大突破,就是希望能夠構(gòu)建真正安全、可控的信息技術(shù)體系。”
此次事件應(yīng)急處理成功有運(yùn)氣成分
360副總裁、首席安全官譚曉生出示了一張數(shù)據(jù)監(jiān)測圖,顯示5月12日的下午3點(diǎn)開始出現(xiàn)大量感染,晚上進(jìn)入了高發(fā)期,有很多機(jī)構(gòu)中招,包括某石油系統(tǒng)和政府某機(jī)構(gòu)網(wǎng)站。“到了5月13日12點(diǎn)以后,無論是政府企業(yè)還是機(jī)構(gòu)個(gè)人都開始進(jìn)行相關(guān)處置,病毒感染開始得到控制。從5月14日早上7點(diǎn)到現(xiàn)在,一直平穩(wěn),沒有出現(xiàn)大規(guī)模的感染。”
由于15日是病毒出現(xiàn)后的第一個(gè)工作日,上午11點(diǎn)到12點(diǎn)一個(gè)小時(shí)中,是過去這些時(shí)間段里的最高峰,共有5389次攻擊,一共105個(gè)用戶中招。而在16日下午一個(gè)小時(shí)內(nèi)則只有幾十個(gè)。
“現(xiàn)在用戶中病毒會(huì)繼續(xù)傳播但不會(huì)加密文件,損害基本不存在了。”譚曉生說,這是因?yàn)槟莻€(gè)英國小伙子注冊了域名,把它的危害控制住了。
360的實(shí)時(shí)監(jiān)測數(shù)據(jù)也證明了“教育網(wǎng)不是此次事件的重災(zāi)區(qū)”。截至5月16日零點(diǎn),360安全衛(wèi)士監(jiān)測到的數(shù)據(jù)顯示,教育網(wǎng)只占國內(nèi)全部受感染的0.63%。此前的報(bào)道,很大程度是由于媒體的數(shù)據(jù)誤讀和錯(cuò)誤解讀。
“我們接近6萬臺(tái)設(shè)備,到目前為止沒有接到一個(gè)學(xué)生電腦中毒的報(bào)告,也沒有接到一個(gè)教師受到這次‘勒索’軟件影響的報(bào)告。全校只是有幾臺(tái)在教室中播放PPT的設(shè)備受到感染。”在論壇上,從事信息安全研究的北京大學(xué)教授陳鐘提供了北京大學(xué)目前的數(shù)據(jù),以此證明“教育網(wǎng)在此次‘勒索’軟件傳播中背了黑鍋”。
譚曉生認(rèn)為這次“勒索”軟件的傳播得到及時(shí)控制,有運(yùn)氣成分在其中。“首先是安全產(chǎn)品廠家反映迅速,因?yàn)槭窃凇粠б宦贰鍟?huì)期間,各個(gè)部門溝通及時(shí),政府連下3個(gè)通告,運(yùn)營商對端口進(jìn)行封閉,很多企事業(yè)單位、機(jī)構(gòu)迅速關(guān)閉了445端口,也阻礙了傳播。微軟也特例給XP和2003系統(tǒng)出了補(bǔ)丁,雖然晚了一點(diǎn)點(diǎn),但是還是解決了不少的問題。”
“雖然說應(yīng)急比較成功,但還是有不少需要改進(jìn)的地方。”譚曉生進(jìn)行了逐一分析,第一,谷歌3月首先報(bào)出那個(gè)操作系統(tǒng)的漏洞,如果當(dāng)時(shí)研判這是蠕蟲的傳播,應(yīng)該有應(yīng)急預(yù)案,但是沒做;第二,有些大企業(yè),特別是有的央企,信息技術(shù)能力并不差,有很強(qiáng)大的安全團(tuán)隊(duì),但是為什么也中招?因?yàn)樗麄儗Π踩斫庥衅H。“從這次看,網(wǎng)絡(luò)終端并非等同于徹底殺毒,終端也可以成為發(fā)起攻擊的源頭,病毒可以進(jìn)到隔離的網(wǎng)絡(luò)里去,如果內(nèi)網(wǎng)安全防范沒有做好,照樣會(huì)被病毒攻擊。”
編輯:薛曉鈺
關(guān)鍵詞:勒索病毒 網(wǎng)絡(luò)軍火