一文看懂“勒索病毒”肆虐全球的来龙去脉
如果你是开了自动更新的Win10用户,那你这会应该是在喝着咖啡研究300美元现在能换多少比特币;如果你是Win7/Win8用户,公司的技术可能已经在你的桌面放好了补丁文件;而如果你是XP用户……不如我们来聊聊今天的天气。
5月12日开始在全球蔓延的WannaCry勒索病毒已经席卷了至少150个国家的20万台电脑。病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。七天内不缴纳赎金的电脑数据将被全部删除。
而*网信办网络安全协调局负责人今日就勒索软件攻击事件回应称,该勒索软件还在传播,但传播速度已经明显放缓。
在今天的【见闻问答】栏目里,让我们一起来看一看WannaCry病毒席卷全球的过程中,一些有趣的细节:有人不付赎金也能马上解锁电脑;有人花了点小钱,竟然拯救了全世界;而WannaCry竟然承认,在这一次的病毒袭击中,他们也有大败而归……
Q:勒索病毒到底是什么?为什么会出现这一次的WannaCry?
A:赎金是勒索软件的最终目标。勒索软件通过网络系统的漏洞而进入受害者的电脑,直到受害者付清赎金后才将电脑解锁。
而这一次的WannaCry病毒,主要攻击Windows系统,引诱用户点击看似正常的邮件、附件或文件,并完成病毒的下载和安装,称为“钓鱼式攻击”。安装后的病毒会将用户电脑锁死,把所有文件都改成加密格式,并修改用户桌面背景,弹出提示框告知交纳“赎金”的方式。
而据英国金融时报和纽约时报披露,病毒发行者正是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue,把今年2月的一款勒索病毒升级。
所以,微软总裁在周*发博文,控诉美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,最终带来了这一次攻击了150个国家的勒索病毒。
Q: 病毒是怎么散布开来的?
A:最早被曝感染病毒的是西班牙,随后短短三小时内,德国、法国、俄罗斯、美国、越南、印度尼西亚、菲律宾、中国*、哈萨克斯坦、乌克兰等多个地区都被波及。
卡巴斯基实验室数据显示,俄罗斯、乌克兰、印度和中国*是受WannaCry勒索病毒影响最严重的地区。
而WannaCry对英国国家医疗服务体系(NHS)的袭击最为惨无人道:至少有25家医院电脑系统瘫痪、救护车无法派遣,极有可能延误病人治疗,造成性命之忧。
中国亦在周六开始受到影响,重灾区是校园系统和*办事系统,部分ATM和加油站和支付系统也受到影响。广东珠海市住房公积金管理中心今日还紧急发布通知,宣布暂停办理珠海市住房公积金业务,加固升级内外网络。
Q:我付不起赎金怎么办啊?
A:嘿嘿,勒索病毒倒还挺仁慈的。
Facebook账号爆料公社称,一名网友的电脑中了WannaCry病毒后,被要求支付0.345比特币(约合人民币3600元)。这名网友致邮勒索病毒的客服,称“我月收入只有400美元,你真的要这样对我吗?”。
然后他得到了这样的回复:“我们在你们当地的团队遇到了重挫。我们显然高估了你们的收入,你现在不必支付任何费用,我们会帮你的电脑解锁。”
客服还附言:“不过如果你喜欢我们,并且有意请我们喝几杯咖啡的话,我们永远欢迎你。”
而如果你仔细看看勒索病毒的留言,你还会发现……
不过对苦命的学生党来说,辛辛苦苦码了一年的论文没被学校挂掉,反而被黑客挂掉了,是蛮惨的:
Q:以前的病毒都会勒索资金吗?比特币出现之前都是用什么来支付的?
A:最早的勒索病毒出现在1989年,不过2005年才开始逐渐猖獗。汇款、短信小额付款、在线虚拟货币(Ukash、Paysafecard)都是曾经的支付方式。
Q:那为什么这一次要用比特币来支付?
A:原因有三:比特币可以全球收款、匿名交易方便黑客藏身、去中心化让让黑客可以通过程序自动处理赎金。另外,这并不是比特币第一次成为勒索病毒的“赎金”载体。
一财此前指出,比特币投资者普遍认为,比特币被用于勒索,是因为比特币不仅相对于其他传统支付工具有优势,同时在其他虚拟货币中也是最佳选择。
首先,比特币有一定的匿名性,便于黑客隐藏身份;其次它不受地域限制,可以全球范围收款;同时比特币还有“去中心化”的特点,可以让黑客通过程序自动处理受害者赎金。而相比于其他数字货币,比特币目前占有最大的市场份额,具有最好的流动性,所以成为黑客选择。
所以说,比特币只是个支付方式,和这次勒索病毒袭击事件没什么关系,就跟犯罪人士喜欢使用美元现钞一样。
而这并不是比特币第一次成为勒索病毒的“赎金”载体。三年前的另一款勒索软件CryptoLocker,就已经利用比特币大赚2700万美元,当时的支付要求是300美元或欧元,或者2比特币。
300美元这个数额似乎不少见,2007年的一起特洛伊木马,也要求用户付300美元来赎回电脑中的个人资料。
Q:这都第四天了,病毒还在传播吗?
A(反问):有一个好消息,和一个坏消息,你要先听哪个?
我知道你要先听坏消息。根据北京市委网信办、北京市*局、北京市经信委周日发布的联合通知,监测发现,WannaCry勒索蠕虫出现了变种WannaCry 2.0。这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。就是说,该变种的传播速度可能会更快。
Q:Kill Switch...?
A:这就是那个好消息了。一位推名为“Malware Tech”的英国网络安全人员无意间购买了一个特殊的域名后,阻止了WannaCry的传播。这个域名被称为Kill Switch(死亡开关)。
这位网络安全人员在分析病毒的代码时,发现在代码的始端,有一个毫无规律的奇怪域名地址:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
他好奇地搜索了一下,发现这个域名没有被注册。而于是他把它买了下来。
然后这个域名开始迅速接到接到了几乎全世界各个国家的电脑。下图显示了这位英国人在买下这一域名后的访问量。
经过一系列确认后,他兴奋地跳了起来——WannaCry病毒的散播确得到了遏止,功臣正是随手买了个域名的自己。
而对病毒代码进行进一步分析后,这位英国人还发现,代码中有如下内容:
(每一个感染了病毒的机器,在启动之前都会事先访问一下这个域名,如果这个域名依旧不存在,那就继续传播;如果已经被人注册了,那就停止传播。)
他本人开心了很久:
我承认,在我无意间注册这个域名之前,完全不知道他能停止这次病毒的传播。纯属意外。所以以后我简历上大概可以加一句,一不小心阻止了一场全球性的网络攻击。^^
不过忧伤的是,WannaCry好像已经变种了……
Q:那我到底应该怎么预防电脑中病毒……
A:相信你早就知道了,不过我们还是再讲一遍:升系统!打补丁!删端口!
微软在病毒散播开来之后就迅速为Win10用户提供了更新,而其他系统可以前往https://technet.microsoft.com/zh-cn/library/security/MS17-010查询相应的补丁,XP、2003等微软已不再提供安全更新的,需要通过其他软件来检查是否存在漏洞,并关闭受到漏洞影响的端口。
下一篇: 不同意就不同意,何必放屁