“勒索病毒”侵袭全球 猫鼠游戏上演

腾讯科技 2017-05-15 作者:韩依民

  一场互联网领域的“生化危机”正在全球上演。令人不安的情况仍在继续:WannaCry病毒还在扩张自己的领地。

  这大概是世界上成名最快的一款互联网程序,从5月12日开始,在短短24小时内,由于罕见的传播速度以及严重的破坏性,勒索病毒WannaCry已经成为全球关注的焦点。

  2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。目前已经波及99个国家。

  在WannaCry攻城拔寨的传播过程中,5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。

  获知此消息的云纵首席科学家及研发副总裁郑昀忍不住在微博感叹,“这个事件从头到尾都像是一部电影,开始的离奇,结束的诡异。”

  但事情远未结束,现实证明Kill Switch的发现只是一个插曲。

  5月14日,在停止开关被发现18小时后,国家网络与信息安全信息通报中心发布新变种预警:WannaCry 2.0即将来临;与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。

  截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。

  同时,由于WannaCry大规模爆发于北京时间上周五晚8点,国内还有大量政企机构网络节点尚在关机状态。因此,今日周一开机已经是一场安全考验。

  新的危险正在步步逼近,而人们目前对WannaCry病毒本身所知依然有限。

  神秘谜团

  WannaCry的传播路径是个谜团,互联网安全厂商们仍无法确切还原。

  病毒最先在英国大规模爆发,影响范围波及医疗体系,一些手术被迫中止。国内,在病毒感染数据达到被监测机构注意到的阈值之前,首先让外界注意到这一病毒的,是国内社交网络上不少大学生反映学校网络故障的言论。

  5月12日,多个高校发布了关于连接校园网的电脑大面积中勒索病毒的消息,一位来自桂林科技大学的同学对腾讯科技证实,该校某创新实验基地几百台电脑由于受到勒索病毒的攻击,已经陷入瘫痪。

  感染范围很快从校园网蔓延出去,根据统计,国内包括校园网用户、机场、银行、加油站、医院、警察、出入境等事业单位都受到了攻击并且中毒。

  腾讯安全团队在溯源中发现,病毒爆发是在校园网用户里,但从哪开始不详。猎豹移动安全专家李铁军则表示,病毒的来源和传播路径目前没有结论,什么时间潜伏进内网的,都需要更多研究来分析。

  好消息一度在病毒大肆传播24小时后传出,12日晚间8点多,有消息称WannaCry被互联网安全人员找到阻止其传播的方法,这一消息随后得到国内多家安全厂商的证实。

  被意外发现的Kill Switch同样是个谜团。

  没人能回答病毒作者因何为WannaCry设置了停止开关,安全专家们只能给出如下推测:可能是编码错误,也可能是作者没想到;可能源于作者担心病毒无何止传播。总之,没有定论。

  Kill Switch是WannaCry众多谜团中的一个,同样让人感到困惑的,还有WannaCry的勒索行为本身。

  病毒被传播后,缴纳赎金的人数在持续增长,根据腾讯安全团队提供的数据,截至5月13日晚间,全球共有90人交了赎金,总计13.895比特币,价值超过14万,到了5月14日下午四点半,缴纳赎金的人数增长至116人。

  尽管目前安全专家们仍未找到解密病毒感染文件的方法,但互联网安全专家们坚持建议受感染用户不要缴纳赎金。

  原因在于,“WannaCry的勒索行为似乎无法构成一个完整的业务回路,”反病毒引擎和解决方案厂商安天实验室创始人、首席技术架构师肖新光介绍,在缴纳赎金解密文件这个问题上,“我们的判断和网上的传闻(缴纳赎金成功解密)有出入,即支付了赎金也无法解密。因为每个用户都是个性化的密钥,意味着受害人需要向攻击者提供标识身份的信息。”

  而实际上受害者在缴纳赎金的过程中无法提供标识身份的信息,因此,这意味着即使受害者交了赎金,依然无法获得解密。

  对于这种情况,肖新光分析原因可能在于“我们的分析过程中不够缜密”。但腾讯安全团队得出了同样的结论:经验证,交钱的过程,作者并没有核实受害者的逻辑,只是收了钱,并没有帮忙解密。这显然并非巧合。

  肖新光给出另外两种可能的推测:“或者可能是作者根本就没有想解密;还有一种可能是,这是事件本身不是以勒索为目的,而是以勒索者的表现达到其他目的。”

  一个谜团接着另一个谜团,解开它们是战胜WannaCry的关键。

  互联网“生化危机”

  戏剧般的场景正在由0和1组成的二进制世界中发生,离奇程度堪比电影。

  WannaCry来势汹汹,可能会成为有史以来危害最大的蠕虫病毒。腾讯安全团队将WannaCry的传播方式和影响力与此前声名大噪的“冲击波”、“Conficker”对等。

  冲击波病毒(W32.Blaster.Worm)是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发,由于冲击波病毒肆虐全球,部分运营商在主干网络上封禁了445端口。五年后,Conficker蠕虫病毒于2008年“袭”卷全球的,当时有近200个国家的至少900万台电脑被感染。

  Conficker爆发后近十年的平静随着WannaCry的发作被打破,腾讯安全团队介绍,WannaCry与“冲击波”、“Conficker”不同的地方在于,其危害程度远超当时的病毒,因为该病毒会加密用户机器上的所有文档,损失相当惨重。

  几乎所有互联网安全团队们都在通宵加班,病毒传播速度非常快,安全专家们必须争取时间。

  WannaCry的作者看上去野心勃勃,据了解,其设置了27国语言,这并不常见。

  肖新光介绍,最早的勒索者就用英文版,后来逐渐的扩散到不同的国家,为了获得更大的收益,从语言包的数量上对勒索软件来说是比较多的,是一个渐进的过程。

  但27种语言仍旧是不同寻常的。李铁军对腾讯科技介绍,很长时间以来,勒索病毒都支持多国语言,但一般的勒索病毒支持的语言为6、7种,大部分在10种以内,“这个版本支持的语言真多。”

  中文版本中,WannaCry 以流畅的表述威胁着中毒用户:“对半年以上没钱付款的穷人,会有活动免费恢复,能否轮到你,就要看您的运气怎么样了。”对于中文解析流畅是否意味着病毒作者可能来自中国的猜测,安全专家们分析WannaCry有可能是团队作案,团队成员可能遍布不同国家。据腾讯安全团队介绍,目前来看受WannaCry危害最大的应是俄罗斯。

  WannaCry的实际传播情况确实没有辜负其精心准备的27种语言,目前,已经有近百个国家遭遇病毒攻击。

  蠕虫病毒的特性是WannaCry得以迅速传播的重要原因,与其他病毒相比,蠕虫病毒的传播速度要快太多,因为病毒自身可以寻找传播下一个可攻击的目标。

  WannaCry得以获得如此快速传播的另一个重要原因在于,采用了前不久美国国家安全局NSA被泄漏出来的MS17-010漏洞。

  在肖新光看来,WannaCry得以产生如此传播效果的主要原因在于“使用了一个较新的对多个Windows版本有通吃能力的远程溢出漏洞,这一漏洞本来是情报机构高度隐秘网络军火,但因失窃流失导致被多方利用。”

  因此,肖新光对WannaCry事件的定义是“军火级的漏洞被以非受控的方式使用。”

  美国国家情报机关的涉入让WannaCry变得更加复杂,国家权力机关的涉入已经引发外界对网络安全的担忧,逃亡至俄罗斯的NSA前雇员爱德华·斯诺登5月13日发布推特建议国会质询NSA,“鉴于今日的攻击,国会需要质询@NSAgov,看它是否还知道我们医院所使用的软件中还有其他漏洞。”

  没有人希望电影生化危机中由部分决策机构私利驱动造成的灾难在互联网世界重复上演。

  猫鼠游戏

  WannaCry具备了一款超级病毒应有的特点:神秘、快速以及严重的破坏。终止这场猫鼠游戏是网络安全专家们的共同目标。

  “估计全球安全人员都想把病毒作者扒出来。”李铁军对腾讯科技说道。

  采集样本、进行分析、形成对策建议是安全团队们的基本应对模式。

  腾讯安全团队在5月12日下午2点多感知到这波蠕虫病毒、晚上开始爆发后,第一时间对敲诈者病毒进行了拦截防御、对漏洞进行了防御,同时引导用户去打补丁、关闭高危端口(445端口等),并推出了“文档守护者”产品;5月14日推出了针对易感的企业客户推出了一个电脑管家“管理员助手”诊断工具。

  监测到WannaCry病毒发作的当天即5月12日晚间八点,安天实验室立刻启动了A级即最高级灾难响应,此前的同级别病毒或安全疫情有红色代码、震荡波、冲击波、破壳等。

  启动了A级灾难响应后,安天实验室首先派出一部分人员去现场采集病毒样本、观测主机和网络现象,涉及十个不同的行业,因需保护客户隐私,安天实验室未透露中毒的具体企业名称。

  情况显然相当严重,实际上,并非每一次病毒爆发都需要实验室研发人员前往现场采集样本,肖新光介绍,上一次出现大面积类似操作的针对IoT僵尸网络进行的取证分析。而研发人员现场采集回来的样本接近30个,包含母体和释放的文件。

  采集样本的同时,研发人员进行后台分析、样本分析,另一部分研发人员则形成对策建议、应急方案,开发分析、免疫工具。

  金山毒霸研发团队同样一直在加班,抓紧分析病毒,开发免疫工具,提供应急补丁,升级了毒霸的防御系统。

  由于事件出现在周末,当前来看后果还没有完全体现出来,随着周末过后的工作日来临,病毒传播进一步发展的风险很高。尤其高校、企业、政府机关等内网用户仍属于高危感染人群,因此,对安全团队们而言,当前最紧要的任务是保证行业用户在周一开机投入使用的时候规范化操作,能够尽量的去减少损失。

  为此,包括腾讯安全团队、安天实验室在内的安全团队已经推出了针对周一开机的解决方案。

  此前腾讯电脑管家已经发布“勒索病毒免疫工具”及“勒索病毒免疫工具离线版”,用户只要掌握正确处置方法,通过电脑管家勒索病毒免疫工具,就可以加固电脑以免被感染。

  对于企业而言,如果管理员在不确定电脑是否被感染的情况下,可以使用腾讯电脑管家的“管理员助手”诊断工具进行检测。下载后,输入目标电脑的IP或者设备名称,即可诊断目标电脑是否存在被感染勒索病毒的漏洞,可在诊断报告的指导下,对尚未打补丁的健康设备及时打补丁、布置防御。

  然而在加密可破解性、可恢复性到底有多大、这个病毒能不能进行有效的溯源等问题上,目前全球安全专家还没有实质性的突破。

  随着WannaCry变种的预警出现,可以预见,短期内安全专家们与病毒作者间的猫鼠游戏还将持续一段时间。基于此,安全专家们普遍建议用户们应该及时安装系统补丁,打开主机防火墙,关闭不使用的服务和端口,及时升级病毒库。

  腾讯安全反病毒实验室负责人马劲松表示,虽然目前监控到的数据并没有完全证实WannaCry 2.0勒索病毒已经来袭,但出现新变种的可能性非常大,广大用户务必强化网络安全意识,陌生链接不点击,陌生文件不要下载,陌生邮件不要打开,电脑安装并开启杀毒软件。

  由WannaCry带来的反思已经在进行,李铁军认为,“WannaCry影响比较大,应该说对所有人上了一课。网民几乎已经忘了电脑病毒这个东西,以为自熊猫烧香后,病毒已经不见了。其实,不是病毒不见了,而网民看不见而已。病毒一直都在,庞大的黑色产业链越来越专业,隐藏越来越深,也基本上不破坏系统,目标只是赚钱。网民看不见了。开始以为病毒都是安全厂商瞎忽悠。所以,这个病毒事件,会让网民重新警觉起来。一定会对中国的网络安全产生正面影响。”

  肖新光眼中,刻意强调是恶意的攻击行为来推动了安全的进步,这个价值观是有问题的,但“从规律性来看,人类历史上所有的巨大灾难都是以巨大进步为补偿。”

责任编辑:王超

科普中国APP 科普中国微信 科普中国微博
腾讯科技
是中国科协为深入推进科普信息化建设而塑造的全新品牌,旨在以科普内容建设为重点,充分依托现有的传播渠道和平台,使科普信息化建设与传统科普深度融合,以公众关注度作为项目精准评估的标准,提升国家科普公共服务水平。

猜你喜欢