“拔網(wǎng)線”成了很多辦公一族5月15日上班后要做的第一件事。這都是WannaCry勒索病毒惹的禍。

　　攻擊兇猛“史無前例”

　　5月12日晚，WannaCry勒索病毒（中文名“想哭”）在全球多個(gè)國家蔓延。“想哭”主要利用了微軟Windows操作系統(tǒng)存在漏洞的電腦。電腦感染后會(huì)顯示一個(gè)信息，稱用戶電腦系統(tǒng)內(nèi)的檔案已被加密，須向黑客支付價(jià)值約300美元甚至更多的電子貨幣比特幣來贖回。同時(shí)黑客還警告，金額會(huì)在3天后翻倍，若7天內(nèi)還是沒收到，就會(huì)把所有文件刪除。據(jù)英國金融時(shí)報(bào)報(bào)道，該病毒的發(fā)行者利用去年被盜的美國國家安全局自主設(shè)計(jì)的Windows系統(tǒng)黑客工具Eternal Blue，把今年2月的一款勒索病毒進(jìn)行升級(jí)后就成了WannaCry。

　　至歐洲時(shí)間5月14日早上，多達(dá)150個(gè)國家的20萬臺(tái)電腦遭該勒索病毒的侵害。受到該病毒影響的不僅僅是校園網(wǎng)，還包括部分企事業(yè)單位。中國官方媒體報(bào)道稱，中國有近4萬家公共和私人機(jī)構(gòu)受到了攻擊。中國國家互聯(lián)網(wǎng)信息辦公室稱，受害者包括政府機(jī)構(gòu)和私營企業(yè)，涉及教育、銀行和信息技術(shù)等領(lǐng)域。歐洲的警方協(xié)調(diào)機(jī)構(gòu)估計(jì)，至少有20萬個(gè)個(gè)人終端成為本次攻擊的受害者。

　　“想哭”病毒致使醫(yī)院癱瘓，擾亂了運(yùn)輸網(wǎng)絡(luò)，還使企業(yè)無法運(yùn)轉(zhuǎn)。歐洲刑警組織表示，盡管勒索軟件的出現(xiàn)并非新鮮事，但是“想哭”病毒的攻擊規(guī)模“史無前例”。

　　由于本次攻擊是勒索病毒借助了蠕蟲的傳播方式，病毒通過系統(tǒng)漏洞進(jìn)行入侵，無需用戶點(diǎn)擊下載，惡意程序就能遠(yuǎn)程植入系統(tǒng)。同時(shí)，病毒能啟動(dòng)掃描功能進(jìn)行二次傳播，這就有能力進(jìn)行大規(guī)模傳播，局域網(wǎng)在這次事件中受沖擊最大。

　　在英國，英格蘭和蘇格蘭醫(yī)療系統(tǒng)的部份電腦系統(tǒng)受病毒感染，運(yùn)作大受影響。除了英國，遭受“想哭”襲擊的有一長串名單：德國鐵路（Deutsche Bahn）、美國物流集團(tuán)聯(lián)邦快遞（FedEx）、法國汽車制造商雷諾（Renault）、西班牙電信（Telefónica）、西班牙電力公司（Iberdrola）、葡萄牙電信（Portugal Telecom）等都受到影響。俄羅斯和印度的情況最嚴(yán)重，這兩個(gè)國家仍廣泛使用“最容易中招”的微軟視窗XP系統(tǒng)。

　　據(jù)360安全專家介紹，這次的“永恒之藍(lán)”勒索蠕蟲，是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。一個(gè)月前，第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個(gè)Windows系統(tǒng)服務(wù)（SMB、RDP、IIS）的遠(yuǎn)程命令執(zhí)行工具，其中就包括“永恒之藍(lán)”攻擊程序。

　　據(jù)追蹤比特幣非法使用情況的倫敦公司Elliptic Enterprises稱，截至當(dāng)?shù)貢r(shí)間周一，用戶只向黑客支付了總計(jì)約人民幣34萬元贖金。不過，這些贖金只占此次網(wǎng)絡(luò)攻擊所產(chǎn)生實(shí)際損失的一小部分。據(jù)《華爾街日?qǐng)?bào)》報(bào)道，硅谷網(wǎng)絡(luò)風(fēng)險(xiǎn)建模公司Cyence的首席技術(shù)官George Ng稱，在考慮了電腦系統(tǒng)平均備份比例以及遭攻擊公司的業(yè)務(wù)范圍后，估計(jì)此次網(wǎng)絡(luò)攻擊造成的全球電腦死機(jī)直接成本總計(jì)約80億美元。

　　轉(zhuǎn)機(jī)源于“無心插柳”

　　電腦專家指出，大部份的病毒依靠引誘使用者點(diǎn)擊一些由黑客撰寫的電郵附件傳播；但“想哭”有所不同——它可以自動(dòng)在內(nèi)網(wǎng)散播，讓病毒在短時(shí)間感染許多系統(tǒng)，導(dǎo)致“想哭”病毒大面積傳播爆發(fā)。

　　“想哭”病毒，是一種勒索病毒。所謂勒索病毒，是以敲詐勒索為目的的新型網(wǎng)絡(luò)病毒。它的特點(diǎn)是，不僅具備傳染性，而且以敲詐勒索贖金為目的。另外就是這個(gè)病毒很頑固，每臺(tái)機(jī)器的加密方式不同，被它惡意加密的文件，除了病毒制造者外，目前無人能解。

　　安全專家提到：“目前的互聯(lián)網(wǎng)環(huán)境中，我們個(gè)人會(huì)做很多防護(hù)措施，比如安裝殺毒軟件。但這次病毒影響最大的不是個(gè)人所使用的互聯(lián)網(wǎng)，而是政府和企業(yè)內(nèi)部的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)在過去的管理當(dāng)中，由于沒有打補(bǔ)丁，導(dǎo)致了漏洞的存在，病毒就得以在這些系統(tǒng)中快速傳播，從而對(duì)政府或企業(yè)的業(yè)務(wù)系統(tǒng)，比如說交費(fèi)、學(xué)生的畢業(yè)論文、加油等等產(chǎn)生極大影響。勒索病毒不單單是影響一臺(tái)電腦，還直接影響到了人們的工作和生活。”

　　5月14日下午，國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心緊急通報(bào)，監(jiān)測發(fā)現(xiàn)在全球范圍內(nèi)爆發(fā)的勒索病毒出現(xiàn)了變種WannaCry 2.0，與之前版本的不同是，這個(gè)變種取消了Kill Switch，不能通過注冊(cè)某個(gè)域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。

　　關(guān)于勒索病毒的變種，專家解釋，病毒變種，危害程度和第一版的病毒其實(shí)是一樣的，只是加速了病毒的傳播速度。過去病毒為了對(duì)抗殺毒軟件、安全軟件，做了一些機(jī)制來保護(hù)自己，現(xiàn)在的變種就是打開了這樣的一些保護(hù)機(jī)制，更加肆無忌憚地在網(wǎng)上傳播，傳播速度更快。

　　對(duì)于變種病毒的防范方法，專家說：“變種之前和變種之后的防護(hù)方法其實(shí)大同小異，最重要的是針對(duì)用戶的電腦打補(bǔ)丁，把漏洞修補(bǔ)。政府和企業(yè)用戶，不僅僅要解決單臺(tái)電腦的問題，還要通過網(wǎng)絡(luò)策略的配置，來解決病毒的快速傳播問題。一旦一臺(tái)電腦中毒，要把病毒控制在一臺(tái)電腦當(dāng)中做隔離，這時(shí)候就需要通過網(wǎng)絡(luò)的手段來控制病毒的快速傳播。”

　　WannaCry勒索病毒第一波雖然來勢兇猛，但發(fā)展速度很快就減緩下來。原來是一位英國網(wǎng)絡(luò)安全人員無意中阻止了第一波的發(fā)展勢頭。

　　他發(fā)現(xiàn)在代碼的一開始，有一個(gè)特殊的域名地址（www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com），完全不像一個(gè)正常的域名。與此同時(shí)，地球另一端思科的網(wǎng)絡(luò)安全人員也發(fā)現(xiàn)了這個(gè)域名。他們發(fā)現(xiàn)，在之前網(wǎng)絡(luò)上完全沒有針對(duì)這個(gè)域名的訪問，而從勒索病毒爆發(fā)開始，這個(gè)域名的訪問量激增，峰值達(dá)到了每小時(shí)1400多次。

　　發(fā)現(xiàn)這個(gè)域名之后，這位英國網(wǎng)絡(luò)安全人員照例進(jìn)行了搜索，發(fā)現(xiàn)那個(gè)域名地址并沒有被注冊(cè)，出于職業(yè)習(xí)慣，他花了一點(diǎn)小錢就對(duì)這個(gè)域名進(jìn)行了注冊(cè)。他發(fā)現(xiàn)這個(gè)域名幾乎連接到了世界各個(gè)國家的電腦。當(dāng)時(shí)，他自己不知道發(fā)生了什么事，只知道這個(gè)域名不簡單。

　　事后才發(fā)現(xiàn)，他當(dāng)時(shí)隨意的注冊(cè)，簡直立了大功！隨著對(duì)病毒代碼的進(jìn)一步分析，安全人員發(fā)現(xiàn)，這個(gè)域名看起來像是病毒作者給自己留的一個(gè)緊急停止開關(guān)（防止事情失去他自己的控制）。也就是說，每一個(gè)感染了病毒的機(jī)器，在發(fā)作之前都會(huì)事先訪問一下這個(gè)域名，如果這個(gè)域名依舊不存在，那就繼續(xù)傳播，如果已經(jīng)被人注冊(cè)了，無論是被病毒作者本人還是被其他人，那就停止傳播。

　　就是這個(gè)簡單的域名，經(jīng)英國那位網(wǎng)絡(luò)安全人員不經(jīng)意間的注冊(cè)，就觸發(fā)了病毒作者留給自己的緊急停止的開關(guān)……

　　未雨綢繆勝于亡羊補(bǔ)牢

　　勒索病毒在給社會(huì)經(jīng)濟(jì)造成損失的同時(shí)，也再次拉響了網(wǎng)絡(luò)安全的警報(bào)，包括公安教育醫(yī)療能源等防護(hù)失當(dāng)，引人深思。面對(duì)此次勒索病毒，360、亞信、安天、安恒、綠盟、可信聯(lián)盟等迅速行動(dòng)。

　　亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長童寧認(rèn)為，此次勒索蠕蟲病毒雖然造成不小的損失，但是從另一個(gè)方面來說，不失為一堂生動(dòng)的網(wǎng)絡(luò)安全教育課，提示社會(huì)各方面在享受互聯(lián)網(wǎng)帶來的便利的同時(shí)，還要時(shí)刻繃緊網(wǎng)絡(luò)安全這根弦。隨著網(wǎng)絡(luò)日益滲透到生活的方方面面，網(wǎng)絡(luò)安全的威脅也將從虛擬走進(jìn)現(xiàn)實(shí)。“隨著物聯(lián)網(wǎng)設(shè)備走進(jìn)生活，網(wǎng)絡(luò)安全威脅可能更加普遍，假如被‘劫持’的不是電腦，而是無人機(jī)或無人駕駛汽車，給人們帶來的危險(xiǎn)將是直接而現(xiàn)實(shí)的。”

　　公安部信息安全等級(jí)保護(hù)評(píng)估中心張振峰認(rèn)為：“我們?nèi)祟惤鉀Q問題分為兩個(gè)層次，低層次是停留在出現(xiàn)問題解決問題層面，而高層次是著眼于如何防止問題發(fā)生。不要總是在事后才亡羊補(bǔ)牢，才去重視，倘若平時(shí)能夠合規(guī)一點(diǎn)，哪怕只落實(shí)一部分，也會(huì)降低事件發(fā)生的可能，減小事件造成的損失。”

　　中國工程院院士倪光南談到“勒索病毒”時(shí)指出，“自主可控”是實(shí)現(xiàn)網(wǎng)絡(luò)安全的前提。目前我國的網(wǎng)絡(luò)系統(tǒng)相當(dāng)于是在別人的地基上建房子，在CPU等關(guān)鍵技術(shù)領(lǐng)域，發(fā)達(dá)國家處于領(lǐng)先地位，因此，只有構(gòu)建屬于中國自主技術(shù)、平臺(tái)的網(wǎng)絡(luò)生態(tài)系統(tǒng)，才能真正避免受制于人，也才能有效解決類似于此次“勒索病毒”的問題。

　　本報(bào)記者 楊光

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……