還在用老系統(tǒng)的Windows用戶:趕緊更新系統(tǒng)
過去一天里,包括中國在內(nèi)的全球99個(gè)國家都遭受到勒索軟件(ransomware)的攻擊,覆蓋多個(gè)公共服務(wù)機(jī)構(gòu)和個(gè)人用戶的Windows電腦。
英國衛(wèi)生服務(wù)(NHS)機(jī)構(gòu)電腦文件被鎖住,被迫取消門診預(yù)約、轉(zhuǎn)移病人;其他受害者還包括西班牙最大的電信運(yùn)營商、俄羅斯內(nèi)政處以及聯(lián)邦快遞(FedEx)等,他們的電腦文件都被加密無法獲取。
在國內(nèi),包括北大等多所高校都受到了攻擊,連接校園網(wǎng)絡(luò)的學(xué)生電腦上的文件也被加密、要求交付贖金。
所謂的“勒索軟件”(ransomware),其攻擊方式就跟敲詐勒索沒有區(qū)別:黑客通過電腦漏洞黑入后對部分文件進(jìn)行加密后,再以解密的秘鑰為要挾,要求機(jī)主交付“贖金”。
這是目前最大的網(wǎng)絡(luò)攻擊之一。安全軟件公司Avast稱他們已經(jīng)確認(rèn)了7.5萬次,影響了英、美、俄羅斯等國家,其中重災(zāi)區(qū)是俄羅斯、烏克蘭和臺灣。
在這次攻擊中,主要受到攻擊的是老舊的 Windows 系統(tǒng),包括 Windows XP、Windows 8以及服務(wù)器所用的系統(tǒng) Windows Server 2012。微軟稱,Windows 10 系統(tǒng)用戶暫時(shí)還沒有受到攻擊。
勒索軟件攻擊,通過給電腦上的文件加密勒索用戶|圖片來自:mspoweruser
中招的電腦界面會出現(xiàn)這樣一個(gè)窗口,告知用戶他們電腦上的文件已經(jīng)被加密,必須以加密的數(shù)字貨幣比特幣來交付贖金。
選擇比特幣應(yīng)該是因?yàn)樗y以被追溯,攻擊者開出的要價(jià)在300-600 美元。
這次的勒索軟件是怎么回事?
從周五開始,這款勒索軟件攻擊了多個(gè)國家的醫(yī)療、銀行、學(xué)校等多個(gè)公共服務(wù)機(jī)構(gòu),但目前沒有黑客團(tuán)體聲稱為這次攻擊負(fù)責(zé)。
這次勒索軟件攻擊被認(rèn)為跟此前泄漏的一個(gè) Windows 系統(tǒng)漏洞有關(guān)。4 月份,一個(gè)名為 Shadow Brokers 的黑客團(tuán)體從美國國家安全局(NSA)挖到了一個(gè) Windows 系統(tǒng)攻擊工具 EternalBlue,這次的勒索攻擊者在這個(gè)攻擊工具的基礎(chǔ)上,增加了自我復(fù)制機(jī)制,可以從一臺被攻擊的電腦傳到另外一臺電腦上,但還沒有確定這次攻擊者的信息。
在這次攻擊中,勒索軟件偽裝成的發(fā)票單據(jù)、招聘的相關(guān)文件,附在郵件內(nèi)傳播。但跟常見的勒索軟件不同的是,Wanna 病毒無需用戶打開郵件或者下載就可以感染電腦文件。由于限制贖金以加密的數(shù)字貨幣比特幣進(jìn)行交付,勒索人的信息不像信用卡和銀行轉(zhuǎn)賬那樣容易被警方追蹤。
這次攻擊不僅僅攻擊個(gè)別電腦,還可以影響到到整個(gè)網(wǎng)絡(luò)。英國的安全架構(gòu)師給 CNN 電視臺舉了個(gè)例子,如果一臺受攻擊的電腦接入到一家咖啡館的網(wǎng)絡(luò)里,勒索軟件會傳染給所有咖啡館內(nèi)的電腦。
在國內(nèi),勒索軟件可以攻擊校園網(wǎng)用于文件共享的 445 端口進(jìn)行擴(kuò)散,而像中石油的加油站,可能是因?yàn)闆]有升級系統(tǒng)的支付系統(tǒng)主機(jī)被攻擊,導(dǎo)致了其他主機(jī)也受到影響,目前這些加油站被關(guān)閉了網(wǎng)絡(luò)。
微軟發(fā)布了安全補(bǔ)丁,一位安全專家無意制止了攻擊
在周五的官方聲明中,微軟稱,他們已經(jīng)給這個(gè)漏洞發(fā)布了補(bǔ)丁,那些開啟了微軟系統(tǒng)更新(Windows Update)的用戶已經(jīng)受到了保護(hù)。
此外,針對這次攻擊的重點(diǎn)對象,包括 Windows XP、Win8 和 Windows Server 2012,微軟在官網(wǎng)同樣給出了安全更新補(bǔ)丁下載。
更進(jìn)一步的擴(kuò)散被一位安全軟件公司的研究員 Tony B 阻止了。這位來自 Kryptos Logic 安全公司的研究員控制了一個(gè)網(wǎng)站域名,將其以硬編碼的方式寫進(jìn)這個(gè)勒索軟件內(nèi),阻止了 Wanna 進(jìn)一步擴(kuò)散,但此前被攻擊的電腦仍受到影響。
找到阻止方式更多是憑運(yùn)氣。Tony B 本身的工作內(nèi)容就是尋找可以追蹤各種不同的惡意程序的方式,他的方法是追蹤那些可以控制惡意程序的服務(wù)器域名。
根據(jù)惡意軟件的流傳途徑,他會找出那些跟惡意軟件相關(guān)的、未經(jīng)注冊的服務(wù)器域名,然后反向追蹤惡意軟件,驗(yàn)證是否能控制這些惡意軟件的傳播。他為此注冊了數(shù)百個(gè)這種域名,以便控制這些惡意軟件。
在這次攻擊中,他以同樣的方式尋找到了跟這次勒索軟件有關(guān)的一個(gè)服務(wù)器域名,并且做了注冊。意料之外的是,他猜中了控制這次勒索軟件的服務(wù)器域名。
由于受到攻擊的電腦沒法靠用戶自己解開文件加密,這些加密的文件只能被攻擊者解除文件加密,跟這次事件相似的勒索軟件攻擊中,用戶只能加強(qiáng)防護(hù),不能解決。