【见闻问答】一文看懂“勒索病毒”肆虐全球的来龙去脉

作者: 陶旖洁
150个国家的20万台电脑受害,珠海暂停了住房公积金业务、英国医院瘫痪、美国联邦快递和俄罗斯内政部事务都受到影响。但勒索病毒也并非穷凶极恶,对于付不起赎金的用户,它也有仁慈的一面。

如果你是开了自动更新的Win10用户,那你这会应该是在喝着咖啡研究300美元现在能换多少比特币;如果你是Win7/Win8用户,公司的技术可能已经在你的桌面放好了补丁文件;而如果你是XP用户……不如我们来聊聊今天的天气。

5月12日开始在全球蔓延的WannaCry勒索病毒已经席卷了至少150个国家的20万台电脑。病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。七天内不缴纳赎金的电脑数据将被全部删除。

而中央网信办网络安全协调局负责人今日就勒索软件攻击事件回应称,该勒索软件还在传播,但传播速度已经明显放缓。

在今天的【见闻问答】栏目里,让我们一起来看一看WannaCry病毒席卷全球的过程中,一些有趣的细节:有人不付赎金也能马上解锁电脑;有人花了点小钱,竟然拯救了全世界;而WannaCry竟然承认,在这一次的病毒袭击中,他们也有大败而归……

Q:勒索病毒到底是什么?为什么会出现这一次的WannaCry?

A:赎金是勒索软件的最终目标。勒索软件通过网络系统的漏洞而进入受害者的电脑,直到受害者付清赎金后才将电脑解锁。

而这一次的WannaCry病毒,主要攻击Windows系统,引诱用户点击看似正常的邮件、附件或文件,并完成病毒的下载和安装,称为“钓鱼式攻击”。安装后的病毒会将用户电脑锁死,把所有文件都改成加密格式,并修改用户桌面背景,弹出提示框告知交纳“赎金”的方式。

而据英国金融时报和纽约时报披露,病毒发行者正是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue,把今年2月的一款勒索病毒升级。

所以,微软总裁在周日刊发博文,控诉美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,最终带来了这一次攻击了150个国家的勒索病毒。

Q: 病毒是怎么散布开来的?

A:最早被曝感染病毒的是西班牙,随后短短三小时内,德国、法国、俄罗斯、美国、越南、印度尼西亚、菲律宾、中国台湾、哈萨克斯坦、乌克兰等多个地区都被波及。

卡巴斯基实验室数据显示,俄罗斯、乌克兰、印度和中国台湾是受WannaCry勒索病毒影响最严重的地区。

而WannaCry对英国国家医疗服务体系(NHS)的袭击最为惨无人道:至少有25家医院电脑系统瘫痪、救护车无法派遣,极有可能延误病人治疗,造成性命之忧。

中国亦在周六开始受到影响,重灾区是校园系统和公安办事系统,部分ATM和加油站和支付系统也受到影响。广东珠海市住房公积金管理中心今日还紧急发布通知,宣布暂停办理珠海市住房公积金业务,加固升级内外网络。

Q:我付不起赎金怎么办啊?

A:嘿嘿,勒索病毒倒还挺仁慈的。

Facebook账号爆料公社称,一名网友的电脑中了WannaCry病毒后,被要求支付300美元。这名网友致邮勒索病毒的客服,称“我月收入只有400美元,你真的要这样对我吗?”。

然后他得到了这样的回复:“我们在你们当地的团队遇到了重挫。我们显然高估了你们的收入,你现在不必支付任何费用,我们会帮你的电脑解锁。”

客服还附言:“不过如果你喜欢我们,并且有意请我们喝几杯咖啡的话,我们永远欢迎你。”

而如果你仔细看看勒索病毒的留言,你还会发现……

不过对苦命的学生党来说,辛辛苦苦码了一年的论文没被学校挂掉,反而被黑客挂掉了,是蛮惨的:

Q:以前的病毒都会勒索资金吗?比特币出现之前都是用什么来支付的?

A:最早的勒索病毒出现在1989年,不过2005年才开始逐渐猖獗。汇款、短信小额付款、在线虚拟货币(UkashPaysafecard)都是曾经的支付方式。

Q:那为什么这一次要用比特币来支付?

A:原因有三:比特币可以全球收款、匿名交易方便黑客藏身、去中心化让让黑客可以通过程序自动处理赎金。另外,这并不是比特币第一次成为勒索病毒的“赎金”载体。

一财此前指出,比特币投资者普遍认为,比特币被用于勒索,是因为比特币不仅相对于其他传统支付工具有优势,同时在其他虚拟货币中也是最佳选择。

首先,比特币有一定的匿名性,便于黑客隐藏身份;其次它不受地域限制,可以全球范围收款;同时比特币还有“去中心化”的特点,可以让黑客通过程序自动处理受害者赎金。而相比于其他数字货币,比特币目前占有最大的市场份额,具有最好的流动性,所以成为黑客选择。

所以说,比特币只是个支付方式,和这次勒索病毒袭击事件没什么关系,就跟犯罪人士喜欢使用美元现钞一样。

这并不是比特币第一次成为勒索病毒的“赎金”载体。三年前的另一款勒索软件CryptoLocker,就已经利用比特币大赚2700万美元,当时的支付要求是300美元或欧元,或者2比特币。

300美元这个数额似乎不少见,2007年的一起特洛伊木马,也要求用户付300美元来赎回电脑中的个人资料。

Q:这都第四天了,病毒还在传播吗?

A(反问):有一个好消息,和一个坏消息,你要先听哪个?

我知道你要先听坏消息。根据北京市委网信办、北京市公安局、北京市经信委周日发布的联合通知,监测发现,WannaCry勒索蠕虫出现了变种WannaCry 2.0。这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。就是说,该变种的传播速度可能会更快。

QKill Switch...

A:这就是那个好消息了。一位推名为“Malware Tech”的英国网络安全人员无意间购买了一个特殊的域名后,阻止了WannaCry的传播。这个域名被称为Kill Switch(死亡开关)。

这位网络安全人员在分析病毒的代码时,发现在代码的始端,有一个毫无规律的奇怪域名地址:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

他好奇地搜索了一下,发现这个域名没有被注册。而于是他把它买了下来。

然后这个域名开始迅速接到接到了几乎全世界各个国家的电脑。下图显示了这位英国人在买下这一域名后的访问量。

经过一系列确认后,他兴奋地跳了起来——WannaCry病毒的散播确得到了遏止,功臣正是随手买了个域名的自己。

而对病毒代码进行进一步分析后,这位英国人还发现,代码中有如下内容:

(每一个感染了病毒的机器,在启动之前都会事先访问一下这个域名,如果这个域名依旧不存在,那就继续传播;如果已经被人注册了,那就停止传播。)

他本人开心了很久:

我承认,在我无意间注册这个域名之前,完全不知道他能停止这次病毒的传播。纯属意外。所以以后我简历上大概可以加一句,一不小心阻止了一场全球性的网络攻击。^^

不过忧伤的是,WannaCry好像已经变种了……

Q:那我到底应该怎么预防电脑中病毒……

A:相信你早就知道了,不过我们还是再讲一遍:升系统!打补丁!封端口!

微软在病毒散播开来之后就迅速为Win10用户提供了更新,而其他系统可以前往https://technet.microsoft.com/zh-cn/library/security/MS17-010 查询相应的补丁,XP、2003等微软已不再提供安全更新的,需要通过其他软件来检查是否存在漏洞,并关闭受到漏洞影响的端口。

11条评论
收藏
qrcode
相关资讯
写评论

icon-emoji表情
11 条评论
13036029577

又为比特币做了一次营销,可以推高比特币的价格了

0
回复
江小小闲

哈哈反正与我无关

0
回复
wscn_tomas

事实一再证明,美国是世界不稳定的源头。

4
回复
潮水基金

比特币成为最大赢家,而这次事件后全人类都知道了比特币,包括中国的土豪。

2
回复
Windtony

welcome to my macbook pro!!!

2
回复