专栏首页>深几度
WannaCry勒索病毒肆虐,带来了哪些警示?
2017-05-16 16:30:20作者:深几度 来源:深几度

上周五,名为WannaCry的勒索病毒感染了150个国家的电脑。它加密用户的文件,要求用户支付价值300美元的比特币来解锁文件。如果72小时后未支付,勒索金额将翻倍至600美元,七天后,这些文件将被永久锁定。

WannaCry(想哭,又叫Wanna Decryptor),是一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用美国安全局(NSA)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。

该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。

2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。

永恒之蓝和WannaCry的前世今生

360核心安全部门的负责人郑文彬在勒索病毒情况媒体通报会上介绍,2013年6月之后某段时间,美国国家安全局针对Win MS17-010网络武器“永恒之蓝”(EternalBlue)被黑客组织窃取。“永恒之蓝”过去它用于攻击特定的政府和企业目标。


今年4月份被黑客组织影子经纪人公开后,全球的病毒木马作者都可以直接利用。“永恒之蓝”主要是利用Windows SMB协议漏洞,远程控制系统,只要联网就会受到攻击,就可以远程控制电脑。

WannaCry病毒,是用“永恒之蓝”的武器加上勒索病毒变成了蠕虫型勒索病毒,一台电脑感染后就会继续扫描内网和互联网上其他没有补丁的系统,继续感染这些系统,通过连锁反应导致大规模的爆发感染。也就是说,“永恒之蓝”是枪,而Wannacry是子弹。

病毒作者首先对国际互联网上一台电脑感染,这台电脑感染后,作者进行勒索的同时,又在整个国际互联网上进行传播,传播到其他机器。如果有一台机器之前被感染,进入校园、企业和政府机构的内网,就会在政府机构的内网继续进行传播。政府内网被感染后,如果能联网就可以重复感染国际互联网上的机器。

由于病毒传播机制十分混乱,一但放出去就是爆炸式的反应,包括病毒作者自己也很难控制。而勒索病毒的勒索交易过程都是用比特币的形式和匿名的,WannaCry病毒的始作俑者几乎难以寻找。不过,曾经FBI曾经悬赏300万美元抓同一个家族的勒索病毒,但最后没有人拿到这笔奖金。

在郑文彬看来,美国国家安全局要为这件事情承担一定的责任。它应该及时告知公众,及时推进修复。但实际上漏洞永远存在,更多的还是要正视,安全厂商、大众和国家政府共同努力解决这样的问题。

政企部门网络安全建设的三点建议

WannaCry病毒的大规模肆虐也在全世界范围内的政企以及公共服务部门造成了影响。

根据路透报道,美国政府一名高级官员表示,美国总统特朗普上周五晚间下令国土安全顾问TomBossert召开“紧急会议”评估这次全球性攻击所造成的威胁。

12日晚,国内大学教育系统普遍反映遭受了这种病毒的袭击,随后扩展到国内几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。


来自360威胁情报中心发布的数据显示,截至到5月13日20点,国内也有29372家机构组织的数十万台机器感染。

对此360企业安全集团总裁吴云坤认为,政企安全应该从两个角度看,一是建设,二是运营。

吴云坤向政企以及公共服务部门提出了三点建议:长期IT建设投入,投入大量设备做网络隔离,全网病毒集中管控;选择优异的产品厂商,选择有能力的厂商,是对企业和对国家负责任的态度,因为对手有时候不一定是黑产,也可能是国家;需要经常检查有安全产品是否有效、漏洞有没有被修复,445端口有没有被非法的开放,重视运营尤其是日常安全工作。

*文章为作者独立观点,不代表中国经营网立场。