昨天紧急通告小伙伴们关于NHS系统被勒索软件突袭的事情,最后波及范围远比那一瞬间所能想象到的要大。
根据BBC News的一手消息,这个在国内被大家简称为“比特币病毒”的恶意软件,目前攻陷的国家已达到99个,并且大型机构、组织是头号目标。
英国NHS中招之后,紧接着位于桑德兰的尼桑造车厂也宣告“沦陷”。西班牙除了最早被黑的通讯巨头Telefonica,能源公司Iberdrola和燃气公司Gas Natural也没能幸免于难。德国干脆直接被搞得在火车站“示众”……
俄罗斯据几家外国媒体报道是受影响最严重的国家,被黑掉了的组织从银行到政府健康部门、从国有铁路公司到移动通讯公司,什么都有……
俄罗斯影响最大的互联网新闻媒体“今日俄罗斯”Russia Today的报道。(图片来源于RT)
中国范围,目前“重灾区”是各大高校,很多小伙伴们正写着论文就被要求交$300等值的比特币,本来就快到期末和毕业高峰期,这不瞅准时间使劲坑么!
而且黑客那边一看就是有备而来,勒索信息的中文那叫一个接地气,什么“就算老天爷来了”、“我以人格担保”、“就要看您的运气怎么样了”……就算不是中文母语的人写的,那也得是个汉语十级的老外▼
大家都在猜测是否有中国人参与幕后黑手团伙,但其实这次比特币病毒的“多语种”现象并不只是有中文版,还有韩文、日文……
早在昨天它刚爆发的时候,就有专业科技网站Wired的业内人士撰文解释了这个现象:这表示比特币病毒的幕后团队,不仅准备良久、有备而来,而且非常有可能正在蛰伏等待采用升级版勒索程序第二波大范围攻击的时机到来!
首先,大家称之为“比特币病毒”的勒索蠕虫,英文大名叫做WannaCry,其他的还有俩很常见的小名,分别是WanaCrypt0r和WCry。
根据科技网站Wired的解释,它是今年三月底就已然浮现过的一种勒索程序的最新变种,而追根溯源的话是来自于微软操作系统一个叫做“永恒之蓝”(Eternal Blue)的漏洞。美国国家安全局(NSA)曾经根据它开发了一种网络武器,上个月刚刚由于微软发布了新补丁而被“抛弃”。
三月底那次勒索程序就叫WannaCry,所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的说法,所指也是本次爆发的勒索程序。
后面的事情,大多数人应该都已经了解到了:微软在3月发布的补丁编号为MS17-010,结果众多大企业们和一部分个人用户没能及时安装它,才让不知道从什么途径获取并改造了NSA网络武器的WannaCry有机可乘。还真是“想要哭”(wanna cry)……
看过圈哥昨天文章的小伙伴可能记得,昨天特雷莎·梅在接受临时采访的时候就不断强调,这回的勒索软件目标并非只有英国NHS,而是遍布全球,总觉得有种“人家不是只针对英国医疗系统”一样、奇怪的“有人跟我一样糟就放心”了的潜台词。虽然最后事实上确实全球遭殃,但WannaCry最早从英国NHS开始爆发,真的只是巧合吗?
根据Wired作者根据行业经验和联络技术专家之后所给出的解释,对于任何勒索病毒而言,医院都是最大有可能被攻击的“肥肉”:医护人员很可能遇到紧急状况,需要通过电脑系统获取信息(例如病人记录、过敏史等)来完成急救任务,这种时候是最有可能会被逼无奈支付“赎金”的。
医疗信息与管理系统学会的隐私和安全总监Lee Kim也解释说,出于信息储备过于庞大以及隐私考虑,“在医疗和其他一些行业,我们在处理这些(系统)漏洞方面确实会不那么及时”。这也是怎么回事科技领域一致认为WannaCry幕后黑手的时机把握得非常巧妙,毕竟微软更新MS17-010补丁还不到两个月。
从开发并释放WannaCry人士角度来考虑这样的一个问题,他们实际上并不在乎具体要把哪个行业作为攻击目标,因为他们的逻辑就是任何有利可图的领域都是“肥肉”,都要上手捞一笔。所以他们确实并不是非要跟英国NHS过不去,仅仅是好下手罢了。
个人电脑用户被攻击的比例比企业和大型机构低很多,这不仅仅是因为个人电脑打补丁较为方便快捷,也因为这样攻击不仅效率不高、获利的可能也更小。WannaCry的运作机制,根本就是为局域网大规模攻击而设计的。
这样看来,前面提到的全世界其他受攻击大规模的公司和组织,无论交通、制造、通讯行业,还是国内比较惨烈的学校,确实都是典型存在需要及时从数据库调取信息的领域。难怪微博上有小伙伴这样评论▼
至于敲诈信息的语言问题,Wired在多方搜集信息后发现,WannaCry其实能以总共27种语言运行并勒索赎金,每一种语言也都相当流利,一定不是简单机器翻译的结果。截至圈哥发稿前,WannaCry病毒的发源地都还没能确认下来。
Wired作者觉得,与其说WannaCry幕后是某种单兵作战的“黑客”,倒不如说更有可能是招募了多国人手的大型团伙,并且有很大的可能性“醉温之意不在酒”。毕竟想要简单捞一笔的人,就没有理由做出如此周全的全球性敲诈方案。
WannaCry在隐藏操作者实际身份这方面,提前完成的工作相当缜密。不仅仅在语言系统上声东击西,利用比特币来索取赎金的道理实际上也是一样:杜绝现实货币转账后被通过汇入账户“顺藤摸瓜”的可能。
总结起来这次勒索软件的作案手段,根本就不像是有任何要“见好就收”的意思。
难怪Wired的文章作者总结说,WannaCry的开发者早就有了一个范围宽广、长期作战的策划:“在情况好转之前,它会先变糟糕的——相当糟糕。”(This’ll get worse—a lot worse—before it gets better.)
Wire作者再怎么分析,也是仅仅基于目前WannaCry已经侵犯全球的可见行为。这篇文章还没有来得及引起广泛注意,一位22岁的英国程序猿小哥就似乎“误打误撞”阻止了WannaCry的进一步扩散。
这部分故事,英媒和其他一些公众号已经热炒了起来,看过的小伙伴可以直接跳过前往下一个小标题,不过先说清楚:事情没有这么简单。
英国《独立报》和《英国电讯报》等媒体都对这位小哥“拯救全世界”的行为进行了专题报道。(图片截取自独立报)
这位小哥在社交网络上的昵称是MalwareTech(中文意思大概是“恶意软件技术”,听起来反而更像个黑客),阻止了WannaCry的进一步全球肆虐后,他在自己的博客上写下了全过程,甚至英国情报机关GCHQ都在官网转po了这篇博文。
MalwareTech本来应该在度假中,不过他还是迅速反应,找到了一份WannaCry软件的样本。阅读代码时,他发现了一个没有被注册过的域名,下面的代码意思是WannaCry在黑点电脑前的运行中会先试图访问该域名,如果访问失败就黑掉系统,如果成功则自动退出。
在后来一些中文媒体的报道中,小哥的这一举动被强调成是“突发奇想”或者“下意识”之举。正是因为无效域名被注册,后来被WannaCry感染的电脑都在访问该域名时得到了肯定的返回值,于是没有再锁定信息、展开敲诈。
不过MalwareTech自己解释却不是这样的。他在博客中写道,注册这一个域名是他作为网络安全工作人员的“标准做法”(standard practice)。过去一年里,遇到所有这样短时间访问量激增的无效域名,他都会将其注册后扔进前面图里提到的“天坑”(sinkhole)里,而这个“天坑”的作用就是“捕获恶意流量”。
WannaCry样本中域名,在昨天全世界攻击开始后访问量瞬间激增,此前却没有一点被访迹象。(图片来源于MalwareTech个人博客)
然而MalwareTech职业灵敏度,让他开始考虑WannaCry是否会定期或在特请情况下修改程序中的无效域名,因为如果是这样的话,仅仅注册他所发现的这一个域名就没办法阻止未来袭击。
即使软件里没有这样的部分,开发者依然能够手动升级WannaCry后再度把它传播开来,所需要做的也就仅仅是替换一个新的无效域名而已。
还有一种更糟糕的情况:如果WannaCry程序中还有另一层自我保护机制,那么无效域名的注册有很大的可能性导致目前所有被感染电脑自动为所有信息加密,无法复原。
为了排除后一种情况,MalwareTech干脆修改了自己一台电脑的主机文件,让它无法连接那个已经被注册了的前无效域名。
MalwareTech写道:“你可能没办法想象一个成年男人在屋里兴奋得跳来跳去,原因竟然是自己电脑被勒索软件搞失灵了。但我当时确实就那样了。”测试根据结果得出,他的“标准做法”确实阻止了WannaCry的进一步传播。
和某些信息平台热炒MalwareTech“拯救了全世界”的梗不同,英国《卫报》和《英国电讯报》都在标题里明确对大家说,小哥自己都已经作出警告:“这事没完!”▼
根据MalwareTech的解释,域名被注册后WannaCry的停止扩散,在他看来只是病毒制造者一个不够成熟的自我保护机制。对方的真正意图并非通过域名是否能连接上来“指挥”病毒的运行,而是通过这一种方式判断病毒是否被电脑安全高手捕获。
一旦WannaCry运行时发现域名有反应,真实反应并不是“好心”地停止攻击,而是避免自己被扔进“沙盒”(sandbox)安全机制被人全面分析,干脆退出获得域名响应的电脑系统。
也就是说,MalwareTech虽然功不可没,但他只是阻止了“比特币病毒”现行样本的扩散,但开发者也已经意识到了这项弱点,随时有可能用升级版勒索程序卷土重来。
这就又回到了前面Wired文章作者所表达的推断:WannaCry病毒的开发者一定不是愣头愣脑捞一笔了事,他们有很大的可能性还在策划新一波进攻。
其实讲了这么多,最终目的还是要提示警醒我们,虽然WannaCry的进一步传播似乎目前得到了控制,但现在真的不可以掉以轻心啊!!!
还没有安装微软补丁的小伙伴,是时候动动手指把这尊大佛给请回来了,复制粘贴以下链接到地址栏,或者戳“阅读原文”直达▼
Wired还建议说,由于MS17-010是服务器级别的补丁,企业或组织级别的用户最好是找系统管理员来安装。
除了安装MS17-010,以后微软提示系统更新时,尽可能给电脑装上最新补丁;
信息安全手段真是不嫌多,尽可能给自己电脑和文件多些保护总是必要的,毕竟就算WannaCry不再卷土重来,也难免未来有其他病毒。
(英伦圈综编,编辑:Moo,内容参考Wired、独立报、BBC News、英国电讯报等)
1.市场第一:环球英国移民开始处理英国投资移民案件10年以来,是业内最早办理此项目的中介机构,2015年突破市场占有率97%,移民局官方公布中国获批数量34例,其中33例为环球客户。
2.业内唯一:官方认可机构,快速获批通道,皇家律师协会授予环球“杰出贡献奖”。
3.资源第一:环球有业内最顶级的团队阵容,和全球最大的财富集团合作,提供给高资产客户尊贵享受。配有皇家御用律师助阵,十几年参与移民法案的修订讨论,是客户移民申请的最佳保障。
4.服务第一:业内唯一一家专人陪同递签,英国设立直属分公司,提供订制式、国际管家级安家服务,移居后24项免费服务。为客户排除所有后顾之忧。
5.承诺第一:因我们坚信:环球英国没有拒签,所以我们敢说:不成功,全额退!
【重磅消息!!!】英国投资或将关停!当朋友圈被雾霾刷屏的时候,我们被英国议会刷屏了!
。
