設為首頁 - 加入收藏 - 網站地圖 歡迎訪問“華僑時報”網站!
當前位置:主頁 > 副 刊 > 博覽天下 > 正文

英國小伙花10美元,阻止勒索病毒全球蔓延

時間:2017-05-14 09:44 來源:紅星新聞等 作者:轉載
13日早上,幾乎所有人的朋友圈都在流傳著這樣一條消息——

全球爆發電腦勒索病毒,“疫情”已波及99個國家。包括中國、俄羅斯、英國、美國在內的眾多國家,都被該病毒攪得雞犬不寧。

除英國國家醫療服務體系(NHS)、美國聯邦快遞、西班牙電信公司外,俄羅斯內政部的1000多台電腦也紛紛“中招”,受到嚴重影響。而據俄羅斯RT新聞網報導,最新的數據統計顯示,全球範圍內已有超過10萬台電腦被攻擊。

英國NHS系統遭到此病毒攻擊圖據《每日郵報》

但就在這場損傷巨大的全球“浩劫”中,一位“意外的英雄”橫空出世——署名為MalwareTech的一名英國信息安全研究員,將該病毒中隱藏的“刪除開關”找了出來,成功阻止了該病毒在全球的傳播擴散。

13日下午,紅星新聞記者對其進行了採訪,揭秘了MalwareTech是如何利用幾美元,就成功阻止了一場病毒繼續在全球範圍內傳播的災難。

拒付贖金

“600美元,不如重新買台電腦”


據國外媒體報導,這種勒索病毒名為WannaCry(及其變種)。被感染後,用戶電腦中的文件等會被加密鎖定,並提示受害者支付一定價值的比特幣贖金才可解鎖。而據紅星新聞記者了解到的情況,受害者們被勒索的贖金金額並不相同,有的為300美元,有的則為600美元。

在寧波大學城鄉規劃專業讀大二的許強(化名)就是該病毒的受害者之一。他告訴紅星新聞記者,今早起床時,他在手機上看到了相關新聞,為了以防萬一,他還特意拿出了有段時間未曾使用的U盤,準備對電腦文檔進行備份。但開機之後,電腦屏幕上彈出勒索窗口卻讓他徹底傻眼。


許強電腦上彈出的勒索窗口受訪者供圖

“我都沒有聯網。”

對於電腦的“中招”,許強表示十分不解。

許強告訴記者,網頁上面的中文勒索稱,“最好3天之內付款,過了3天費用就會翻倍,一個禮拜之內未付款,將會永遠恢復不了,”對此,許強堅定表示,自己是不會給黑客贖金的。

“600美元(約合4138元人民幣),還不如去重新買台電腦。”許強說,他將重裝電腦系統。

紅星新聞記者通過調查發現,和許強一樣的人並不在少數。在一個QQ群裡,記者發現有許多剛入群的新人們紛紛吐槽,自己的電腦也“中招”了,正在重裝系統,或尋求解決辦法。目前,這個群的成員還在不斷增加。

而卡巴斯基實驗室在向包括紅星新聞在內的媒體所提供的關於此事的評論中這樣寫道:

“該勒索軟件可以通過一種Windows漏洞感染受害者,微軟公司已經在微軟公告MS17-010中修復了這一漏洞。這種名為'永恆之藍'(Eternal Blue)的漏洞,於4月14日在Shadowsbroker黑客組織的信息中被披露。”

還有一些專家則表示,該漏洞最早其實是被美國國安局(NSA)發現的,但其研發的相關工具被Shadowsbroker竊取利用。

意外英雄

發現病毒軟件中隱藏“刪除開關”


署名為MalwareTech的英國研究員告訴紅星新聞記者,其實在這場全球“浩劫”剛開始時,他就已經從英國的一個留言板上得到了消息。但不巧的是,他當時正在外面。

“等我回家後,我在WannaCry病毒中發現了一個未註冊的域名,並因此決定註冊該域名,以便追踪這一病毒。”

為此,MalwareTech花了10.69美元的費用註冊購買了這一域名。



▲MalwareTech向美國《紐約時報》提供的全球電腦被勒索軟件攻擊圖片圖據《紐約時報》

事實上,MalwareTech找到的,就是該病毒中隱藏的“刪除開關”。

“後來在一些分析員的幫助下,我們終於確認,在註冊了這一域名後,這一感染停止了。”

而在接受英國《衛報》採訪時,MalwareTech則表示,在上線後,該域名接收到每秒數千次的連接請求。

而這又意味著什麼呢?

MalwareTech向紅星新聞記者解釋說,通常情況下,他們經常採用這種方式來追踪惡意病毒軟件,“或者用來阻止犯罪分子控制該病毒”。也就是說,在註冊該域名後,他將擁有WannaCry病毒的運行權。

這一“開關”被編碼隱藏在惡意軟件中,如果惡意軟件的製造者希望停止該病毒的傳播,那麼只要激活這一開關即可。這裡的開關機制為,該惡意軟件將會向任何網站,包括這個非常長的毫無感官意義的域名網站發送請求,而一旦該請求得到回應,就意味著該域名上線,“刪除開關”就會生效,惡意軟件也會停止傳播。

為時已晚

歐洲、亞洲已來不及搶救美國還有時間


來自Proofpoint安全公司的瑞安說:

“他們(MalwareTech和其他同事)今天得到了意外英雄獎。他們根本沒有意識到,這一舉動對延緩勒索病毒的傳播起到了多麼巨大的作用。”

對於“意外英雄”這樣的頭銜,MalwareTech並沒有排斥。他說,“我們也是直到12日晚上6點才意識到發生了什麼,但它確實有效。”



▲MalwareTech今早發推:“坦白說在註冊域名時,我也不知道這能夠阻止其傳播,直到註冊後我才發現,所以這純屬意外。” 推特截圖

不過瑞安也表示,MalwareTech註冊該域名的時機太晚,已經無法阻止該病毒傳播至歐洲和亞洲,以致於眾多組織和機構被感染。但這卻給眾多美國用戶爭取到了時間,使他們可以緊急對系統升級補丁,避免感染病毒。

但遺憾的是,這一“刪除開關”對於已經感染了該病毒的電腦無能為力。

MalwareTech告訴紅星新聞記者,他的域名上線後,部分電腦可能還會被感染,“不過加密的情況不會發生。”但仍不排除該病毒可能會有其他變種,而且擁有完全不同的“刪除開關”。所以,這種病毒可能還會繼續傳播。

“不過WannaCry這一版本不會再奏效了。”

令MalwareTech略為擔心的是,雖然這個病毒版本已經失效,“但他們(背後的製作者)可能還會製造出更多的病毒。”

雖然做出瞭如此“壯舉”,但MalwareTech卻告訴紅星新聞記者,事實上他本人在這一領域僅工作了一年之久,不過作為一項愛好,他已經做了有10年了。

【新聞多一點】

中國高校中招:教育網未設防


5月12日,安全軟件製造商Avast表示,這一病毒已經在99個國家觀察到超過57000個感染例子。據中新社5月14日報導,目前安全機構暫未能有效破除該勒索軟的惡意加密行為,用戶只能進行預防,用戶中毒後可以通過重裝操作系統的方式來解除勒索行為,但用戶重要數據文件不能直接恢復。

5月13日,中國國家互聯網應急中心發文稱,上述勒索軟件利用的是此前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向終端用戶進行滲透傳播,並向用戶勒索比特幣或其他價值物。

據中國網絡安全公司360首席安全工程師鄭文彬介紹,中國此次遭受攻擊的主要是教育網用戶。這種勒索軟件利用微軟“視窗”操作系統445端口的漏洞,國內一些網絡運營商此前已封掉了該端口,但教育網並未設限。微軟此前已發布相關漏洞補丁,但一些沒來得及更新的電腦就會被攻擊。

阿里雲安全專家分析,此次全球比特幣勒索病毒是由美國國家安全局(NSA)洩露的Windows系統 SMB/RDP遠程命令執行漏洞引起。利用該漏洞,黑客可遠程實現攻擊Windows的445端口(文件共享)。如果系統沒有安裝今年3月的微軟補丁,無需用戶任何操作,只要開機上網,黑客即可在電腦裡執行任意代碼,植入勒索病毒等惡意程序。

考慮到Windows系統 SMB/RDP遠程命令執行漏洞的危險性,國內外不少雲服務廠商都在4月封掉了445端口。但全球不少個人電腦、IDC物理機房仍存在大量暴露著445端口的機器,這給了黑客可乘之機。

阿里雲安全專家分析,此次勒索事件在校園網傳播速度之快,影響面之大,主要原因是當前大部分學校基本是一個大的內網互通的局域網,不同的業務未劃分安全區域。例如:學生管理系統、教務系統等都可以通過任何一台連入的設備訪問,

同時,實驗室、多媒體教室、機器IP分配多為公網IP,如果學校未做相關的權限限制,所有機器直接暴露在外面。

騰訊反病毒實驗室認為,各大高校通常接入的網絡是為教育、科研和國際學術交流服務的教育科研網,此骨幹網出於學術目的,大多沒有對445端口做防範處理,這是導致這次高校成為重災區的原因之一。

中新社的報導提及,此外,如果用戶電腦開啟防火牆,也會阻止電腦接收445端口的數據。但中國高校內,一些同學為了打局域網游戲,有時需要關閉防火牆,也是此次事件在中國高校內大肆傳播的另一原因。

據中新社報導,從5月12日晚間起,中國多個高校的師生陸續發現自己電腦中的文件和程序無法打開,而是彈出對話框要求支付比特幣等贖金後才能恢復。記者註意到,山東大學、南昌大學、廣西師範大學、東北財經大學、電子科技大學中山學院在內十幾家高校發布遭受病毒攻擊的通知,提醒師生注意防範。

據新華社報導,鄭文彬告訴記者,電腦被這種勒索軟件感染後,其中文件會被加密鎖住,支付黑客所要求贖金後才能解密恢復。據悉,勒索金額最高達5個比特幣,目前價值人民幣5萬多元。

鄭文彬說,此次傳播的病毒以代號ONION和WINCRY的兩個家族為主,監測顯示國內首先出現前者,後者在12日下午出現並在校園網中迅速擴散。

有部分單位疑中招

澎湃新聞走訪發現,有部分單位已經出現網絡故障,並已開始升級系統。 13日下午,澎湃新聞走訪重慶部分醫院、加油站、通訊網絡營業廳發現,除中國石油重慶銷售公司所屬加油站只能使用現金支付外,其他單位網絡暫未受到勒索病毒影響。



重慶一加油站公告


重慶一加油站電腦中毒後的情況

張貼在重慶市渝中區虎頭岩一家加油站內的公告顯示,由於網絡故障,中國石油重慶銷售公司所屬加油站崑崙加油卡充值及互聯網支付業務暫時不能使用,系統恢復時間另行通知。

該加油站工作人員稱,他們是13日凌晨發現網絡系統故障,隨後接到上述通告。 “今天來加油的(顧客)不能用銀行卡、支付寶和微信,發票可以正常開具。”

13日晚7時許,澎湃新聞來到武漢洪山區仁和路上的中國石油加油站,加油站入口處一則公告顯示:5月13日,由於加油站系統升級,暫時無法實現加油IC卡、銀行卡、微信和支付寶的消費和儲值,請使用現金結算。

該加油站多名工作人員告訴澎湃新聞,是從今天開始不能用網絡支付的,“昨天還好好的,不知道是不是因為電腦中了病毒,只是被通知說只能用現金,值班管理領導也不在,具體情況不清楚”。



武漢一加油站門口張貼的告示

隨後,澎湃新聞來到位於武漢市洪山區友誼大道上的中國石化大洲加油站,工作人員告訴澎湃新聞:“現金,IC卡都可以啊,一切正常。”

“勒索病毒”防範策略具體措施

步驟一:開機前,拔掉網線、停用無線等一切互聯網連接;

步驟二:使用安全(無病毒)的U盤下載系統補丁(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx),並給每台計算機打上該補丁(注意仔細核對操作系統的版本病下載相應補丁);

步驟三:使用安全(無病毒)的U盤下載“360NSA武器庫免疫工具”(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx),對計算機補丁升級情況進行安全檢測;

步驟四:完成上述步驟後,方可聯網。

另外,各用戶要關閉計算機操作系統不必要開放的445、135、137、138、139等端口,關閉網絡共享功能,並對重要文件數據進行備份。

(責任編輯:轉載)

顶一下
(0)
0%
踩一下
(0)
0%
上一篇:一個感謝母親的日子:它的由來與傳說
下一篇:没有了