昨天紧急通告小伙伴们关于NHS系统被勒索软件突袭的事情,最后波及范围远比那一瞬间所能想象到的要大。
几个小时内,世界地图上是这样被“点亮”的▼
根据BBC News的最新消息,这个在国内被大家简称为“比特币病毒”的恶意软件,目前攻陷的国家已经达到99个,并且大型机构、组织是头号目标。
英国NHS中招之后,紧接着位于桑德兰的尼桑造车厂也宣告“沦陷”。西班牙除了最早被黑的通讯巨头Telefonica,能源公司Iberdrola和燃气公司Gas Natural也没能幸免于难。德国干脆直接被搞得在火车站“示众”……
俄罗斯据几家外媒报道是受影响最严重的国家,被黑掉了的组织从银行到政府健康部门、从国有铁路公司到移动通讯公司,什么都有……
俄罗斯影响最大的互联网新闻媒体“今日俄罗斯”Russia Today的报道。(图片来自RT)
中国范围,目前“重灾区”是各大高校,很多小伙伴们正写着论文就被要求交$300等值的比特币,本来就快到期末和毕业高峰期,这不瞅准时间使劲坑么!
而且黑客那边一看就是有备而来,勒索信息的中文那叫一个接地气,什么“就算老天爷来了”、“我以人格担保”、“就要看您的运气怎么样了”……就算不是中文母语的人写的,那也得是个汉语十级的老外▼
(图片来自新浪微博)
果然微博上已经有不少小伙伴表示“细思恐极”▼
(图片截取自新浪微博)
大家都在猜测是否有中国人参与幕后黑手团伙,但其实这次比特币病毒的“多语种”现象并不只是有中文版,还有韩文、日文……
早在昨天它刚爆发的时候,就有专业科技网站Wired的业内人士撰文解释了这个现象:这表示比特币病毒的幕后团队,不仅准备良久、有备而来,而且极有可能正在蛰伏等待采用升级版勒索程序第二波大范围攻击的时机到来!
首先,大家称之为“比特币病毒”的勒索蠕虫,英文大名叫做WannaCry,另外还有俩比较常见的小名,分别是WanaCrypt0r和WCry。
根据科技网站Wired的解释,它是今年三月底就已经出现过的一种勒索程序的最新变种,而追根溯源的话是来自于微软操作系统一个叫做“永恒之蓝”(Eternal Blue)的漏洞。美国国家安全局(NSA)曾经根据它开发了一种网络武器,上个月刚刚由于微软发布了新补丁而被“抛弃”。
三月底那次勒索程序就叫WannaCry,所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的说法,所指也是本次爆发的勒索程序。
(图片来自Wired)
后面的事情,大家应该都已经了解到了:微软在3月发布的补丁编号为MS17-010,结果众多大企业们和一部分个人用户没能及时安装它,才让不知道从什么途径获取并改造了NSA网络武器的WannaCry有机可乘。还真是“想要哭”(wanna cry)……
看过圈哥昨天文章的小伙伴可能记得,昨天特雷莎·梅在接受临时采访的时候就不断强调,这回的勒索软件目标并非只有英国NHS,而是遍布全球,总觉得有种“人家不是只针对英国医疗系统”一样、奇怪的“有人跟我一样糟就放心”了的潜台词。虽然最后事实证明确实全球遭殃,但WannaCry最早从英国NHS开始爆发,真的只是巧合吗?
当然不是!
根据Wired作者根据行业经验和联络技术专家之后所给出的解释,对于任何勒索病毒而言,医院都是最有可能被攻击的“肥肉”:医护人员很可能遇到紧急状况,需要通过电脑系统获取信息(例如病人记录、过敏史等)来完成急救任务,这种时候是最有可能被逼无奈支付“赎金”的。
医疗信息与管理系统学会的隐私和安全总监Lee Kim也解释说,出于信息储备过于庞大以及隐私考虑,“在医疗和其他一些行业,我们在处理这些(系统)漏洞方面确实会不那么及时”。这也是为什么科技领域普遍认为WannaCry幕后黑手的时机把握得非常巧妙,毕竟微软更新MS17-010补丁还不到两个月。
(图片来自Guardian)
从开发并释放WannaCry人士角度来考虑这个问题,他们其实并不在乎具体要把哪个行业作为攻击目标,因为他们的逻辑就是任何有利可图的领域都是“肥肉”,都要上手捞一笔。所以他们确实并不是非要跟英国NHS过不去,只不过是好下手罢了。
个人电脑用户被攻击的比例比企业和大型机构低很多,这不仅仅是因为个人电脑打补丁比较方便快捷,也因为这样攻击不仅效率不高、获利的可能也更小。WannaCry的运作机制,根本就是为局域网大规模攻击而设计的。
这样看来,前面提到的全世界其他受攻击大型企业和组织,无论交通、制造、通讯行业,还是国内比较惨烈的学校,确实都是典型存在需要及时从数据库调取信息的领域。难怪微博上有小伙伴这样评论▼
(图片截取自新浪微博)
至于敲诈信息的语言问题,Wired在多方搜集信息后发现,WannaCry其实能以总共27种语言运行并勒索赎金,每一种语言也都相当流利,绝对不是简单机器翻译的结果。截至圈哥发稿前,WannaCry病毒的发源地都还没能确认下来。
Wired作者认为,与其说WannaCry幕后是某种单兵作战的“黑客”,倒不如说更有可能是招募了多国人手的大型团伙,并且很有可能“醉温之意不在酒”。毕竟想要简单捞一笔的人,根本没有理由做出如此周全的全球性敲诈方案。
WannaCry在隐藏操作者真实身份这方面,提前完成的工作相当缜密。不仅仅在语言系统上声东击西,利用比特币来索取赎金的道理其实也是一样:杜绝现实货币转账后被通过汇入账户“顺藤摸瓜”的可能。
(图片来自Avast Blog)
总结起来这次勒索软件的作案手段,根本就不像是有任何要“见好就收”的意思。
难怪Wired的文章作者总结说,WannaCry的开发者早就有了一个范围宽广、长期作战的策划:“在情况好转之前,它会先变糟糕的——相当糟糕。”(This’ll get worse—a lot worse—before it gets better.)
Wire作者再怎么分析,也是仅仅基于目前WannaCry已经侵犯全球的可见行为。这篇文章还没来得及引起广泛注意,一位22岁的英国程序猿小哥就似乎“误打误撞”阻止了WannaCry的进一步扩散。
这部分故事,英媒和其他一些公众号已经热炒了起来,看过的小伙伴可以直接跳过前往下一个小标题,不过先说清楚:事情没有这么简单。
英国《独立报》和《英国电讯报》等媒体都对这位小哥“拯救全世界”的行为进行了专题报道。(图片截取自独立报)
这位小哥在社交网络上的昵称是MalwareTech(中文意思大概是“恶意软件技术”,听起来反而更像个黑客),阻止了WannaCry的进一步全球肆虐后,他在自己的博客上写下了全过程,甚至英国情报机关GCHQ都在官网转po了这篇博文。
MalwareTech本来应该在度假中,不过他还是迅速反应,找到了一份WannaCry软件的样本。阅读代码时,他发现了一个没有被注册过的域名,下面的代码意思就是WannaCry在黑点电脑前的运行中会先试图访问该域名,如果访问失败就黑掉系统,如果成功则自动退出。
于是MalwareTech就把这个域名给注册了。
(原图来自Twitter)
在后来一些中文媒体的报道中,小哥的这一举动被强调成是“突发奇想”或者“下意识”之举。正是因为无效域名被注册,后来被WannaCry感染的电脑都在访问该域名时得到了肯定的返回值,于是没有再锁定信息、展开敲诈。
不过MalwareTech自己解释却不是这样的。他在博客中写道,注册这个域名是他作为网络安全工作人员的“标准做法”(standard practice)。过去一年里,遇到所有这样短时间访问量激增的无效域名,他都会将其注册后扔进前面图里提到的“天坑”(sinkhole)里,而这个“天坑”的作用就是“捕获恶意流量”。
WannaCry样本中域名,在昨天全球范围攻击开始后访问量瞬间激增,此前却没有任何被访迹象。(图片来自MalwareTech个人博客)
然而MalwareTech职业灵敏度,让他开始考虑WannaCry是否会定期或在特请情况下修改程序中的无效域名,因为如果是这样的话,仅仅注册他所发现的这个域名就无法阻止未来袭击。
即使软件里没有这样的部分,开发者依然能够手动升级WannaCry后再度把它传播开来,所需要做的也就仅仅是替换一个新的无效域名而已。
还有一种更糟糕的情况:如果WannaCry程序中还有另一层自我保护机制,那么无效域名的注册很有可能导致目前所有被感染电脑自动为所有信息加密,无法复原。
(图片来自BBC News)
为了排除后一种情况,MalwareTech干脆修改了自己一台电脑的主机文件,让它无法连接那个已经被注册了的前无效域名。
电脑成功蓝屏了。
MalwareTech写道:“你可能无法想象一个成年男人在屋里兴奋得跳来跳去,原因竟然是自己电脑被勒索软件搞失灵了。但我当时确实就那样了。”测试结果表明,他的“标准做法”确实阻止了WannaCry的进一步传播。
和某些信息平台热炒MalwareTech“拯救了全世界”的梗不同,英国《卫报》和《英国电讯报》都在标题里明确告诉大家,小哥自己都已经作出警告:“这事没完!”▼
(图片截取自卫报 & 英国电讯报)
根据MalwareTech的解释,域名被注册后WannaCry的停止扩散,在他看来只是病毒制造者一个不够成熟的自我保护机制。对方的真正意图并非通过域名是否能连接上来“指挥”病毒的运行,而是通过这种方式判断病毒是否被电脑安全高手捕获。
一旦WannaCry运行时发现域名有反应,真实反应并不是“好心”地停止攻击,而是避免自己被扔进“沙盒”(sandbox)安全机制被人全面分析,干脆退出获得域名响应的电脑系统。
也就是说,MalwareTech虽然功不可没,但他只是阻止了“比特币病毒”现行样本的扩散,但开发者也已经意识到了这项弱点,随时可能用升级版勒索程序卷土重来。
(图片来自BBC News)
这就又回到了前面Wired文章作者所表达的推断:WannaCry病毒的开发者绝对不是愣头愣脑捞一笔了事,他们很有可能还在策划新一波进攻。
其实讲了这么多,最终目的还是要提醒大家,虽然WannaCry的进一步传播似乎目前得到了控制,但现在真的不可以掉以轻心啊!!!
还没有安装微软补丁的小伙伴,是时候动动手指把这尊大佛给请回来了,复制粘贴以下链接到地址栏,或者戳“阅读原文”直达▼
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx?
(图片截取自微软官方网站)
Wired还建议说,由于MS17-010是服务器级别的补丁,企业或组织级别的用户最好是找系统管理员来安装。
个人用户们也注意:
信息安全手段真是不嫌多,尽可能给自己电脑和文件多些保护总是必要的,毕竟就算WannaCry不再卷土重来,也难免未来有其他病毒。
希望这场高科技劫难赶紧结束。
(英伦圈综编,编辑:Moo,内容参考Wired、独立报、BBC News、英国电讯报等,图片除标注外均来自网络,转载请注明。)