来源:江瀚视野观察(jianghanview) 作者:江瀚
上周末相信很多互联网行业、金融行业、支付行业、各个大学的朋友都没有睡好觉吧?一款名为勒索病毒的电脑病毒席卷世界,势头之猛超过了大多数人的想象,在两天左右的时间里,病毒已经席卷了世界上超过99个国家及地区,而国内也在12日晚间爆出各大大学纷纷中招,国内多所大学都受到波及,各大商业银行、金融企业、支付企业严阵以待提心吊胆。
该病毒开发者利用去年美国国家安全局自主设计的Windows系统黑客工具Eternal Blue(永恒之蓝)将一款很普通的勒索病毒升级,取名叫做:WannaCry,被感染的Windows系统的用户必须在7天内缴纳一定的比特币作为赎金,否则电脑数据将会被全部删除并且无法恢复,如果用户没能缴纳相当于300美元的比特币,赎金将会自动翻倍。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
现在各国还是不断地有计算机中毒,甚至有消息称不仅是Windows系统,苹果手机的操作系统IOS和安卓系统同样无法幸免,现在病毒也正在快速变种过程中,产生的危害更加难以估量。今天我们就来聊聊,电脑病毒这个年赚数百亿的产业链到底是如何产生的?
说到电脑病毒,瀚哥可谓是轻车熟路,在很多年前的瀚哥本科时代,瀚哥也是一个伪电脑极客,由于瀚哥学校所使用的校园网问题严重,瀚哥的电脑经常被各种莫名其妙的蠕虫,木马,黑客攻击,为了防范这些攻击,瀚哥长期混迹于各种反病毒论坛,无论是卡饭论坛、精睿论坛、伞饭论坛各种四处混迹,无论是国内有名的瑞星、金山、360、微点、费尔、可牛,还是国外的卡巴斯基、ESET、小红伞、比特梵德、Avast、麦咖啡、诺顿、趋势、MSE等等,各类杀毒软件的优势劣势我可谓是手到擒来,最夸张的时候一台电脑装了十几个杀毒软件。不过在这个之后,瀚哥也是对于电脑病毒和反病毒的整场产业链有了一个清晰的认识。
计算机虽然诞生于上个世纪四十年代,但是由于网络的不普及,计算机在诞生之后的相当长的时间范围内都是一种大型研究机构或者政府机构的专门产品,直到苹果和IBM在大型计算机之后根据普通人的需求设计了个人计算机,计算机才从高大上的深宅大院里面走向了寻常百姓家,在电脑成为了家庭生活用品之后,让个人可以使用的互联网也开始形成了,1987年巴基斯坦的两位年轻人做出了世界上第一个成型的计算机病毒:C-BRAIN。至此,病毒产业开始了伴随世界计算机与互联网发展的一个伴生产业。最早的时候,电脑病毒往往也就是一些技术极客的个人爱好之举,往往是为了证明自己的技术能力或者存在感而进行的个人行为,而且当时基于计算机的金融并不发达,这种纯粹为了破坏别人计算机来进行的行为往往也就是一种较为变态的快感而已。
由于计算机特殊的运行机制和互联网超快速的传播方式,所以计算机病毒可以以几乎零成本的方式进行自我复制,并借助互联网快速传染,甚至可以潜伏在某些计算机的内部非常长的时间,直到特殊的时间节点才爆发出来。比如说大名鼎鼎的黑色星期五、米开朗基罗病毒、熊猫烧香病毒都是这样的一个形式。为了对抗计算机病毒,在计算机行业内出现了一批人,专门对付计算机病毒,1989年著名的杀毒软件麦咖啡诞生,成为了世界上第一款杀毒软件。1991年,俄罗斯计算机工程师尤金·卡巴斯基通过自己长时间的研究,开始转战杀毒软件产业,1997年卡巴斯基杀毒软件诞生,之后杀毒软件可以说是如雨后春笋一般疯狂地涌现出来,最有名的几大杀毒软件巨头,除了前面说的两个之外,还有俄罗斯大蜘蛛、德国小红伞、罗马尼亚比特梵德等等。
在瀚哥看来,所谓病毒与反病毒软件是一种相辅相成的共生关系,正是因为有了病毒,才有了专门对付病毒的杀毒软件,病毒越强才有了越强的杀软,两者之间相互促进,成为了一对相爱相杀的生死冤家。
随着互联网的普及,金融电子化乃至互联网化的拓展,越来越多的人已经习惯了用电脑或者手机等智能设备进行购物生活。于是,原先只是程序员自己自娱自乐或者证明价值的小东西,就成为了控制电脑,遥控手机,来攫取利益的巨大产业链。根据财经网的报道,美国政府统计,仅2016年,美国国内“勒索软件”攻击发生的频率就激增了300%,几乎每天都有4000件此类勒索案件发生。
范围越大、波及人群越广、威胁越大,赎金也就越多。2013年,一款勒索软件“密码锁”,在两个月之内入侵超过23.4万台微软“视窗”操作系统电脑,最终黑客“获利”2700万美元;去年,好莱坞长老会医疗中心在遭遇勒索攻击后支付了超过1.7万美元的赎金;和此次病毒类似的“熊猫烧香”从最初的破坏系统,发展到借病毒牟取暴利,获利数千万。FBI也曾揭露,对美国造成最大威胁的勒索软件是CryptoWall,最新版的CryptoWall 3 迄今已造成 3.25亿美元的损失。
根据瀚哥多年混迹杀软论坛的经验,病毒产业已经形成了一个异常巨大的暴利产业链。一般来说,计算机病毒的制作已经呈现出团伙作战的特点,他们会首先组成皮包公司,当接到相关任务或者发现相关电脑漏洞之后,一般进行三步走:
首先,组织专门的人员根据相关任务或者漏洞,安排人员根据使用工具制造病毒。
其次,安排人员操纵病毒,进行流量控制,也就是我们说的传播病毒的过程。
第三,收钱,当然变现的方式多种多样,既然我们是财经号,瀚哥就主要来和大家聊聊,这个东西如何赚钱的?
最简单粗暴的方式:倒卖信息。对于大多数电脑病毒来说,最简单的赚钱方式就是收集信息和倒卖信息,收集信息就是借助病毒攻克企业或者个人的信息数据库,然后把这些信息转手卖给需要的人,由于大家已经将互联网延伸到了自己生活的方方面面,所以这些信息往往大量留存在企业或者个人的计算机或者手机上,这些信息都很有价值。当然,在早期还有直接盗取用户网游账号等方式,通过直接卖号或者直接卖装备赚钱,这都是最简单粗暴的办法。
最隐秘的方式:恶意安装软件。相信很多的朋友都曾经碰到过,自己去下载一个软件莫名其妙的被下了全家桶,电脑里面出现了一堆奇奇怪怪的东西,这个就是另外一种病毒的赚钱方式,通过默默入侵电脑,让电脑成为自己的肉鸡,然后这个时候接一些小的软件企业的推广,每安装一个软件付钱多少来,一般情况下安装一个软件可以赚到0.4-0.6元,甚至有专业的病毒企业会包下某个下载站甚至网页导航站,通过这个方式来赚钱。
最直接的方式:盗窃用户网银或者第三方支付。当然,前面两种来钱速度都不够快,最直接的办法就是去盗窃用户的网银或者第三方支付账户,直接将用户的真金白银转到病毒开发者那里,最近几年随着杀毒软件的免费推广和普及,前面两种方式赚钱变得越来越难,通过这种直接盗窃网银或者第三方支付账户的办法,成为了赚钱的主要方式。当然,控制网购账户这个方法也可以说是直接盗窃账户的一种变种吧。
最恶劣的方式:直接打劫。当然,除了上面说的三种之外,还有另外一种方式就是直接打劫,最近出现的这种勒索病毒也就是这样的方式,通过控制用户非常重要的私人文件,直接要求用户支付赎金,由于比特币等去中心化的数字货币的盛行,原先只能够在一国之内使用的直接打劫的办法,变成了全世界都能够使用的好方式,所以这次的病毒产业者就是通过比特币作为货币,要求用户支付赎金,由于比特币去中心化的特征,这种赎金基本上是无处可查。
网络上之前常说:病毒写得好,一月50万很轻松。同样,病毒产业已经成为了一种日进斗金,年赚百亿的黑金大生意,有利润就会有人铤而走险,只能希望魔高一尺道高一丈,我们的反病毒能够真正控制病毒产业的发展吧。
防毒攻略
这有一份最全应对指南
来源:节选自新京报(bjnews_xjb)
中国国家互联网应急中心表示,目前,安全业界暂未能有效破除该勒索软件的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
既然防范勒索病毒至关重要,那么用户们该如何设置电脑?
▲“勒索病毒”爆发开机就中招?2分钟教你如何预防。 新京报动新闻(ID:xjbdxw)
首先,开启系统防火墙;
然后,利用系统防火墙高级设置阻止向445端口进行连接;
接着,打开系统自动更新,并检测更新进行安装;
最后,安装勒索病毒免疫工具。
详细攻略如下
↓
Win7、Win8、Win10的处理流程
1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
2、选择启动防火墙,并点击确定
3、点击高级设置
4、点击入站规则,新建规则
5、选择端口,下一步
6、特定本地端口,输入445,下一步
7、选择阻止连接,下一步
8、配置文件,全选,下一步
9、名称,可以任意输入,完成即可。
XP系统的处理流程
1、依次打开控制面板,安全中心,Windows防火墙,选择启用
2、点击开始,运行,输入cmd,确定执行下面三条命令
3、由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。
Windows发布的安全补丁更新的地址为:https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。
如果使用的是盗版Windows,请打开控制面板,选择程序>启用或关闭Windows功能,取消勾选SMB 1.0/CIFS 文件共享支持并重启系统。
升级之后,用户应安装勒索病毒免疫工具。腾讯电脑管家已发布“勒索病毒免疫工具”及“勒索病毒免疫工具离线版”,用户可通过其他电脑下载,开启免疫功能,并将文件拷贝至安全的U盘;再将指定电脑在完全断网状态下开机,并尽快备份重要文件;然后通过U盘使用“勒索病毒免疫工具”离线版,进行一键修复漏洞;联网即可正常使用电脑。360安全中心也已推出“NSA武器库免疫工具”,能够一键检测修复NSA黑客武器攻击的漏洞。用户还可于火绒官网下载“火绒安全软件”,升级到最新版本即可防御、查杀该病毒。
除此之外,不要轻易打开来源不明的电子邮件、安全性未知的链接、文件,并及时将重要文件备份至U盘、移动硬盘和网盘。
已经中招了怎么办?
试试这些方法吧
如若你的电脑已经中招,可以尝试以下方法来找回文件。
首先,将被加密勒索的数据备份下来,等待进一步的结果。
然后,可以使用金山毒霸、360、腾讯等厂家针对勒索蠕虫的文件恢复工具。
毒霸安全专家指出,病毒加密用户文档后会删除原文件,所以存在一定机会恢复部分或全部被删除的原文件。建议电脑中毒后,尽量减少操作,及时使用专业数据恢复工具,恢复概率较高。可使用免费帐号ksda679795862,密码:kingsoft,来启用金山毒霸的数据恢复功能。
需注意:扫描出来的照片、office文档,显示不可预览的,证明已受损,无法恢复;不支持预览的文件类型,只能恢复后才能知道是否可以正常使用;使用误删除文件功能,扫描完后,每个文件会有恢复概率显示,恢复概率高,恢复成功率就高;视频文件极易产生碎片和数据覆盖,所以视频文件完全恢复的可能性很小;物理损坏的硬盘或其他存储介质,恢复后的文件可能是已损坏的文件。
新媒体运营编辑 史晗
凤凰财经官方微信(ID:finance_ifeng)
联系邮箱:[email protected]
喜欢此文,欢迎转发和点赞支持财经君!
