“这是第一例蠕虫型勒索病毒软件。”左磊是北京神州绿盟信息安全公司安全研究部总监,他先给这次爆发的勒索软件进行了定义,“蠕虫病毒主要是利用网络进行复制和传播,传染途径一般是通过电子邮件引导用户点击,但这次勒索软件又多了一步,利用漏洞快速传播,加密文件以进行勒索”。
左磊介绍,今年2月就有人在网上宣称发现了这一恶意软件,3月也有人宣布发现。当时还是1.0版本,不具备蠕虫的性质。微软曾经在3月发布过针对漏洞的6个补丁,但一个月之后这一病毒软件2.0版本出现。左磊从技术角度分析了微软操作系统的漏洞是如何被勒索软件攻击的。这一软件攻击范围很广,许多系统可以传播。
左磊也看到报道,英国一个年轻的IT专家通过分析“想哭”软件发现,它预设如果访问某个域名就自我删除,而这个域名尚未注册,他通过注册这个域名并进行相关操作,成功阻止了“想哭”软件蔓延。
“这个软件5月14日出现变种,目前已经发现两个变种,第一个变种改动简单已经失效。”左磊说,勒索软件影响范围很大,他们监测到,截至5月16日13时有237笔被勒索的支付,包括23.5个比特币,约5.9万美元,折合41万元人民币,但目前没有人领取。
这是大规模“网络军火”
扩散失控事件
安天科技公司副总裁王小丰则把这款新型蠕虫式勒索软件称为“魔窟”:“安全从业人员这几天一直都很紧张,进行分析、应对,我们认为这是一起全球大规模‘网络军火’扩散失控事件。”
他说,一个月前,安天就曾发布有关提示:“网络军火”扩散会在全球降低攻击者成本,会带来“蠕虫”回潮。此预警不幸言中。好在,此次国内的网络安全企业反应相对迅速。安天在5月12日晚就拿出了分析报告,并发出相关应对预案。并在随后针对勒索软件的防范发布指南,发布了免疫工具。
“‘网络军火’攻击性强、穿透性强,会造成大规模灾难;我们的基础防御水平还很低;要举一反三,现在不是网络更安全了,而是隐蔽性增加了,难以被发现了。”针对此次攻击事件,王小丰有许多思考,他认为今后我们会面临更多“网络军火”攻击和失控的危险,“此次暴露出隔离网内漏洞比较多。过于依赖网络边界防护和物理隔离的安全体系,反而内部网络安全可能疏漏较多,系统安全治理工作也任重道远。”
中标软件副总经理李震宁在论坛上也代表国产操作系统厂商发表了看法:“虽然这次攻击只是针对windows系统而不会影响到Linux,但这个漏洞是被美国国家安全局掌控,被黑客泄露后发动攻击。还有更多没有被公开的漏洞,这才是这个事件中透射的最可怕问题。我们大量的设备是基于这样的系统构建,系统还有多少漏洞后门不得而知。我国提出要在实施信息领域核心技术设备攻坚战略、在操作系统等研发和应用取得重大突破,就是希望能够构建真正安全、可控的信息技术体系。”
此次事件应急处理成功
有运气成分
360副总裁、首席安全官谭晓生出示了一张数据监测图,显示5月12日15时开始出现大量感染,晚上进入了高发期,有很多机构中招,包括某石油系统和政府某机构网站。“到了5月13日12点以后,无论是政府企业还是机构个人都开始进行相关处置,病毒感染开始得到控制。从5月14日早上7点到现在,一直平稳,没有出现大规模的感染。”
由于15日是病毒出现后的第一个工作日,11点到12点一个小时中,是过去这些时间段里的最高峰,共有5389次攻击,一共105个用户中招。而在16日下午一个小时内则只有几十个。
“现在用户中病毒会继续传播但不会加密文件,损害基本不存在了。”谭晓生说,这是因为那个英国小伙子注册了域名,把它的危害控制住了。
360的实时监测数据也证明了教育网不是此次事件的重灾区。截至5月16日零点,360安全卫士监测到的数据显示,教育网只占国内全部受感染的0.63%。此前的报道,很大程度是由于媒体的数据误读和错误解读。
谭晓生认为这次勒索软件的传播得到及时控制,有运气成分在其中。“首先是安全产品厂家反应迅速,各个部门沟通及时,政府连下3个通告,运营商对端口进行封闭,很多企事业单位、机构迅速关闭了445端口,也阻碍了传播。微软也特例给XP和2003系统出了补丁,虽然晚了一点点,但是还是解决了不少问题。”
“虽然说应急比较成功,但还是有不少需要改进的地方。”谭晓生进行了逐一分析,第一,谷歌3月首先报出那个操作系统的漏洞,如果当时研判这是蠕虫的传播,应该有应急预案,但是没做;第二,有些大企业,特别是有的央企,信息技术能力并不差,有很强大的安全团队,但是为什么也中招?因为他们对安全理解有偏颇。“从这次看,网络终端并非等同于彻底杀毒,终端也可以成为发起攻击的源头,病毒可以进到隔离的网络里去,如果内网安全防范没有做好,照样会被病毒攻击。”
据《中国青年报》报道
关注“比特币快讯”公众号
知晓最新比特币行业资讯
还可以在公众号中回复 “微信群” 加入我们的比特币交流群
与大神一起聊比特
第一时间知晓各币圈最新资讯