(这原本应该是一篇技术性很强的文章... 事儿君已经尽所能,把这解释的尽可能的通俗和不那么“技术”... 希望大家能够看懂,明白这其中是怎么回事)
昨天,
一场网络风暴席卷全球....
“你的电脑已经被锁,文件已经全部被加密,除非你支付等额价值300美元的比特币,否则你的文件将会被永久删除"
而舆论上大规模的爆发,发生在国内时间昨天晚上10点半,英国时间下午3点半....
英国全国上下的16家医院首先报道同时遭到网络攻击....
这些医院的网络被攻陷,电脑被锁定..... 黑客要求每台电脑支付等额价值300美元的比特币,否则将删除电脑所有资料... (事情刚发生时英国上下一片慌乱,媒体曾误传要300比特币)
一瞬之间,医院里的电脑一台接一台的被感染... 医院的IT部门也马上响应,要求关停所有没被感染的电脑...
攻击爆发之后,医院内部的医疗系统几乎停止运转....
没有了系统记录,医生不知道他即将要处置的病人有何种病史是和过敏史...
没有了电脑的内部病例沟通系统,医生不能给病人做X光,CT,核磁共振检查... 因为这些系统已经全部数码化,本应直接在电脑上把图像传给医生...
一个病人,在NHS医院排了10个月的队等待做一台心脏手术,却在手术即将开始的最后关头遇上网络攻击,手术被紧急取消.....
约克郡的一名药剂师表示.... 没有了电子处方,他只能重新开始使用纸笔... 找不到病人的历史记录, 感觉回到了石器时代.....
很快,更多的医院被攻击....
16家,18家,20家......
全英国上下越来越多的医院汇报自己的电脑收到攻击....
而所有被攻击的电脑,
显示的都是这么一个电脑被锁定的红框.....
正当所有人都觉得这是一场针对英国医院的网络袭击的时候....
更多消息传来.....
不只是英国,这一场网络攻击,几乎席卷全球!!
中国: 校园网受灾严重...
此时正值毕业季,不少同学的毕业设计,中招严重...
Daniielx
:表示已经中招,所有文件全部破损,作业,画的图,一张一张收集了2年的素材资料,全没了
阿普噗噗噗
:就这么说吧,现在毕业季,我隔壁寝室就有妹子中招了,我们是动画专业,如果我们专业没提前备份的话,她的所有图片,视频都打不开了,那我们的毕设基本就废了,因为AE之类的工程文件是认导入的路径的,一旦源文件打不开,毕设基本上就算没了(PS:我们毕设给的时间是一年。如果没了那就是一年白画了)
不少学校发出提醒...
西班牙: 电信公司Telefonica电脑系统被攻击....
意大利:大学机房中招....
德国: 火车车站系统中招...
俄罗斯: 政府内政部超过1000台电脑收到攻击瘫痪.....
昨天一晚至今,安全专家统计....
整个攻击遍布全世界超过99个国家....
那些幸免的国家里,要么几乎没有电脑,要么几乎没有网络...
这次为什么会发展成这样?
总的来说....
一个本已被玩滥的攻击手法,被人整合上了一个美国国家安全局的核弹级的网络攻击工具!
而这一切,让事儿君慢慢说起......
勒索病毒
,这,其实已经是一个很多年以前的东西了.....
总的来说,这就是一个病毒程序,只要你不小心运行了这个病毒之后,它就会锁定你的各种重要文件... 只有交赎金才能帮你解密....
而赎金,通常都是以比特币的形式支付....
比特币我们很多人都已经知道了,是一种网络虚拟货币... 然而他最大的特点,就是分散在整个网络上,完全匿名,完全不受各种金融限制.... 几乎很难从一个比特币账户追查到个人.....
于是,这成了黑客索要赎金的最佳支付手段...
在过去的几年里,这样的勒索病毒出现过很多...
有类似这样的....
又或者是这样的.....
用勒索病毒针对各种个人,公司和机构的公司其实每年都有不少...
但是大多数都是一些零星事件,很少有像这次一样的大规模爆发....
为什么之前很难大规模爆发?
因为要中这样的勒索病毒,大多有一个前提条件...
你必须先得运行这个病毒程序,病毒程序才能把你的电脑锁了....
怎么才能让运行呢?
之前,他们很多都是采用钓鱼邮件的方式...
比如 ”HI, 附件是我的照片,你要不要打开看看呀~~~”
打开,你就中招了.....
也有的通过U盘的形式....
插入U盘,自动运行,然后中招....
要么通过网页骗你...
比如“下载我们的播放器,就可以看羞羞的小电影哦”
又或者是浏览网页的时候跳出这么一个页面
“你的电脑已经被感染恶意软件,赶紧下载我们的查毒软件查杀!”
如果你不懂真的下载运行了,你就真的中招了....
总之一个字,大多数靠骗.....
“相信我,我不是病毒.... 我只是一只海豚....”
(你,敢点么?)
正因为之前都是要靠骗,所以想要大规模的爆发,不容易....
因为这年头被病毒吓怕了,我们很多人都已经有了相当的安全意识...
邮件里的莫名奇妙附件不会去打开..
网页上的连接不会去乱点....
一些大的邮件提供商也在帮忙过滤这些含有病毒的邮件....
所以很多年来,中招的大多都是一些不太懂电脑,或者安全意识不太强的人......
然而这一次,
这种传统的勒索病毒,被人绑上了一颗核弹....
这颗核弹的名字....
永恒之蓝
Eternalblue
而永恒之蓝的来源,跟一个美国政府机构有关,NSA, 美国国家安全局.....
美国国家安全局NSA是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料,属于美国国防部...
而NSA就有跟各种黑客组织合作,专门研究入侵各类电脑网络系统....
还记得各种美剧和电影里,那些政府的神人级电脑高手,想要入侵啥就入侵啥么? 这一切,虽然没有电影里那么快那么深,
然而跟NSA合作的这些黑客组织,还真的有这个入侵各种电脑的能力....
最近,一个帮美国国家安全局开发网络武器的黑客部门,被另一个黑客组织,入侵和曝光了.....
这就要说说上个月,网络安全界爆发一件大事.....
一个叫影子经纪的黑客组织,声称攻破了为NSA开发网络武器的美国黑客团队“方程式组织”的计算机系统,并下载了他们开发大量的攻击工具。
这些工具里包含了大量各种入侵工具和恶意软件....
这其中,就包括了可以远程攻破全球约70%Windows机器的漏洞利用工具
,
永恒之蓝。
也就是说,美国政府国家级别的网络入侵武器,被另一伙黑客,偷到了!
被偷到也就算了,
更关键的是,
他们还把这其中各种工具,传到了网上,提供给全世界网友和黑客同行下载.....
这些公布的工具里,几乎可以攻击全球 70% 的 Windows 服务器....
一夜之间,各种没有打补丁的windows电脑几乎全线暴露在危险之中,任何网友都可以直接下载并远程攻击利用....
当时甚至有业内人士表示,这些工具刚开始几乎“
指哪打哪
”....
这些工具,原本都是为美国国家安全局开发,专门给NSA入侵目标电脑,进行情报搜集使用....
然而,这些堪称网络大杀器的攻击工具,就这样在上个月,被人公之于众.....
那么,
永恒之蓝
究竟能干什么?
总的来说,
它可以不经过你的同意,远程入侵,让你执行任何程序.....
那勒索病毒 加上 永恒之蓝呢?
这也就成了,
可以不经过你同意,直接让你执行勒索病毒,锁定你的电脑,并开始连串攻击跟你同一个联网里的任何其他电脑....
这下,意识到把这样的勒索病毒 配上 这样的NSA大杀器之后的可怕之处了么?
一个学校,一个公司,网络里成百上千的电脑....
可能99%的人都不会去点击陌生的邮件附件,
又或者99%的恶意网页,恶意邮件,都会被系统过滤......
然而,
在这一个学校或者一个公司成百上千人里,
只要有一个人,
一个人....
无论是因为那个人不小心发傻,或是真的不懂,点击了含有这样勒索病毒的邮件或者网络.....
那么他的电脑就会被勒索病毒感染,勒索病毒就会启动NSA大杀器永恒之蓝,入侵跟他联网的所有电脑,并给网络里入侵成功的所有的电脑启动勒索病毒....
你就算自己再小心也没用,只要你隔壁联网的有一个不小心的哥们,如果你的系统没有打上最新的补丁,那你也跟着完蛋......
而一整个公司或者学校里,出现这么一个不小心的几率,相当大.......
又因为美国安全局的这个永恒之蓝的漏洞足够牛... 从windows xp 到2003,到windows vista, 7, 8...... 除了windows10之外的其他系统几乎无一幸免....
然而,
在施虐一波后,
英国事件昨天半夜,国内时间今天一大早....
这波攻击,突然减弱消退了!
这,就不能不说一个人....
当这次攻击大规模爆发后....
世界各国的安全人员,立马开始了对病毒样本的分析....
这其中,就有一个英国安全人员,他分析了病毒的代码,发现在代码的一开始,有一个特殊的域名地址.....
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
对,就这么一个看似手滚键盘打出来的,死长死长的域名地址....
同时,地球另一端思科的网络安全人员也发现了这个域名
通过分析,他们发现,在昨天之前,网络上完全没有针对这个域名的访问。
而昨天开始,这个域名的访问量激增...
峰值达到了每小时1400多次...
发现这个域名之后,
那个英国网络安全小哥照例搜索了一下,
发现那个域名地址并没有被注册...
出于职业习惯,他花了几十块钱,干脆顺手把那个域名注册了一下....
注册成功后,
一瞬之间,他发现....
这个域名接到了几乎全世界各个国家的电脑的连接.....
当时,
他自己不知道发生了什么,只知道,这个域名,不简单....
事后才发现,他当时这随手的一注册,简直立了大功!!!
因为后来,随着对病毒代码的进一步分析,
安全人员发现,
这个域名,看起来像是病毒作者给自己留的一个紧急停止开关.... 防止事情失去他自己的控制...
在代码里,安全人员找到了这样的语句..
这个代码的逻辑是这么写的
访问这个域名
如果 这个域名存在
那么 退出一切
反之如果这个域名不存在
那么 开始继续攻击...
也就是说,每一个感染了病毒的机器,在发作之前都会事先访问一下这个域名,如果这个域名依旧不存在,那就继续传播.. 如果已经被人注册了,无论是被病毒作者本身还是被其他人,那就停止传播....
就这么一个简单的域名,
那个网络安全小哥无意间的一注册,
万万没想到 ,
触发了病毒作者留给自己的紧急停止的开关.....
事后,小哥自己在twitter上自嘲道...
“我坦白,在我注册这个域名之前,完全不知道他能停止这次病毒的传播... 这发现完全意外...”
“所以以后我简历上大概可以加一句 ‘ 一不小心阻止了一场全球性的网络攻击...' "
