勒索病毒突然肆虐全球,150多个国家沦陷,损失到底有多大?WannaCry为何要求用户必须用比特币支付,背后有没有惊天阴谋?病毒会变种吗?面对变种的勒索病毒,我们真的无计可施吗?下面这篇文章,我们找了国内的顶级网络安全专家试图解读背后的答案。明晚,一场围绕“勒索病毒”的饭局将在7点上线,欢迎围观。
文/王鹏 实习生 董鹿北
刚刚过去的周末,WannaCry勒索病毒突然肆虐全球,150多个国家沦陷,德国铁路系统、美国联邦快递公司、英国医院、中国的公安、交管系统纷纷中毒。更令人咋舌的是,该病毒还向中招用户勒索价值300美元的比特币。
幕后主谋深藏不露,今天变种病毒已出现的传闻不绝于耳,所有的Windows用户都人心惶惶。
微软、百度、360等巨头的技术这么牛,为何就搞不定一个勒索病毒?这个WannaCry到底有什么特殊性?面对变种的病毒,我们真的无计可施吗?
今天,寻找中国创客(ID:xjbmaker)找来了两位安防领域创业公司的创始人,他们既是顶级黑客,也是安防专家。他们分别是长亭科技联合创始人陈宇森、青松云安全CEO孙大伟。我们试图从黑客的角度来解剖黑客攻击。
病毒大规模爆发本可避免
寻找中国创客:今天有消息称WannaCry已经出现了变种,是真的吗?
陈宇森:没有任何一个病毒在传播很好的情况下不出变种,变种是必然的。目前有媒体报道说出现了不包含Kill Switch的WannaCry 2.0的变种,但是卡巴斯基的研究人员也已经在Twitter上辟谣,表示目前所有样本都包含Kill Swtich。
寻找中国创客:所以传闻一个22岁的英国网络工程师发现了Kill Switch,也是假的?
陈宇森:这个是真的。这位工程师化名为MalwareTech。这位工程师开启了域名上80端口的访问,经过分析发现这一行为恰好可以阻止病毒进一步传播,极大程度地降低了蠕虫的传播。
寻找中国创客:勒索病毒继续变种,未来最坏的结果会是什么?
陈宇森:最坏的结果就是它通过别的漏洞进行进一步传播,之前的病毒多是被动传播,需要你来点击,现在利用系统漏洞,实现了主动蠕虫式的传播,每搞定一台电脑,就以它为一台攻击中心,继续去实施攻击。
寻找中国创客:勒索病毒原本有没有可能避免大规模爆发?
陈宇森:4月15日,美国的一个网络军火方程式组织,它的大量漏洞利用工具被放了出来,我们最早在国内发了分析预警文章。当时,很多电脑都没有打补丁,但你们看到一个月之后才爆发,这说明大家对于网络安全真的很漠视。
孙大伟:这次勒索病毒主要的传播途径是smb协议,Windows很早就出了补丁,只不过大家不大习惯更新补丁而已。技术手段是完全能够把这次病毒控制在非常小的范围内,但是管理手段、检测手段跟不上,本质上还是用户的网络安全意识不够。
可能是黑客故意做高比特币价格
寻找中国创客:为什么攻击方要求用户必须用比特币支付?
孙大伟:因为比特币更安全,不容易被国际刑警追踪。
寻找中国创客:但是似乎支付比特币的用户并不太多。
孙大伟:这几天勒索病毒爆发后,比特币的价值一路飙升,目前已经突破了10600元。如果攻击方事先大量囤积了比特币,然后通过攻击勒索引导比特币的交易走势,那它的主要收入来源就绝不是勒索款本身,而是存量比特币的增值。
寻找中国创客:所以,大量拥有比特币的利益集团可能是最大的嫌疑方?
孙大伟:有可能,反正利益相关方都有受益。
寻找中国创客:据说这种黑客勒索软件从1980年开始就已经存在,这么古老的病毒,为什么微软没有很早就做好防护?
孙大伟:病毒的基本原理都是调用用户电脑操作系统上的执行指令。大多数的杀毒软件是通过行为识别或特征识别,病毒常常通过穿不同的“衣服”或者几层“衣服”来逃过杀毒软件的识别。
陈宇森:但是它是利用了新的漏洞,新的手法。之前的病毒就是把你的电脑真的搞瘫、搞破坏,目的是为了展示实力、秀肌肉。但现在市场经济的时代,大家都是为了赚钱的,一个是有了新的漏洞,一个是有了新的诉求。
中国受冲击波较大
寻找中国创客:目前来看,哪个国家受损最严重呢?
孙大伟:中国和东南亚,这要看主机存量,中国的主机存量最大。按照人口密度来算就可以。这次影响确实很大,但是真实影响没有朋友圈传的那么大。
陈宇森:我感觉是美国第一,中国第二。
寻找中国创客:WannaCry以前也有那么多病毒,为什么这个病毒攻击范围会这么大呢?
陈宇森:这个Windows的漏洞是很多人都开启的,它的使用非常稳定。就像当年的冲击波一样。因为你的电脑本来就是开的,只要你的局域网有一个人中病毒,它把你的局域网全部扫一遍。
孙大伟:这个病毒已经被植入太长的时间了,至少两三个月了,最近才大面积爆发,病毒传毒和爆发是两码事。病毒文件进入电脑后,和你电脑的时钟同步,然后会有一个倒计时。
寻找中国创客:被击中后,目前有暴力破解的方法吗?
孙大伟:WannaCry使用的是RSA非对称加密算法,以目前的算力来说,没有办法暴力破解。360给了一个恢复工具,可以把部分被删除的工具给恢复过来。
寻找中国创客:这次攻击如果从网络安全厂商来说,这次攻击能打几分呢?
陈宇森:从对公众的影响力角度而言,我给满分。
孙大伟:9分。满分是10分。
寻找中国创客:这个病毒技术也不是很厉害,为什么能得这么高的分?
孙大伟:因为它比较能够隐忍。当传播已经非常广泛后,它才激活这个病毒。
寻找中国创客:苹果电脑有没有受到这次勒索病毒攻击的影响?
孙大伟:没有
寻找中国创客:你们觉得微软对此有没有责任?
陈宇森:我们无法要求一个厂商提供的软件是绝对完美的。只能看被攻击后,它的态度是不是积极的,我觉得以这个考量来标准,微软做没什么问题。
对于网络安防行业利好
寻找中国创客:这次勒索病毒,对于中国的安全防护类的创业公司会有什么影响?
孙大伟:对于安全防护类型的公司而言,是重大利好,对于普通的创业公司而言,只是意识上有了短暂的提升,过短时间可能他们又忘了。
陈宇森:我想这个周末,任何一家安防公司应该都很忙。
寻找中国创客:对于其它创业公司而言,会有什么影响?
孙大伟:对于创业公司而言,可能业务更重要,对于大公司而言,已经形成了稳定的业务增长,安全是保障业务持续运行的前提,所以他们愿意投入大量的人力、物力、资金来保障企业网络安全。
陈宇森:普通创业公司,没有备份的话可能就要交钱了。如果打补丁不及时,重要数据可能就没了,这只能去为自己安全意识不到位买单。
寻找中国创客:和以前相比,今日的网络安全有哪些新特征?
孙大伟:传播渠道更广、传播速度更快。
陈宇森:攻击面增多了,过去Nokia问题很少,现在iPhone 安卓问题都在爆发网络安全问题,你无法否认你的手机是否存在出现蠕虫病毒可能性的。
寻找中国创客:一般这种网络攻击,后面会有谁来宣称对此负责吗?
陈宇森:比较少,他们不像恐怖袭击一样有成熟套路,网络攻击是为了闷声发大财。
孙大伟:调查也很难调查出来,估计也不会有人宣布对此负责,除非这个组织受到了政治庇护。
不够解渴?5月16日,星期二晚上7点,我们找来了中国最牛的“黑客”CEO,深度聊聊为什么巨头也挡不住勒索病毒?
创客饭局——和中国最牛的“黑客”CEO聊聊勒索病毒
主办方:新京报.寻找中国创客
时间:5月16日晚7点(星期二)
地点:三里屯
直播平台:我们视频
直播入口:请扫描海报二维码
参与嘉宾:
主持人:新京报记者 王鹏
胡洪涛 苹果天使基金创始人
杨坤 长亭科技联合创始人、蓝莲花战队前队长
孙大伟 青松云安全CEO
嘉宾介绍:
胡洪涛 苹果天使基金创始人
网络安全方向的资深投资人,先后投资了安全宝、 上网快鸟、长亭科技、数字联盟等 30 多家安全领域的明星公司,在安全领域从业十年有余。
杨坤 长亭科技联合创始人
清华大学电子工程系,博士师从网络安全顶级教授段海新,加州大学伯克利分校访问学者。杨坤也是国内外享有盛誉的CTF冠军蓝莲花战队前队长,主攻软件漏洞挖掘和利用技术,带领中国团队连续四年闯入DEFCON CTF全球总决赛,入选GeekPwn名人堂。
孙大伟 青松云安全CEO
网络安全行业的老兵,拥有超过十年的安全从业经验,大二时因觉得大学很无聊而退学,后在老牌安防公司瑞星工作多年,经历过整个网络安全产业的惨烈变革。
