“勒索病毒并非是一种病毒,而是一种商业模式,只要网络环境中有财产可被获取,就会出现无尽的变种。” 360安全技术负责人郑文彬告诉36氪。
自12日WannaCrypt(永恒之蓝)勒索蠕虫突然爆发以来至今,影响已经遍及近百国家,包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者,中国校园网和多家能源企业、政府机构也中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失,全球至少有10万台机器被感染。
经过72小时全国动员和应急响应,感染和影响得到了基本控制,总体态势平稳,但这种病毒的传播情况至今仍然无法彻底遏制。
首先,来回望下这次勒索病毒的起源。
根据多家官方权威介绍,本次勒索病毒发行者是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue“永恒之蓝”,将2017年2月的一款病毒升级所致。WannaCrypt(永恒之蓝)勒索蠕虫是NSA网络军火民用化的全球第一例。
一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。
勒索者使用病毒的方式也很简单,瞄准机构和个人重要文件,直接“放毒”,加密用户电脑文件并勒索300美元赎金,3天后不交赎金就涨价到600美元,7天后不交赎金就撕票,被锁的重要文件将被永久销毁。
一个很现实的问题:勒索病毒为何就没办法彻底遏制?
一方面因为WannaCrypt利用公开的“永恒之蓝”武器制作的蠕虫型勒索病毒,一台电脑感染后,会继续扫描内网和互联网上其他未免疫的系统,继续感染这些系统,连锁反应导致大规模感染爆发。
另一个关键因素是勒索病毒使用的是可匿名比特币支付,压根追踪不到病毒来源和背后勒索者。
事实上,根据比特币交易平台的公开数据显示,截至5月15日晨,已经有136人交了赎金,总价值约3.6万美元。
有人可能要问了,有比特币的可以快速支付并解锁,但没有比特币的人怎么办?
别着急,勒索者都已经帮你想好了,这个病毒制造者可谓很贴心,在勒索页面附有教程,直接可以通过网银从分销商那里购买比特币,并且它支持十几种语言,根据每个国家的国情不一样,做非常完整的提示。
很贴心的支持多国语言,以及比特币购买流程
事实上,勒索者还设置了一个更贴心的服务,那就是对半年没付款的搞抽奖活动,抽中就可以免费给你解除,但没有抽中就是运气不好了。
这俨然就是一种商品的售卖和营销模式啊,也恰恰验证了郑文彬所说的一整套勒索“商业模式”。
当然,这一次也并非勒索病毒首次爆发,2013年勒索病毒就出现了,只不过当时是通过邮件、挂马传播,2015年开始进入爆发期,目前已经有超过100种勒索病毒家族存在。有数据显示,仅其中一个勒索病毒CryptoWall家族的一 个变种就收到23亿赎金。
那么,问题来了,多年前已经得知的“商业模式”,为什么如今还会呈现大爆发态势?
“可以说,目前对勒索病毒还没有一个特别好的解决的方法,只能说是防御,但中了以后并没有什么好的方法,这种情况下它还会发展出更多的变种,包括在不同的平台,移动平台、IoT,甚至是关键基础信息设施上。” 郑文彬如是说。
除此之外,如前文所说,勒索病毒溯源一直是比较困难的问题,FBI曾经悬赏300万美元找勒索病毒的作者,都没有结果。因为它的整个操作体系非常成熟,完全是用比特币和匿名网络,目前全球都没有发现作者是哪个国家的,它的目的是什么,没有一个明确的消息。
这次中枪最多的为何是机构?
如果在以前,勒索病毒的人群多集中在个人,但这次不然,伤害最大的却是大型机构,为什么?
比如,《每日邮报》的报道病毒爆发当天就表示,至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击,这些机构包括医院和全科医生诊所。
病毒制造者为了谋取高额利润,首选机构无可厚非,毕竟机构更具有支付的财力。
但另一个不可忽视的因素是机构安全市场的投入严重不足。
一个数据显示,中国整个安全市场占整个中国IT市场的投入是 2%,而全球尤其是美国安全市场,占整个美国IT市场的也不过 9%,两个超级大国的投入已经如此,更不用提其他国家了。
这导致病毒来袭之后,安全系统弱的机构手足无措,漏洞更新也颇为困难,因为这可能牵涉到整个机构系统的大变动,这也是为何企业客户明显比互联网个人用户反应慢的原因所在。
除此之外,很多机构即便上线了最新的安全产品,但缺乏运营,因为如果没有人经常检查有没有效果、漏洞有没有被修复,445端口有没有被非法的开放,安全产品也没有用。
这也印证了安全行业的一种说法:重视运营,就是安全产品上线的第一天也是失效的第一天。
真对此次勒索病毒,网络很多人认为应该NSA背锅,但是你有没有想过,如果NSA不用这个武器,这些漏洞就不存在吗?
其实这些漏洞还是会存在,总有人会利用它,只不过这件事情被曝光出来,造成了极大的影响。
事实上,我们也无法否认,只要黑客找到一种攻击方式,它就可以拿来作为一个勒索的工具和勒索的蠕虫,下次它可能能攻击你的手机,攻击你的IoT连接设备,所以它并不是某一种病毒,早已经变成一种黑产的商业模式。
既要注意网络安全问题,也不要在危险来临时过于恐慌、甚至危言耸听。
本质上,这只是互联网诞生以来,病毒的又一次“乘人之危”和黑客又一次“秀操作”。我们面对的态度应该是冷静,镇定,并及时预防且吸取教训,过度的恐慌和误传并不是明智之举。
热点推荐《数据中心的风险管理》