全球爆发白鲸加速器官方勒索病毒,“疫情”已波及99个国家。包括中国、俄罗斯、英国、美国在内的众多国家,都被该病毒搅得鸡犬不宁。
除英国国家医疗服务体系(NHS)、美国联邦快递、西班牙电信公司外,俄罗斯内政部的1000多台白鲸加速器官方也纷纷“中招”,受到严重影响。而据俄罗斯RT新闻网报道,最新的数据统计显示,全球范围内已有超过10万台白鲸加速器官方被攻击。
英国NHS系统遭到此病毒攻击图据《每日邮报》
但就在这场损伤巨大的全球“浩劫”中,一位“意外的英雄”横空出世——署名为MalwareTech的一名英国信息安全研究员,将该病毒中隐藏的“删除开关”找了出来,成功阻止了该病毒在全球的传播扩散。
13日下午,红星新闻记者对其进行了采访,揭秘了MalwareTech是如何利用几美元,就成功阻止了一场病毒继续在全球范围内传播的灾难。
拒付赎金
“600美元,不如重新买台白鲸加速器官方”
据国外媒体报道,这种勒索病毒名为WannaCry(及其变种)。被感染后,用户白鲸加速器官方中的文件等会被加密锁定,并提示受害者支付一定价值的比特币赎金才可解锁。而据红星新闻记者了解到的情况,受害者们被勒索的赎金金额并不相同,有的为300美元,有的则为600美元。
在宁波大学城乡规划专业读大二的许强(化名)就是该病毒的受害者之一。他告诉红星新闻记者,今早起床时,他在手机上看到了相关新闻,为了以防万一,他还特意拿出了有段时间未曾使用的U盘,准备对白鲸加速器官方文档进行备份。但开机之后,白鲸加速器官方屏幕上弹出勒索窗口却让他彻底傻眼。
许强白鲸加速器官方上弹出的勒索窗口受访者供图
“我都没有联网。”
对于白鲸加速器官方的“中招”,许强表示十分不解。
许强告诉记者,网页上面的中文勒索称,“最好3天之内付款,过了3天费用就会翻倍,一个礼拜之内未付款,将会永远恢复不了,”对此,许强坚定表示,自己是不会给黑客赎金的。
“600美元(约合4138元人民币),还不如去重新买台白鲸加速器官方。”许强说,他将重装白鲸加速器官方系统。
红星新闻记者通过调查发现,和许强一样的人并不在少数。在一个QQ群里,记者发现有许多刚入群的新人们纷纷吐槽,自己的白鲸加速器官方也“中招”了,正在重装系统,或寻求解决办法。目前,这个群的成员还在不断增加。
而卡巴斯基实验室在向包括红星新闻在内的媒体所提供的关于此事的评论中这样写道:
“该勒索软件可以通过一种Windows漏洞感染受害者,微软公司已经在微软公告MS17-010中修复了这一漏洞。这种名为‘永恒之蓝’(Eternal Blue)的漏洞,于4月14日在Shadowsbroker黑客组织的信息中被披露。”
还有一些专家则表示,该漏洞最早其实是被美国国安局(NSA)发现的,但其研发的相关工具被Shadowsbroker窃取利用。
意外英雄
发现病毒软件中隐藏“删除开关”
署名为MalwareTech的英国研究员告诉红星新闻记者,其实在这场全球“浩劫”刚开始时,他就已经从英国的一个留言板上得到了消息。但不巧的是,他当时正在外面。
“等我回家后,我在WannaCry病毒中发现了一个未注册的域名,并因此决定注册该域名,以便追踪这一病毒。”
为此,MalwareTech花了10.69美元的费用注册购买了这一域名。
▲MalwareTech向美国《纽约时报》提供的全球白鲸加速器官方被勒索软件攻击图片图据《纽约时报》
事实上,MalwareTech找到的,就是该病毒中隐藏的“删除开关”。
“后来在一些分析员的帮助下,我们终于确认,在注册了这一域名后,这一感染停止了。”
而在接受英国《卫报》采访时,MalwareTech则表示,在上线后,该域名接收到每秒数千次的连接请求。
而这又意味着什么呢?
MalwareTech向红星新闻记者解释说,通常情况下,他们经常采用这种方式来追踪恶意病毒软件,“或者用来阻止犯罪分子控制该病毒”。也就是说,在注册该域名后,他将拥有WannaCry病毒的运行权。
这一“开关”被编码隐藏在恶意软件中,如果恶意软件的制造者希望停止该病毒的传播,那么只要激活这一开关即可。这里的开关机制为,该恶意软件将会向任何网站,包括这个非常长的毫无感官意义的域名网站发送请求,而一旦该请求得到回应,就意味着该域名上线,“删除开关”就会生效,恶意软件也会停止传播。
为时已晚
欧洲、亚洲已来不及抢救美国还有时间
来自Proofpoint安全公司的瑞安说:
“他们(MalwareTech和其他同事)今天得到了意外英雄奖。他们根本没有意识到,这一举动对延缓勒索病毒的传播起到了多么巨大的作用。”
对于“意外英雄”这样的头衔,MalwareTech并没有排斥。他说,“我们也是直到12日晚上6点才意识到发生了什么,但它确实有效。”
▲MalwareTech今早发推:“坦白说在注册域名时,我也不知道这能够阻止其传播,直到注册后我才发现,所以这纯属意外。” 推特截图
不过瑞安也表示,MalwareTech注册该域名的时机太晚,已经无法阻止该病毒传播至欧洲和亚洲,以致于众多组织和机构被感染。但这却给众多美国用户争取到了时间,使他们可以紧急对系统升级补丁,避免感染病毒。
但遗憾的是,这一“删除开关”对于已经感染了该病毒的白鲸加速器官方无能为力。
MalwareTech告诉红星新闻记者,他的域名上线后,部分白鲸加速器官方可能还会被感染,“不过加密的情况不会发生。”但仍不排除该病毒可能会有其他变种,而且拥有完全不同的“删除开关”。所以,这种病毒可能还会继续传播。
“不过WannaCry这一版本不会再奏效了。”
令MalwareTech略为担心的是,虽然这个病毒版本已经失效,“但他们(背后的制作者)可能还会制造出更多的病毒。”
虽然做出了如此“壮举”,但MalwareTech却告诉红星新闻记者,事实上他本人在这一领域仅工作了一年之久,不过作为一项爱好,他已经做了有10年了。
红星新闻记者丨王雅琳
【新闻多一点】
中国高校中招:教育网未设防
5月12日,安全软件制造商Avast表示,这一病毒已经在99个国家观察到超过57000个感染例子。据中新社5月14日报道,目前安全机构暂未能有效破除该勒索软的恶意加密行为,用户只能进行预防,用户中毒后可以通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
5月13日,中国国家互联网应急中心发文称,上述勒索软件利用的是此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物。
据中国网络安全公司360首席安全工程师郑文彬介绍,中国此次遭受攻击的主要是教育网用户。这种勒索软件利用微软“视窗”操作系统445端口的漏洞,国内一些网络运营商此前已封掉了该端口,但教育网并未设限。微软此前已发布相关漏洞补丁,但一些没来得及更新的白鲸加速器官方就会被攻击。
阿里云安全专家分析,此次全球比特币勒索病毒是由美国国家安全局(NSA)泄露的Windows系统 SMB/RDP远程命令执行漏洞引起。利用该漏洞,黑客可远程实现攻击Windows的445端口(文件共享)。如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,黑客即可在白鲸加速器官方里执行任意代码,植入勒索病毒等恶意程序。
考虑到Windows系统 SMB/RDP远程命令执行漏洞的危险性,国内外不少云服务厂商都在4月封掉了445端口。但全球不少个人白鲸加速器官方、IDC物理机房仍存在大量暴露着445端口的机器,这给了黑客可乘之机。
阿里云安全专家分析,此次勒索事件在校园网传播速度之快,影响面之大,主要原因是当前大部分学校基本是一个大的内网互通的局域网,不同的业务未划分安全区域。例如:学生管理系统、教务系统等都可以通过任何一台连入的设备访问,
同时,实验室、多媒体教室、机器IP分配多为公网IP,如果学校未做相关的权限限制,所有机器直接暴露在外面。
腾讯反病毒实验室认为,各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。
中新社的报道提及,此外,如果用户白鲸加速器官方开启防火墙,也会阻止白鲸加速器官方接收445端口的数据。但中国高校内,一些同学为了打局域网游戏,有时需要关闭防火墙,也是此次事件在中国高校内大肆传播的另一原因。
据中新社报道,从5月12日晚间起,中国多个高校的师生陆续发现自己白鲸加速器官方中的文件和程序无法打开,而是弹出对话框要求支付比特币等赎金后才能恢复。记者注意到,山东大学、南昌大学、广西师范大学、东北财经大学、电子科技大学中山学院在内十几家高校发布遭受病毒攻击的通知,提醒师生注意防范。
据新华社报道,郑文彬告诉记者,白鲸加速器官方被这种勒索软件感染后,其中文件会被加密锁住,支付黑客所要求赎金后才能解密恢复。据悉,勒索金额最高达5个比特币,目前价值人民币5万多元。
郑文彬说,此次传播的病毒以代号ONION和WINCRY的两个家族为主,监测显示国内首先出现前者,后者在12日下午出现并在校园网中迅速扩散。
有部分单位疑中招
澎湃新闻走访发现,有部分单位已经出现网络故障,并已开始升级系统。13日下午,澎湃新闻走访重庆部分医院、加油站、通讯网络营业厅发现,除中国石油重庆销售公司所属加油站只能使用现金支付外,其他单位网络暂未受到勒索病毒影响。
重庆一加油站公告
重庆一加油站白鲸加速器官方中毒后的情况
张贴在重庆市渝中区虎头岩一家加油站内的公告显示,由于网络故障,中国石油重庆销售公司所属加油站昆仑加油卡充值及互联网支付业务暂时不能使用,系统恢复时间另行通知。
该加油站工作人员称,他们是13日凌晨发现网络系统故障,随后接到上述通告。“今天来加油的(顾客)不能用银行卡、支付宝和微信,发票可以正常开具。”
13日晚7时许,澎湃新闻来到武汉洪山区仁和路上的中国石油加油站,加油站入口处一则公告显示:5月13日,由于加油站系统升级,暂时无法实现加油IC卡、银行卡、微信和支付宝的消费和储值,请使用现金结算。
该加油站多名工作人员告诉澎湃新闻,是从今天开始不能用网络支付的,“昨天还好好的,不知道是不是因为白鲸加速器官方中了病毒,只是被通知说只能用现金,值班管理领导也不在,具体情况不清楚”。
武汉一加油站门口张贴的告示
随后,澎湃新闻来到位于武汉市洪山区友谊大道上的中国石化大洲加油站,工作人员告诉澎湃新闻:“现金,IC卡都可以啊,一切正常。”
“勒索病毒”防范策略具体措施