首页 > > 5

勒索病毒的来龙去脉

2017-05-17
来源:香港商报

  英國網絡保安研究員洪特奇斯稱,阻止WannaCry1.0擴散不是自己一個人的功勞。網絡圖片

  勒索病毒衍生3變種 每小時襲3600臺電腦

  【香港商報网訊】路透社當地時間周一援引數據稱,勒索病毒WannaCry的變種正以每小時3600臺電腦的感染速度迅速擴散。白宮方面稱,WannaCry已入侵約150個國家的超過30萬臺電腦。不過,黑客組織只有7萬美元(約54.6萬港元)贖金入帳。美國土安全部長凱利已負責應對今次事件,每天進行兩次情況評估。而歐洲刑警組織表示,WannaCry在歐洲已停止蔓延。

  美否認NSA開發病毒

  英國《金融時報》稱,WannaCry基於去年被盜的美國國家安全局(NSA)自主設計的Windows系統黑客工具Eternal Blue(永恆之藍),由今年2月的一款勒索病毒升級而來。Eternal Blue當時由名為Shadow Brokers的團體竊取并泄露到網上,Shadow Brokers團體同時還泄露了Oddjob、Zippybeer、Fuzzbunch等黑客軟件,以及據稱是二代病毒載體的EsteemAudit(尊嚴審查)。

  不過美國國家安全顧問博塞特回應說:「勒索贖金的代碼不是由NSA的工具開發出來的,這種工具是由犯罪方開發的,也就是潛在的罪犯或外國國家。」矽谷網絡風險建模公司Cyence表示,此次網絡攻擊造成的全球電腦死機直接成本總計約80億美元(約624億港元),這一預估基於電腦系統平均備份比例以及遭攻擊公司的業務範圍。

  黑客組織僅入帳54萬

  歐洲刑警組織稱,WannaCry在歐洲已經停止蔓延。該組織建議繼續安裝Windows操作系統補丁,同時最重要的是不向勒索者付錢,目前支付贖金并沒有導致黑客解鎖的數據。該組織同時表示:「我們不認為這場危機已到此為止,黑客已經修改了這款惡意軟件,并且很可能會繼續這樣做。」

  博塞特周一在白宮記者會上表示,美國土安全部正在密切關注事態發展,該部門正在與私營IT公司及多國政府合作應對此事。他表示,據英國方面通報的消息稱,該勒索軟件的蔓延態勢已被有效控制,傳播速度明顯放緩。截至目前,尚無美國聯邦政府部門的網絡系統遭到入侵,美國境內僅有少數公司、個人的電腦被勒索軟件入侵。而黑客組織也僅得7萬美元進帳。博塞特還證實,該勒索軟件現已衍生出三個變種。

  抗病毒英雄身份曝光

  此外,成功阻止WannaCry1.0擴散的「英雄」身份曝光,他是英國網絡保安研究員洪特奇斯。洪特奇斯追蹤惡意軟件WannaCry的源頭時,意外發現軟件連結到一個無註冊的網址,於是花了8.5英鎊註冊該域名,令軟件無法與網址連結,運作不了。不過洪特奇斯強調,不是自己一個人的功勞。他亦擔心身份曝光后可能惹來黑客報復。而為對抗黑客,洪特奇斯曾經三天沒睡,公司老闆決定讓他輕松一下,將請他到美國拉斯維加斯及洛杉磯旅游,以作獎勵。

  朝黑客疑為病毒幕后黑手

  黑客組織「拉撒路」被多家安全機構認定來自朝鮮。網絡圖片

  【香港商報訊】肆虐全球的電腦勒索病毒Wan-naCry可能與朝鮮有關。谷歌和卡巴斯基實驗室等多個機構經過研究后發現,惡意程序代碼中的線索將幕后黑手的身份指向了朝鮮。

  與拉撒路所用惡意軟件一致

  谷歌安全研究人員梅塔在社交媒體上表示,此次肆虐全球的WannaCry勒索病毒和之前國際神秘黑客組織「拉撒路」(Lazarus)使用的惡意軟件非常一致,而該組織此前就被多家安全機構認定來自朝鮮。

  消息稱,「拉撒路」曾涉及2014年索尼影業遭攻擊事件,以及孟加拉央行遭黑而失竊8100萬美元(約6.3億港元)的案件。卡巴斯基實驗室將梅塔提供的樣本進行分析后也發現,WannaCry中的一部分代碼和「拉撒路」用的惡意軟件代碼幾乎一模一樣,兩者使用了相同的隨機數生成0到75之間的隨機數,用於對劫持數據的加密以及通過混淆,避免安全工具的檢測。

  朝未中招因少用Windows

  其實早就有人發現,在感染地圖上朝鮮是少有的完全沒有監測到「中招」的國家,因此也懷疑朝鮮與幕后黑手有關。不過,也有業內人士認為,朝鮮沒有中招的原因有很多,如朝鮮有自己內部開發的操作系統,這款操作系統名為Red Star OS,而此次勒索者利用的是Windows系統的漏洞。如果朝鮮民眾都不怎麼用Windows系統,自然就可以解釋他們為什麼沒有中招。

  美國和歐洲信息安全官員表示,目前判斷誰發動了此次攻擊還為時過早。不過,朝鮮作為可疑的始作俑者不能被排除在外。

  2014年,韓國也曾指責朝鮮黑客攻擊韓國智能手機,不過朝方隨后回應稱這只是韓國方面的「陰謀」,所謂「朝鮮黑客說」不過是為了破壞朝韓關系。

  專家警勿貿然下載解密程式

  【香港商報訊】俄羅斯卡巴斯基實驗室周一在接受采訪時表示,他們利用電腦系統監測工具,找到了迄今WannaCry勒索病毒對用戶文件進行加密的11種惡意程式。

  卡巴斯基的專家指出,假如用戶發現其電腦中的文件已被惡意加密,千萬不要用各種網站上流傳或電子郵件主動提供的工具程式去解密。勒索病毒所使用的加密算法非常嚴密,目前已知的解密方法都對其無效。貿然下載的解密程式可能對中毒電腦和與其聯網的電腦有潛在危害,甚至加速勒索病毒傳播。

  少數非微軟用戶亦被攻陷

  而一旦發現到有軟件遭11種惡意程式中的任何一種滲透進電腦,只能立即切斷染毒電腦與網際網絡和單位內網的連接,備份尚未被惡意加密的文件,然后重裝電腦系統。卡巴斯基還指出,專家發現少數沒有使用微軟操作系統、不存在MS17-100漏洞的電腦也會被勒索病毒攻陷,其原因待查。但相比較而言,操作系統中存在上述漏洞的電腦顯然更容易「中招」。

  據卡巴斯基介紹,目前技術先進的一些防病毒軟件能在勒索病毒躲過各種常規防護手段、剛開始修改電腦硬盤文件時,立即阻止這種改動,為用戶搶救文件爭取更多時間。目前包括卡巴斯基在內的網絡安全公司正在開發更有效抵御勒索病毒、對遭受惡意加密的文件進行解密的技術手段,一旦研發成功,就會及時發布信息。

[责任编辑:蒋璐]
网友评论
相关新闻