什麼是WannaCry勒索病毒?關於WannaCry想哭病毒的詳細解讀

  • A+
所属分类:科技資訊

我真的想哭!上週末,一個被稱為“WannaCry”(也有稱WannaCrypt)的勒索病毒在全球範圍內肆虐。這個傳說中屬於“網路戰武器”的病毒,到底是怎麼回事?這篇文章會為你梳理事情的全貌。

 

什麼是WannaCrypt勒索病毒?

 

北京時間2017年5月12日晚上22點30分左右,全英國上下16家醫院遭到大範圍網路攻擊,醫院的內網被攻陷,導致這16家機構基本中斷了與外界聯繫,內部醫療系統幾乎停止運轉,很快又有更多醫院的電腦遭到攻擊,這場網路攻擊迅速席捲全球。

 

這場網路攻擊的罪魁禍首就是一種叫WannaCrypt的勒索病毒。

 

勒索病毒本身並不是什麼新概念,勒索軟體Ransomware最早出現在1989年,是由Joseph Popp編寫的叫"AIDS Trojan"(愛滋病特洛伊木馬)的惡意軟體。在1996年,哥倫比亞大學和IBM的安全專家撰寫了一個叫Cryptovirology的檔,明確概述了勒索軟體Ransomware的概念:利用惡意程式碼干擾中毒者的正常使用,只有交錢才能恢復正常。

 

最初的勒索軟體和現在看到的一樣,都採用加密檔、收費解密的形式,只是所用的加密方法不同。後來除了加密外,也出現通過其他手段勒索的,比如強制顯示色情圖片、威脅散佈流覽記錄、使用虛假資訊要脅等形式,向受害者索取金額的勒索軟體,這類勒索病毒在近幾年來一直不斷出現。

被WannaCrypt勒索病毒侵入的電腦都會顯示上圖要求贖金的資訊

 

本次肆虐的WannaCry也是同樣的勒索方式,病毒通過郵件、網頁甚至手機侵入,將電腦上的檔加密,受害者只有按要求支付等額價值300美元的比特幣才能解密,如果7天內不支付,病毒聲稱電腦中的資料資訊將會永遠無法恢復。

 

勒索病毒是怎麼加密的?

 

在提到加密原理之前,首先要來科普一個概念:RSA加密演算法,RSA公開金鑰加密是一種非對稱加密演算法,包含3個演算法:KeyGen(金鑰生成演算法),Encrypt(加密演算法)以及Decrypt(解密演算法)。

 

其演算法過程需要一對金鑰(即一個金鑰對),分別是公開金鑰(公開金鑰)和私密金鑰(私有金鑰),公開金鑰對內容進行加密,私密金鑰對公開金鑰加密的內容進行解密。“非對稱”這三個字的意思是,雖然加密用的是公開金鑰,但拿著公開金鑰卻無法解密。

 

這次WannaCrypt勒索病毒使用的就是2048位元金鑰長度的RSA非對稱加密演算法對內容進行加密處理。簡單來說,就是用一個非常非常複雜的鑰匙,把你的檔鎖上了。能解開的鑰匙掌握在駭客手裡,你沒有;而以現在的計算能力,也基本沒有辦法強行破解。

 

勒索病毒是怎麼全球範圍大規模爆發的?

按理說,勒索病毒只是一個“鎖”,其本身並沒有大規模傳播的能力。這次病毒的洩露與爆發,跟美國國家安全局(NSA)有關。

 

NSA是美國政府機構中最大的情報部門,隸屬於美國國防部,專門負責收集和分析外國及本國通訊資料,而為了研究入侵各類電腦網路系統,NSA或多或少會跟各種駭客組織有合作,這些駭客中肯定有人能夠入侵各種電腦。

 

事情起源於2016 年 8 月,一個叫 “The Shadow Brokers” (TSB)的駭客組織號稱入侵了疑似是NSA下屬的駭客方程式組織(Equation Group),從中竊取了大量機密檔,還下載了他們開發的攻擊工具,並將部分檔公開到網上(GitHub)。

 

這些被竊取的工具包括了大量惡意軟體和入侵工具,其中就有可以遠端攻破全球約70%Windows機器的漏洞利用工具永恆之藍(Eternal Blue)。“永恆之藍”是疑似NSA針對CVE-2017-(0143~0148)這幾個漏洞開發的漏洞利用工具,通過利用Windows SMB協議的漏洞來遠端執行代碼,並提升自身至系統許可權。

 

2017年4月8日和16日,“The Shadow Brokers”分別在網上公佈瞭解壓縮密碼和保留的部分檔,也就是說,無論是誰,都可以下載並遠端攻擊利用,各種沒有打補丁的Windows電腦都處在危險狀態。

 

勒索病毒與永恆之藍搭配的效果就是,只要有一個人點擊了含有勒索病毒的郵件或網路,他的電腦就會被勒索病毒感染,進而使用永恆之藍工具進行漏洞利用,入侵並感染與它聯網的所有電腦。

 

簡單地說,可以把永恆之藍(傳播的部分)當成武器,而WannaCrypt勒索病毒(加密檔並利用傳播工具來傳播自身)是利用武器的人。一旦機器連接在互聯網上,它就會隨機確定IP位址掃描445埠的開放情況,如果是開放的狀態則嘗試利用漏洞進行感染;如果機器在某個局域網裡,它會直接掃描相應網段來嘗試感染。

 

很多人會奇怪,攻擊工具明明是上個月洩露的,但是怎麼時隔一個月才集中爆發?一些安全專家發現,這些電腦其實早已被感染,也就是說,在一個月前永恆之藍早已像定時炸彈一樣被安在各個系統中,只是5月12日那天才被啟動。

 

5月16日上午,殺毒軟體公司卡巴斯基(Kaspersky Lab)的研究室安全人員表示,他們在研究了早期蠕蟲病毒版本與2015年2月的病毒樣本發現,其中部分相似的代碼來自于卡巴斯基之前關注的朝鮮駭客團隊“拉撒路組”,代碼的相似度遠超正常程度。

 

因此,卡巴斯基認為這次WannaCrypt勒索病毒與之前的衝擊波病毒出自同一駭客團隊,同時,資訊安全領域的解決方案提供商賽門鐵克(Symantec)也發現了同樣的證據,安全專家Matt Suiche上午在推特(@msuiche)上公佈證據,表示遍及全球的勒索病毒背後可能是朝鮮駭客團隊“拉撒路組”的猜測。

 

為什麼要用比特幣支付?

 

比特幣(Bitcoin)是一種網路虛擬貨幣,在2009年被匿名的程式師創造之後作為開放資源發佈,除了通過採礦獲得,比特幣還可以兌換成其它貨幣。

 

其最大的特點是分散在整個網路上,完全匿名且不受各種金融限制,幾乎很難從一個比特幣帳戶追查到另一個。由此可知,比特幣自然成為駭客索要贖金的不二選擇。

 

在中了勒索病毒的情況下,移除勒索病毒、使用防毒軟體都無法打開加密檔,一些被侵入的企業會為了保護重要的文件而選擇在規定時間內支付比特幣贖金,截止到5月16日13時,跟這次病毒爆發相關的帳戶一共有36個比特幣的收益。

36個比特幣雖然看上去不值一提,但是從病毒爆發到現在,比特幣兌換的匯率一路猛漲,截止到5月16日13時,1比特幣相當於1700美元左右,約合人民幣11700元。

 

儘管如此,有幾個已經中招的用戶在網上向駭客求情,竟然真的被免費解鎖了……

 

5月14日下午,一個臺灣的受害者在社交軟體上向駭客求情:“我每月收入僅 400 美元,你真的要這樣對我嗎?”,結果沒想到,收到了駭客的回復並被免費解鎖了!

 

哪些地方的系統成為病毒重災區?

 

因為NSA的永恆之藍漏洞太強大了,除了更新了的Windows 10系統(版本1703)之外的其它Windows系統都可能受到漏洞影響。

 

目前已知的受影響的系統有: Windows Vista、Windows 7、Windows 8.1、Windows Server 2008(含R2)、Windows 2012(含R2)、Windows2016、已脫離服務週期的Windows XP、Windows Server 2003、Windows 8以及關閉自動更新的win10用戶。

英國醫院成為病毒入侵重災區的一個重要原因,就在於系統的落後,英國醫院的IT系統一直沒有及時更新,仍然在使用Windows XP系統,而Windows XP系統在2014年4月之後就沒有發佈更新的安全補丁了。

 

除了英國,義大利、德國、俄羅斯、西班牙等國家都大範圍爆發勒索病毒。

5月12日僅一夜之間,全世界就有超過99個國家遭到攻擊,共計七萬多起。

我們國家的內網受損害也很嚴重,尤其是高校的校園網,很多單位都在內網和外網之間部署了防火牆進行網路控制,但內網的安全反而多多少少有些被忽視,因為內網機器相互訪問的需求,再加上網路管理人員忽略了內網本身的安全控制,在不少企業的內網裡,絕大多數埠甚至是完全開放的狀態。這種情況下,電腦間的網路連接毫無限制,也就給了蠕蟲病毒以傳播機會。

 

內網的網路控制是靠內網網管來進行部署的,國內的大多數網路運營商都直接對445埠進行了封鎖,哪怕漏洞存在,因為埠無法訪問,病毒也自然就不能繼續傳播了。

如何應對WannaCrypt勒索病毒?

從病毒爆發到現在,已經有各路專業人士發佈過解決方法,簡單總結一下:

1、劃重點,電腦上的檔一定要備份,並且勤備份。注意不要備份在本機和網路硬碟上,備份盤也不要一直插在電腦上;

2、安裝反勒索防護工具,不要訪問可疑網站、不要打開可疑的電子郵件和檔,如果發現被感染,也不要支付贖金;

3、關閉電腦包括TCP和UDP協議135和445埠,尤其是Windows7系統,不要使用校園網;

4、安裝微軟發佈的修復“永恆之藍”攻擊的系統漏洞的補丁MS17-010,儘快升級安裝Windows作業系統相關補丁。

除了上面的措施,幕後的網路安全人員也在通宵奮戰。病毒爆發的第二天,一個英國安全人員分析了病毒的代碼,發現在代碼的開頭有一個功能變數名稱位址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,從病毒開始侵入之後訪問量激增。

於是他花錢把這個功能變數名稱註冊了下來,結果發現這個功能變數名稱接到了幾乎全世界的電腦上!隨後,安全人員進一步分析發現,這是病毒作者留給自己的緊急停止開關。

在代碼中提到,每一個被感染的電腦在發作前都會訪問這個功能變數名稱,而如果這個功能變數名稱不存在,就會一直繼續傳播下去,一旦被註冊就會停止傳播。

因為一次意外,安全人員還繪製出了攻擊地圖...

什麼是WannaCry勒索病毒?關於WannaCry想哭病毒的詳細解讀

地圖上的每一個藍點都代表著被攻擊的電腦,並且有可能繼續攻擊同一網路中的其它電腦。

 

在安全人員晝夜不停地努力之下,有效阻止了進一步大範圍爆發的可能,人們的安全意識也普遍提高了。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: