核心提示

　　2017年5月12日，一個愜意的周末。英國倫敦的一位醫(yī)生打開了全民醫(yī)療系統(tǒng)NHS的界面，準(zhǔn)備查看今天的手術(shù)安排。但是，在Windows歡迎界面后迎接他的并非是NHS的登錄框，而是一個紅色對話框，上面寫著“你的文件已經(jīng)被加密了”。

　　2017年5月12日，一個愜意的周末。

　　英國倫敦的一位醫(yī)生打開了全民醫(yī)療系統(tǒng)NHS的界面，準(zhǔn)備查看今天的手術(shù)安排。

　　但是，在Windows歡迎界面后迎接他的并非是NHS的登錄框，而是一個紅色對話框，上面寫著“你的文件已經(jīng)被加密了”。

　　他發(fā)現(xiàn)，電腦上的所有軟件與文件都被加密無法打開，而同一辦公室的電腦都被鎖死，這意味著今天多位病人手術(shù)都按時無法進(jìn)行。

　　這位醫(yī)生不知道的是，不僅他所屬英國全民醫(yī)療系統(tǒng)NHS旗下的48家醫(yī)院受到這種病毒的沖擊，包括美國、俄羅斯、中國在內(nèi)，總共150個國家的30萬名用戶的電腦都被這種病毒入侵并鎖死。

　　這就是在全球范圍內(nèi)爆發(fā)，造成損失達(dá)80億美元的勒索病毒“WannaCry”。

　　毒如其名，感染者欲哭無淚

　　這款被稱為“WannaCry”（想哭）的蠕蟲病毒采用的是傳統(tǒng)的“釣魚式攻擊”，通過網(wǎng)頁鏈接或其他方式引誘用戶點擊并下載郵件、附件等看似正常的文件，從而完成病毒的入侵與安裝。

　　病毒會將用戶的電腦里所有文件的權(quán)限鎖死，并會在桌面彈出紅色勒索對話框，要求受害者支付價值三百美元的比特幣來“贖回”用戶自己的文件。

　　病毒爆發(fā)后不久，就有網(wǎng)絡(luò)專家根據(jù)其入侵方式與傳播方法，識別出這個病毒可能改造自之前泄露的NSA（美國國家安全局）黑客武器庫中的“永恒之藍(lán)”。“永恒之藍(lán)”的攻擊程序中，惡意代碼會掃描開放特定端口的Windows 機(jī)器，用戶只要開機(jī)上網(wǎng)，不法分子就可以對電腦和服務(wù)器進(jìn)行破壞。

　　由于教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)的電腦出于安全考慮，采用的是內(nèi)部局域網(wǎng)架構(gòu)，也沒有對相應(yīng)端口進(jìn)行封鎖與升級，成為此次蠕蟲病毒的重災(zāi)區(qū)。

　　來自紐約大學(xué)的計算機(jī)教授賈斯汀?坎波斯向看看新聞Knews記者解釋，此次勒索病毒之所以來勢洶洶，和根源代碼來自美國網(wǎng)絡(luò)武器庫不無關(guān)系。那些泄露的襲擊代碼，“使得那些原本沒有能力的黑客也能夠利用這些成型的代碼發(fā)動攻擊。”

　　修復(fù)之路，遠(yuǎn)不如想象中容易

　　勒索病毒的全球蔓延讓許多網(wǎng)絡(luò)安全專家都頭疼不已。在各大機(jī)構(gòu)爭相發(fā)布相應(yīng)指南和處理措施的同時，大量的網(wǎng)絡(luò)安全機(jī)構(gòu)都在對病毒的蔓延與傳播情況進(jìn)行監(jiān)控。

　　一個意外的插曲是，英國的一位網(wǎng)絡(luò)安全工程師哈欽斯注意到一款勒索軟件正不斷嘗試進(jìn)入一個并不存在的網(wǎng)址，于是他花8.5英鎊（約合75元人民幣）注冊了這個域名。不可思議的是，此后“Wannacry”勒索病毒在全球的蔓延得到大幅控制。

　　他和同事在事后分析，網(wǎng)址被注冊相當(dāng)于觸發(fā)了勒索軟件自帶的“自殺開關(guān)”。網(wǎng)址很可能是黑客設(shè)定的“檢查站”，每次發(fā)作前軟件會訪問網(wǎng)址，如網(wǎng)址不存在，說明安全人員尚未注意，可橫行無阻；若網(wǎng)址存在，為避免被“反攻”，勒索軟件會停止傳播。

　　哈欽斯的這一舉動為廣大還沒有遭受感染的用戶爭取了喘息時間，升級官方發(fā)布的補(bǔ)丁。

　　但很快，勒索病毒又出現(xiàn)新的變種“Wannacry 2.0”，開始新一輪的入侵攻勢。

　　在國內(nèi)，網(wǎng)絡(luò)安全公司也在積極行動。來自國家互聯(lián)網(wǎng)應(yīng)急中心的嚴(yán)寒冰告訴看看新聞Knews記者，5月13日所檢測的攻擊數(shù)量已經(jīng)超過了一百萬次，而到了5月14日，這個數(shù)字已經(jīng)翻了一倍，被感染機(jī)器數(shù)量也從1萬臺上升到3.5萬臺。

　　隨后到來的5月15日，是“Wannacry”病毒爆發(fā)后的第一個工作日。全國數(shù)千萬臺電腦會在這個周一被喚醒。如果不采取措施對這些電腦進(jìn)行保護(hù)，勒索病毒的感染范圍又將進(jìn)一步擴(kuò)大。

　　“周日的時候，我們專門寫了一個應(yīng)對勒索軟件蠕蟲的指南，給社會還有廣大的一些單位提供應(yīng)對蠕蟲的一些指導(dǎo)?！眹?yán)寒冰對記者說道。

　　金山、騰訊、360，幾乎所有國內(nèi)互聯(lián)網(wǎng)公司的安全部門都在周末發(fā)布了各自的應(yīng)急補(bǔ)丁。Wannacry的攻勢漸漸減弱，擴(kuò)散與感染程度被有效遏制。

　　網(wǎng)絡(luò)防御，亟需與時俱進(jìn)

　　值得注意的是，那些采用封閉內(nèi)網(wǎng)結(jié)構(gòu)的設(shè)施在此次攻擊中紛紛中招，比如銀行的ATM機(jī)、公司職員的電腦、加油站等。

　　究其原因，對個人電腦來說，可以自行學(xué)習(xí)相關(guān)知識并進(jìn)行修復(fù)；但是對于大型組織機(jī)構(gòu)而言，面對成百上千臺機(jī)器，必須使用集中管理的客戶端。尤其是之前沒有做好安全防護(hù)措施的大型機(jī)構(gòu)，這樣的問題處理起來十分棘手，其修復(fù)難度要更困難一些。

　　可以說，此前看起來固若金湯的內(nèi)網(wǎng)系統(tǒng)架構(gòu)，在此次勒索病毒危機(jī)中反而成為了幫助病毒擴(kuò)散的“幫兇”。

　　360公司創(chuàng)始人周鴻祎告訴看看新聞Knews記者，任何系統(tǒng)都有被攻破的可能，國內(nèi)內(nèi)網(wǎng)系統(tǒng)薄弱的根本原因是源于意識上的落后。許多單位認(rèn)為只要把內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離開來就能夠解決病毒的問題，如果網(wǎng)絡(luò)安全意識還停留在這種程度，自然難以應(yīng)對新型網(wǎng)絡(luò)攻擊。

　　他認(rèn)為，保障網(wǎng)絡(luò)安全更應(yīng)著重于網(wǎng)絡(luò)安全的策略建設(shè)和人才培養(yǎng)。

　　“許多單位都沒有成熟的網(wǎng)絡(luò)安全防護(hù)隊伍，在關(guān)鍵時刻沒有可執(zhí)行的防護(hù)預(yù)案，自然在受到攻擊的時刻不能及時進(jìn)行修復(fù)?！敝茗櫟t認(rèn)為，借助專業(yè)硬件防護(hù)的同時，也建立屬于自己的網(wǎng)絡(luò)安全團(tuán)隊，是傳統(tǒng)單位做好網(wǎng)絡(luò)防御的重要途徑。

?

相關(guān)鏈接：

?