勒索病毒「突襲」互聯網,網路安全戰爭就在我們身邊

10年前的2007年,瘦高個的李俊垂著腦袋,一臉懊喪的站在法庭上。在那一年的新聞里,他所製作的病毒「熊貓燒香」被媒體稱作「毒王」。正是這麼一個不起眼的小夥子,讓一隻手握焚香、憨態可掬的熊貓出現在無數電腦的屏幕上,使得億萬用戶叫苦不迭。當年「熊貓燒香」的惡化蔓延並不在李俊的計劃內,在病毒失控的時候,他也及時提供了專殺軟體,才讓這一場沸沸揚揚的「病毒」風波及早收場。

10年後的2017年5月12日,當人們已經遺忘上一次大規模的蠕蟲病毒帶來的「傷痛」時,一款危害大於「熊貓燒香」數倍的病毒「WannaCry」悄然而至。僅12日當天,全球就有99個國家約7.5萬台電腦受到侵蝕,其中包括英國、美國、中國、俄羅斯、西班牙和義大利等國家。感染了勒索病毒的用戶,電腦中數十種類型文件將被惡意加密,只有通過支付高額贖金才能恢復。據全球領先的安全服務提供商360提供的相關數據統計(覆蓋非360用戶),在5月12日至5月13日間,國內共出現29000多個感染「WannaCry 」勒索病毒的IP,感染領域覆蓋教育、商業、交通運輸、政府機關等多個行業,範圍之廣令人咋舌。

5月14日,「WannaCry」已出現感染速度更快、病毒危害更加不可逆的變種「WannaCry 2.0」,且攻擊速度呈快速增長趨勢。

「狼煙」何起?—揭秘勒索病毒起源

其實早在2013年,比特幣風靡的時候,這種新型的病毒模式就早已出現。不法分子通過加密用戶電腦中的文件來勒索高額贖金。由於這些案件多為比特幣勒索,使警方在追蹤過程中遇到了不小的困難。到了2015年,勒索病毒開始進入爆發期,不少黑客組織靠此獲得了上億的不法收入。但當時的勒索病毒仍依靠郵件和掛馬等方式傳播,無法形成全球範圍內的感染。

「WannaCry」明顯具有與以往不同的傳播速度和傳播路徑,而這一切都是一款名為「永恆之藍」的惡意代碼造成的。這款惡意代碼會自動掃描用戶Windows系統下的特定漏洞(微軟對應補丁為MS17-010),通過開放的445文件共享埠釋放加密程序。也就是說,用戶只要處於聯網環境下且未打MS17-010補丁,就有極大風險被感染。這次肆虐全球的「WannaCry」,就是不法組織利用「永恆之藍」製作的。

「永恆之藍」這麼危險的惡意代碼又是怎麼來的?在去年的8月份,一個名為 「Shadow Brokers(影子經紀人)」 的黑客組織費了老大的勁兒,入侵了另外一個黑客組織「Equation(方程式)」。當時,「Shadow Brokers(影子經紀人)」號稱竊取了大量機密文件,其中就包括「永恆之藍」。而在這個事件中很是受傷的「Equation(方程式)」,就是 NSA(美國國家安全局)下屬的黑客組織,這個組織一直對Windows系統漏洞有著深入的研究。所以,「永恆之藍」並不是什麼誕生於「市井」的「野孩子」,而是美國國家安全局(NSA)專門研發的網路武器。NSA在發現Windows多項埠漏洞後,並未通知微軟進行補救,而是隱瞞下來針對這個漏洞開發出了包括「永恆之藍」在內的一系列攻擊程序。這些網路武器一經「出生」就被用來攻擊特定的政府和企業目標,其中最典型的例子,就是NSA曾利用「永恆之藍」控制了幾乎整個中東的銀行和金融機構。

此後,「Shadow Brokers(影子經紀人)」把竊取到的攻擊代碼一部分開放下載,一部分公開出售,標價100萬比特幣,按行情來計算,高達100億人民幣。這些惡意代碼工具的流通,開始讓整個互聯網陷入巨大的風險中。此次「WannaCry」勒索病毒的肆虐,就是這些網路武器釀下的「惡果」。

「坐以待斃」還是「奮起抗爭」?—360「亮劍」受稱讚

2016年11月16日,世界互聯網大會火熱開幕。作為中國最大的互聯網安全公司,彼時的360已經完成私有化。在會上,當被問及360回歸的相關事宜時,360董事長周鴻禕坦言,「網路安全公司一定要和國家利益保持一致。回歸中國能讓360更好地投入到國家網路安全建設中。」響應國家號召,成為360決心「回歸」的不二動力。

僅僅在半年後,當「WannaCry」開始「血洗」互聯網的時候,360不負眾望的站了出來。5月12日下午3時,當「WannaCry」剛露苗頭時,360就領先絕大多數安全廠商公布了該病毒,並預測到它會利用NSA「永恆之藍」黑客武器大規模傳播。次日微軟推出針對舊系統的專項補丁,360進行了推送。之後,360還針對研究中發現的病毒「漏洞」,發現被感染文件的恢復可能,並在5月14日凌晨於全球首發了勒索病毒文件恢復工具,搶救用戶被加密勒索的文件。此外,針對「WannaCry」一聯網就感染的特點,360還開發出離線救災包,使用戶在斷網環境下一鍵解決勒索病毒「WannaCry」免疫和防護的問題。經過72小時的緊急處理,在以360為代表的安全行業努力下,終於將「WannaCry」的猖狂勢頭遏制了下來。

此次事件中,360極其迅速的反應,歸功於其長期在病毒監控和防禦領域的積累和探索。4月14日,當黑客組織「Shadow Brokers(影子經紀人)」公開放出「永恆之藍」攻擊程序的時候,360迅速在次日發布了漏洞預警、蠕蟲預警和獨家免疫工具。並且在4月27日,360還首次監測到「永恆之藍」用於傳播勒索病毒「洋蔥」。這一系列具有極強前瞻性的行為,正體現了360在行業內深厚的技術積累和強烈的網路安全責任感。在此次網路大災難中,尤為值得一提的是,國內5億360的用戶在勒索病毒的攻擊下並未受到影響,這完全是360安全衛士多重保護防禦措施的功勞。

此外,這次360能在第一時間首發多項專殺軟體和防護措施,還有賴於其內部全球頂級的漏洞研究和防禦團隊。這支擁有深厚技術積累的精銳部隊,對系統和應用軟體漏洞有著深入和獨到的研究和技術能力,曾獲得攻防世界「奧林匹克」的總冠軍,並多次受到微軟、Adobe、蘋果、谷歌等巨頭的認可和致謝。

此次事件,360贏得了廣大人民群眾的認可和稱讚。這次全球性的網路攻擊,再次凸顯了網路安全領域需要更多能力型的安全廠商,需要能夠真真正正的站在一線解決問題的企業。子超認為這次事件也讓我們對安全有了更深的認知,內網的安全其實也需要更多的關注。未來的IOT時代,數據更為重要,尤其是關聯性的大數據,手機的安全問題要比PC更為重要。未來真正能夠做好安全的企業,也一定是更具有社會責任感的企業。


推薦閱讀:

原來這就是席捲烏克蘭的勒索病毒用的後門
木馬開啟智能識別?深度解析新型變形惡意軟體LokiBot!
比特幣勒索軟體全球爆發,這些技巧幫你避免中招【實時更新】
「我還會回來的!" 這波勒索剛過,後續很可能洶湧而來...
勒索病毒軍隊有未中招?

TAG:网络安全 | 奇虎360 | 勒索病毒 |