燕麥云何洋開講 | 2分鐘看懂黑客勒索病毒事件 教你如何防範

就在剛剛過去的周末,凌晨時分我接到英國朋友打來的電話,他略帶驚恐的告訴我,英國數十家醫院的電腦系統受到黑客攻擊陷入癱瘓。醫生不能查看病人病歷、救護車無法派遣、甚至連X光都照不了,英國整個醫務系統都陷入一場史無前例的混亂中。

我此前留學英國學的就是計算機科學(Computer Science),我印象中的英國醫務、乃至整個公共服務系統,還從未發生過如此大規模的網路黑客攻擊事件。

第一時間去了解事實後,我發現這是一次涉及近百個國家(包括中國在內)的惡性全球信息安全犯罪,包括紐約時報在內的國外主流媒體都在頭版對此事進行了報道,行業社群中相關的討論也如火如荼——在日漸成熟的互聯網信息社會,黑客已經成為對人類社會殺傷力最大的「隱形恐怖分子」,威脅越來越大。

先梳理一下整個事件的脈絡:

英國國家衛生服務部門(National Health Service,簡稱NHS)管理所有公立醫院,它的電腦系統存儲和管理著全部醫院的數據。黑客入侵了NHS的電腦系統,使英國各地醫院和衛生部門電腦上的文件都感染了一種新型病毒。這種新型病毒對文件惡意加密,然後要求電腦使用者付款解密文件,從而導致了英國公共服務系統癱瘓。

受害者在「中招」後會看到一個彈窗,要求使用者支付價值300美元的比特幣來解密自己的文件,三天內沒有完成支付,贖金將會翻倍。

不止是英國,西班牙、義大利、葡萄牙、俄羅斯等國家也陸續爆出大量的感染案例,全球有超過74個國家的百萬台電腦在短時間內遭到感染。

毫無意外的,中國也成了重災區。就在同一天,大量中國電腦的感染案例在網上曝光,全國數十家知名高校、石油系統、公安系統也被波及。電腦受感染後出現的癥狀與英國NHS一樣,病毒通過對大學生畢業設計等重要文件進行惡意加密,對受害者實行勒索。

這是一場名副其實的全球IT劫難。由於黑客的主要目的是勒索錢財,這種病毒又被稱為勒索病毒。而受害者在「中招」後,電腦文件會被加密成後綴為「.onion」的文件,所以這種病毒在前期被稱為onion勒索病毒。隨著病毒感染範圍的不斷擴大,幾乎每一台被感染的電腦都會彈出一個名為「Wanna Decryptor 2.0」的勒索窗口,因此更多的人把這種病毒稱之為「WannaCry」,即「想哭」的意思。但很多人可能不知道,勒索病毒還有一個更優雅的名字——「永恆之藍」。

「永恆之藍」的出身頗具神秘色彩。程序猿圈中流行的說法是,它可能與幾年前愛德華·斯諾登(Edward Snowden)曝光的美國國家安全局(National Security Agency,簡稱NSA)秘密監控項目「稜鏡計劃」有著千絲萬縷的聯繫。

2016年8月,一個名為「Shadow Brokers」的黑客組織疑似獲得了「稜鏡計劃」中的一些機密網路工具,其中有個叫做「EternalBlue」的網路攻擊工具,即「永恆之藍」。而「永恆之藍」遭泄露後,一些黑客對這一工具進行了修改,就變成了今天的這個勒索病毒。上文提到的勒索病毒很可能就是「永恆之藍」的一個最新變種。

「永恆之藍」的攻擊特性,是利用搭載微軟系統(windows)的電腦開放的445埠進行感染;只要windows電腦開機上網,它就能悄無聲息地植入到電腦或伺服器中進行惡意文件加密。這個445埠,本身就是一個毀譽參半的網路埠——有了它,我們可以在區域網中輕鬆訪問各種共享文件夾或共享印表機;但也正因為有了它,才給了黑客可乘之機。

在如今這個互聯網如此發達的年代,我們早就不需要通過445埠來共享文件和控制印表機了,因此一些網路運營商早在2008年就已對它進行了禁用。而幾乎所有在這次全球性IT劫難中遭到「永恆之藍病毒」攻擊勒索的受害者,中招原因就是因為開放了445埠。

事到如今,網上已經有了大量關於如何在電腦中關閉445埠的教程。亡羊補牢,也算是可以應付一時的威脅。但是,與其每次都是在傷害發生後再去補救,不如一開始就防微杜漸。

在多年從事企業信息管理與安全服務過程中,我越來越切身感受到,「企業信息化」需要管理者和業務人員轉變傳統IT使用思維,才能真正規避風險、提升效率;也才能擺脫一次次後知後覺的窘境,輕鬆應對下一個類似「永恆之藍」的威脅。

針對病毒防範,我有以下三點建議。

1、克服對IT的抵觸心理和自身惰性,意識到、並突破不好的用戶習慣。

這次「永恆之藍」事件,微軟早在2017年3月14日就推送了面向vista或以上系統的安全更新補丁,為什麼還會有那麼多人受害?其中一個重要原因就是,受害者中有相當一部分人還在使用windows XP這個被淘汰的操作系統。

升級麻煩、舊軟體不兼容、不願學習新的軟體操作、一些競爭廠商的不實宣傳等,導致了現在的結果。但本質上,這是我們的懶惰心理在作祟;或者,用一個好聽一些的說法——我們稱之為「用戶習慣」。

我一直認為,推陳出新、堅持作對的事情,而不是一直抱著舊有的、錯誤的習慣不放,本身就是一種可貴的習慣。「習慣於打破舊有習慣」,勇於學習和接納新知識,這是在信息時代立於不敗之地的思想基礎。

2、學習並獨立判斷新技術的價值。

許多唯利益論者認為,微軟公司之所以每隔幾年就推出一套操作系統,無非是為了賺錢;現有系統已經完全夠用,沒有升級的必要。

在我看來,「賺錢」的前提是「有沒有帶來價值」,這恰恰是很多人忽略的重點。電腦病毒和外在威脅不斷推陳出新,如果我們依然抱著偏見和舊觀念,不在學習和認知新形勢的基礎上作出獨立判斷,必然會受到傷害,這次肆虐全球的「永恆之藍」事件就給我們敲響了警鐘。

事實上,開啟了windows10自動更新的電腦,可以對「永恆之藍」免疫,而用戶從舊系統升級到windows10,微軟公司是給過一年免費升級期的。操作系統在目前微軟的營收總佔比已低於10%,對於微軟來說,雲生態才是未來盈利的方向。掌握這些IT信息,對管理者作出正確決策至關重要。

3、永遠把「安全」放在保存管理文件的第一位。

我們平日常見的系統安全防衛手段,如殺毒軟體、防火牆、安全補丁等其實是一種被動防護。

我們永遠不知道下一個IT威脅會發生在哪裡,所以只能儘可能封堵風險係數高的漏洞,或者加快應急響應速度。

但對企業來說,一味加強正面安全防衛並不能預防所有威脅,我們也需要一個危機預案,一個兜底的方案去保障文件安全。它的重點在於,哪怕事故發生了,我們也能掌握控制權。對「永恆之藍」事件來說,將文件進行妥善的保管和備份就是一個兜底方案。它可以做到就算文件被黑客惡意加密了,我們還有一套完整的數據可供使用。

對企業的商業機密和個人保密文件來說,若不想在互聯網上有任何文件存留痕迹,我更推薦使用私有雲的方式進行保存和備份。

最後我給企業一個小貼士:基於Linux系統的技術原理和其在伺服器領域的良好口碑,使用基於Linux系統的私有雲要比使用基於windows系統的私有雲要更安全。

延伸閱讀

黑客(Hacker)和駭客(Cracker)的區別

黑客最早源自英文hacker,早期在美國的電腦界是帶有褒義的。但在媒體報導中,黑客一詞往往指那些「軟體駭客」(software cracker)。

黑客一詞,原指熱心於計算機技術,水平高超的電腦專家,尤其是程序設計人員。 但到了今天,黑客一詞已被用於泛指那些專門利用電腦搞破壞或惡作劇的傢伙。對這些人的正確英文叫法是Cracker,有人翻譯成「駭客」。

黑客和駭客根本的區別是:黑客們建設,而駭客們破壞。

黑客一詞一般有以下四種意義:

1、對(某領域內的)編程語言有足夠了解,可以不經長時間思考就能創造出有用的軟體的人。

2、惡意(一般是非法地)試圖破解或破壞某個程序、系統及網路安全的人。這個意義常常對那些符合條件1的黑客造成嚴重困擾,他們建議媒體將這群人稱為「駭客」(cracker)。有時這群人也被叫做「黑帽黑客」。

3、試圖破解某系統或網路以提醒該系統所有者的系統安全漏洞的人。這群人往往被稱做「白帽黑客」或「匿名客」(sneaker)或紅客。許多這樣的人是電腦安全公司的僱員,並在完全合法的情況下攻擊某系統。

4、通過知識或猜測而對某段程序做出(往往是好的)修改,並改變(或增強)該程序用途的人。

有疑問?歡迎與我微信直聯:qyc515


推薦閱讀:

電腦上有什麼比較靠譜的殺毒軟體?
國產病毒國外作惡 界面LOGO「撞衫」國內上市公司產品
感染全球100個國家的勒索軟體WannaCry可以破解!但可怕的是...
警惕釣魚郵件——近期勒索軟體高發
WannaCry病毒利用漏洞--ms17010(永恆之藍)批量自檢工具

TAG:黑客Hacker | 計算機病毒 | WanaDecrypt0r20計算機病毒 |