5月12日,全球至少99個國家遭受一種電腦勒索軟件的攻擊。受害者最嚴重的包括英國的醫院、德國火車站系統、俄羅斯內政部,以及中國的一些高校。
此次襲擊中受影響最大的是英國醫院系統的電腦,許多等待急救和手術的病人被延誤。英國醫院系統還在使用至少有5年沒有更新過系統的Windows XP。
Twitter賬號為 @MalwareTechBlog的一名英國信息安全研究員發布消息警告稱,這場規模前所未有的危機還未結束,攻擊者還會嘗試更換代碼,并進行新的攻擊。他提醒用戶應立即更新到最新的操作系統,以免被二次感染。
另外,@MalwareTechBlog 自稱發現了隱藏在WannaCry中的一個“刪除開關”。根據開關機制,惡意軟件會向一個域名發送請求,如果請求得到響應,“刪除開關”就會生效,惡意軟件就將停止傳播。@MalwareTechBlog自稱花了10.69美元注冊了該域名,結果收到了每秒數千次的連接請求。
網絡安全公司Proofpoint的卡萊姆伯(Ryan Kalember)表示,這對延緩勒索病毒的傳播起到了巨大的作用。
電腦被這種勒索軟件感染后,通過電子郵件傳送的Word、PDF等文件會被加密鎖住并傳播給系統內的其他相連用戶。用戶要支付黑客所要求的贖金后才能解密恢復。據悉,勒索金額最高達5個比特幣,目前價值人民幣5萬多元。
此次勒索信息是用28種語言進行傳播的,這么大范圍的傳播也說明這種威脅的高級程度。
本次爆發的勒索軟件是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟件加密的文件。
目前還不清楚這一輪襲擊背后的“元兇”是誰,但新華社的報道稱,由于軟件名稱相似,這種勒索軟件可能是此前不法分子利用了美國國家安全局(NSA)網絡武器庫中泄漏出的黑客工具。這些軟件本來是NSA用來攻擊全球計算機的。
2016年8月,一個名為“Shadow Brokers”的黑客組織入侵了NSA下屬的黑客組織方程式組織(Equation Group),竊取了大量機密文件,并將部分文件公開到了網上。被公開的文件包括不少隱蔽的地下的黑客工具,“Shadow Brokers”以100萬比特幣售賣,但最終只收到了2比特幣。當時就有人懷疑這個組織夸大了其攻擊的范圍。
今年4月8日,宣布不再售賣黑客工具的“Shadow Brokers”免費公布了NSA文件保留部分的解壓縮密碼,有人將其解壓縮后的上傳到代碼托管網站Github提供下載,包括23個新的黑客工具。
4月15日,“Shadow Brokers”又披露了一些惡意軟件,包括最新的NSA黑客工具和漏洞利用代碼,它們針對微軟Windows 10之前的多個版本,目標包括環球銀行間金融通信系統(Swift)、IBM旗下的Lotus Domino、微軟Outlook Exchange WebAccess、甲骨文公司的數據庫等。
微軟公司在今年3月份就發布了該漏洞的補丁。但許多系統可能尚未更新安裝,因此仍未受到恰當的保護。據Net Market Share的數據,全球65%的桌面計算機安裝的都是不安全的Windows系統。
而網絡安全公司Agari的首席科學家Markus Jakobsson猜測,鑒于俄羅斯受攻擊的密集程度,發起這一輪攻擊的也有可能是來自俄羅斯的其他黑客。
本周五的大規模襲擊事件之后,斯諾登在Twitter上向前雇主NSA發難:“如果當時NSA能及時在發現受到攻擊時修補漏洞,而不是等到丟失后再行動,那么這次事件很可能就不會發生。現在國會應該下令NSA亡羊補牢。”
去年洛杉磯一家醫院遭遇了類似的勒索軟件攻擊,最終醫院向黑客支付了價值17000美元的贖金。
NSA的前合作公司Synack的首席執行官Jay Kaplan說,美國政府并不是唯一擁有這些黑客技術來保護安全的國家。
像很多國家的安全機構一樣,NSA會借助這些黑客工具來收集網絡武器以及普及型操作系統的漏洞和軟件,以用于收集情報或者參與網絡戰爭。截至目前,NSA尚未就此發表意見。
京公網安備 11010502049343號