精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業(yè)動態(tài) → 正文

“勒索病毒”侵襲全球 貓鼠游戲上演

責任編輯:editor004 作者:韓依民 |來源:企業(yè)網(wǎng)D1Net  2017-05-15 09:57:53 本文摘自:騰訊科技

一場互聯(lián)網(wǎng)領(lǐng)域的“生化危機”正在全球上演。令人不安的情況仍在繼續(xù):WannaCry病毒還在擴張自己的領(lǐng)地。

這大概是世界上成名最快的一款互聯(lián)網(wǎng)程序,從5月12日開始,在短短24小時內(nèi),由于罕見的傳播速度以及嚴重的破壞性,勒索病毒W(wǎng)annaCry已經(jīng)成為全球關(guān)注的焦點。

2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計算機,該蠕蟲感染計算機后會向計算機中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后,病毒會提示支付價值相當于300美元(約合人民幣2069元)的比特幣才可解鎖。目前已經(jīng)波及99個國家。

在WannaCry攻城拔寨的傳播過程中,5月13日晚間,由一名英國研究員于無意間發(fā)現(xiàn)的WannaCry隱藏開關(guān)(Kill Switch)域名,意外的遏制了病毒的進一步大規(guī)模擴散。

獲知此消息的云縱首席科學家及研發(fā)副總裁鄭昀忍不住在微博感嘆,“這個事件從頭到尾都像是一部電影,開始的離奇,結(jié)束的詭異。”

但事情遠未結(jié)束,現(xiàn)實證明Kill Switch的發(fā)現(xiàn)只是一個插曲。

5月14日,在停止開關(guān)被發(fā)現(xiàn)18小時后,國家網(wǎng)絡(luò)與信息安全信息通報中心發(fā)布新變種預(yù)警:WannaCry 2.0即將來臨;與之前版本的不同是,這個變種取消了Kill Switch,不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播,該變種傳播速度可能會更快。

截至14日10時30分,國家互聯(lián)網(wǎng)應(yīng)急中心已監(jiān)測到約242.3萬個IP地址遭受“永恒之藍”漏洞攻擊;被該勒索軟件感染的IP地址數(shù)量近3.5萬個,其中中國境內(nèi)IP約1.8萬個。

同時,由于WannaCry大規(guī)模爆發(fā)于北京時間上周五晚8點,國內(nèi)還有大量政企機構(gòu)網(wǎng)絡(luò)節(jié)點尚在關(guān)機狀態(tài)。因此,今日周一開機已經(jīng)是一場安全考驗。

新的危險正在步步逼近,而人們目前對WannaCry病毒本身所知依然有限。

神秘謎團

WannaCry的傳播路徑是個謎團,互聯(lián)網(wǎng)安全廠商們?nèi)詿o法確切還原。

病毒最先在英國大規(guī)模爆發(fā),影響范圍波及醫(yī)療體系,一些手術(shù)被迫中止。國內(nèi),在病毒感染數(shù)據(jù)達到被監(jiān)測機構(gòu)注意到的閾值之前,首先讓外界注意到這一病毒的,是國內(nèi)社交網(wǎng)絡(luò)上不少大學生反映學校網(wǎng)絡(luò)故障的言論。

5月12日,多個高校發(fā)布了關(guān)于連接校園網(wǎng)的電腦大面積中勒索病毒的消息,一位來自桂林科技大學的同學對騰訊科技證實,該校某創(chuàng)新實驗基地幾百臺電腦由于受到勒索病毒的攻擊,已經(jīng)陷入癱瘓。

感染范圍很快從校園網(wǎng)蔓延出去,根據(jù)統(tǒng)計,國內(nèi)包括校園網(wǎng)用戶、機場、銀行、加油站、醫(yī)院、警察、出入境等事業(yè)單位都受到了攻擊并且中毒。

騰訊安全團隊在溯源中發(fā)現(xiàn),病毒爆發(fā)是在校園網(wǎng)用戶里,但從哪開始不詳。獵豹移動安全專家李鐵軍(微博)則表示,病毒的來源和傳播路徑目前沒有結(jié)論,什么時間潛伏進內(nèi)網(wǎng)的,都需要更多研究來分析。

好消息一度在病毒大肆傳播24小時后傳出,12日晚間8點多,有消息稱WannaCry被互聯(lián)網(wǎng)安全人員找到阻止其傳播的方法,這一消息隨后得到國內(nèi)多家安全廠商的證實。

被意外發(fā)現(xiàn)的Kill Switch同樣是個謎團。

沒人能回答病毒作者因何為WannaCry設(shè)置了停止開關(guān),安全專家們只能給出如下推測:可能是編碼錯誤,也可能是作者沒想到;可能源于作者擔心病毒無何止傳播。總之,沒有定論。

Kill Switch是WannaCry眾多謎團中的一個,同樣讓人感到困惑的,還有WannaCry的勒索行為本身。

病毒被傳播后,繳納贖金的人數(shù)在持續(xù)增長,根據(jù)騰訊安全團隊提供的數(shù)據(jù),截至5月13日晚間,全球共有90人交了贖金,總計13.895比特幣,價值超過14萬,到了5月14日下午四點半,繳納贖金的人數(shù)增長至116人。

盡管目前安全專家們?nèi)晕凑业浇饷懿《靖腥疚募姆椒ǎヂ?lián)網(wǎng)安全專家們堅持建議受感染用戶不要繳納贖金。

原因在于,“WannaCry的勒索行為似乎無法構(gòu)成一個完整的業(yè)務(wù)回路,”反病毒引擎和解決方案廠商安天實驗室創(chuàng)始人、首席技術(shù)架構(gòu)師肖新光介紹,在繳納贖金解密文件這個問題上,“我們的判斷和網(wǎng)上的傳聞(繳納贖金成功解密)有出入,即支付了贖金也無法解密。因為每個用戶都是個性化的密鑰,意味著受害人需要向攻擊者提供標識身份的信息。”

而實際上受害者在繳納贖金的過程中無法提供標識身份的信息,因此,這意味著即使受害者交了贖金,依然無法獲得解密。

對于這種情況,肖新光分析原因可能在于“我們的分析過程中不夠縝密”。但騰訊安全團隊得出了同樣的結(jié)論:經(jīng)驗證,交錢的過程,作者并沒有核實受害者的邏輯,只是收了錢,并沒有幫忙解密。這顯然并非巧合。

肖新光給出另外兩種可能的推測:“或者可能是作者根本就沒有想解密;還有一種可能是,這是事件本身不是以勒索為目的,而是以勒索者的表現(xiàn)達到其他目的。”

一個謎團接著另一個謎團,解開它們是戰(zhàn)勝WannaCry的關(guān)鍵。

互聯(lián)網(wǎng)“生化危機”

戲劇般的場景正在由0和1組成的二進制世界中發(fā)生,離奇程度堪比電影。

WannaCry來勢洶洶,可能會成為有史以來危害最大的蠕蟲病毒。騰訊安全團隊將WannaCry的傳播方式和影響力與此前聲名大噪的“沖擊波”、“Conficker”對等。

沖擊波病毒(W32.Blaster.Worm)是利用在2003年7月21日公布的RPC漏洞進行傳播的,該病毒于當年8月爆發(fā),由于沖擊波病毒肆虐全球,部分運營商在主干網(wǎng)絡(luò)上封禁了445端口。五年后,Conficker蠕蟲病毒于2008年“襲”卷全球的,當時有近200個國家的至少900萬臺電腦被感染。

Conficker爆發(fā)后近十年的平靜隨著WannaCry的發(fā)作被打破,騰訊安全團隊介紹,WannaCry與“沖擊波”、“Conficker”不同的地方在于,其危害程度遠超當時的病毒,因為該病毒會加密用戶機器上的所有文檔,損失相當慘重。

幾乎所有互聯(lián)網(wǎng)安全團隊們都在通宵加班,病毒傳播速度非常快,安全專家們必須爭取時間。

WannaCry的作者看上去野心勃勃,據(jù)了解,其設(shè)置了27國語言,這并不常見。

肖新光介紹,最早的勒索者就用英文版,后來逐漸的擴散到不同的國家,為了獲得更大的收益,從語言包的數(shù)量上對勒索軟件來說是比較多的,是一個漸進的過程。

但27種語言仍舊是不同尋常的。李鐵軍對騰訊科技介紹,很長時間以來,勒索病毒都支持多國語言,但一般的勒索病毒支持的語言為6、7種,大部分在10種以內(nèi),“這個版本支持的語言真多。”

中文版本中,WannaCry 以流暢的表述威脅著中毒用戶:“對半年以上沒錢付款的窮人,會有活動免費恢復(fù),能否輪到你,就要看您的運氣怎么樣了。”對于中文解析流暢是否意味著病毒作者可能來自中國的猜測,安全專家們分析WannaCry有可能是團隊作案,團隊成員可能遍布不同國家。據(jù)騰訊安全團隊介紹,目前來看受WannaCry危害最大的應(yīng)是俄羅斯。

WannaCry的實際傳播情況確實沒有辜負其精心準備的27種語言,目前,已經(jīng)有近百個國家遭遇病毒攻擊。

蠕蟲病毒的特性是WannaCry得以迅速傳播的重要原因,與其他病毒相比,蠕蟲病毒的傳播速度要快太多,因為病毒自身可以尋找傳播下一個可攻擊的目標。

WannaCry得以獲得如此快速傳播的另一個重要原因在于,采用了前不久美國國家安全局NSA被泄漏出來的MS17-010漏洞。

在肖新光看來,WannaCry得以產(chǎn)生如此傳播效果的主要原因在于“使用了一個較新的對多個Windows版本有通吃能力的遠程溢出漏洞,這一漏洞本來是情報機構(gòu)高度隱秘網(wǎng)絡(luò)軍火,但因失竊流失導(dǎo)致被多方利用。”

因此,肖新光對WannaCry事件的定義是“軍火級的漏洞被以非受控的方式使用。”

美國國家情報機關(guān)的涉入讓WannaCry變得更加復(fù)雜,國家權(quán)力機關(guān)的涉入已經(jīng)引發(fā)外界對網(wǎng)絡(luò)安全的擔憂,逃亡至俄羅斯的NSA前雇員愛德華·斯諾登5月13日發(fā)布推特建議國會質(zhì)詢NSA,“鑒于今日的攻擊,國會需要質(zhì)詢@NSAgov,看它是否還知道我們醫(yī)院所使用的軟件中還有其他漏洞。”

沒有人希望電影生化危機中由部分決策機構(gòu)私利驅(qū)動造成的災(zāi)難在互聯(lián)網(wǎng)世界重復(fù)上演。

貓鼠游戲

WannaCry具備了一款超級病毒應(yīng)有的特點:神秘、快速以及嚴重的破壞。終止這場貓鼠游戲是網(wǎng)絡(luò)安全專家們的共同目標。

“估計全球安全人員都想把病毒作者扒出來。”李鐵軍對騰訊科技說道。

采集樣本、進行分析、形成對策建議是安全團隊們的基本應(yīng)對模式。

騰訊安全團隊在5月12日下午2點多感知到這波蠕蟲病毒、晚上開始爆發(fā)后,第一時間對敲詐者病毒進行了攔截防御、對漏洞進行了防御,同時引導(dǎo)用戶去打補丁、關(guān)閉高危端口(445端口等),并推出了“文檔守護者”產(chǎn)品;5月14日推出了針對易感的企業(yè)客戶推出了一個電腦管家“管理員助手”診斷工具。

監(jiān)測到WannaCry病毒發(fā)作的當天即5月12日晚間八點,安天實驗室立刻啟動了A級即最高級災(zāi)難響應(yīng),此前的同級別病毒或安全疫情有紅色代碼、震蕩波、沖擊波、破殼等。

啟動了A級災(zāi)難響應(yīng)后,安天實驗室首先派出一部分人員去現(xiàn)場采集病毒樣本、觀測主機和網(wǎng)絡(luò)現(xiàn)象,涉及十個不同的行業(yè),因需保護客戶隱私,安天實驗室未透露中毒的具體企業(yè)名稱。

情況顯然相當嚴重,實際上,并非每一次病毒爆發(fā)都需要實驗室研發(fā)人員前往現(xiàn)場采集樣本,肖新光介紹,上一次出現(xiàn)大面積類似操作的針對IoT僵尸網(wǎng)絡(luò)進行的取證分析。而研發(fā)人員現(xiàn)場采集回來的樣本接近30個,包含母體和釋放的文件。

采集樣本的同時,研發(fā)人員進行后臺分析、樣本分析,另一部分研發(fā)人員則形成對策建議、應(yīng)急方案,開發(fā)分析、免疫工具。

金山毒霸研發(fā)團隊同樣一直在加班,抓緊分析病毒,開發(fā)免疫工具,提供應(yīng)急補丁,升級了毒霸的防御系統(tǒng)。

由于事件出現(xiàn)在周末,當前來看后果還沒有完全體現(xiàn)出來,隨著周末過后的工作日來臨,病毒傳播進一步發(fā)展的風險很高。尤其高校、企業(yè)、政府機關(guān)等內(nèi)網(wǎng)用戶仍屬于高危感染人群,因此,對安全團隊們而言,當前最緊要的任務(wù)是保證行業(yè)用戶在周一開機投入使用的時候規(guī)范化操作,能夠盡量的去減少損失。

為此,包括騰訊安全團隊、安天實驗室在內(nèi)的安全團隊已經(jīng)推出了針對周一開機的解決方案。

此前騰訊電腦管家已經(jīng)發(fā)布“勒索病毒免疫工具”及“勒索病毒免疫工具離線版”,用戶只要掌握正確處置方法,通過電腦管家勒索病毒免疫工具,就可以加固電腦以免被感染。

對于企業(yè)而言,如果管理員在不確定電腦是否被感染的情況下,可以使用騰訊電腦管家的“管理員助手”診斷工具進行檢測。下載后,輸入目標電腦的IP或者設(shè)備名稱,即可診斷目標電腦是否存在被感染勒索病毒的漏洞,可在診斷報告的指導(dǎo)下,對尚未打補丁的健康設(shè)備及時打補丁、布置防御。

然而在加密可破解性、可恢復(fù)性到底有多大、這個病毒能不能進行有效的溯源等問題上,目前全球安全專家還沒有實質(zhì)性的突破。

隨著WannaCry變種的預(yù)警出現(xiàn),可以預(yù)見,短期內(nèi)安全專家們與病毒作者間的貓鼠游戲還將持續(xù)一段時間。基于此,安全專家們普遍建議用戶們應(yīng)該及時安裝系統(tǒng)補丁,打開主機防火墻,關(guān)閉不使用的服務(wù)和端口,及時升級病毒庫。

騰訊安全反病毒實驗室負責人馬勁松表示,雖然目前監(jiān)控到的數(shù)據(jù)并沒有完全證實WannaCry 2.0勒索病毒已經(jīng)來襲,但出現(xiàn)新變種的可能性非常大,廣大用戶務(wù)必強化網(wǎng)絡(luò)安全意識,陌生鏈接不點擊,陌生文件不要下載,陌生郵件不要打開,電腦安裝并開啟殺毒軟件。

由WannaCry帶來的反思已經(jīng)在進行,李鐵軍認為,“WannaCry影響比較大,應(yīng)該說對所有人上了一課。網(wǎng)民幾乎已經(jīng)忘了電腦病毒這個東西,以為自熊貓燒香后,病毒已經(jīng)不見了。其實,不是病毒不見了,而網(wǎng)民看不見而已。病毒一直都在,龐大的黑色產(chǎn)業(yè)鏈越來越專業(yè),隱藏越來越深,也基本上不破壞系統(tǒng),目標只是賺錢。網(wǎng)民看不見了。開始以為病毒都是安全廠商瞎忽悠。所以,這個病毒事件,會讓網(wǎng)民重新警覺起來。一定會對中國的網(wǎng)絡(luò)安全產(chǎn)生正面影響。”

肖新光眼中,刻意強調(diào)是惡意的攻擊行為來推動了安全的進步,這個價值觀是有問題的,但“從規(guī)律性來看,人類歷史上所有的巨大災(zāi)難都是以巨大進步為補償。”

關(guān)鍵字:wannacry貓鼠游戲

本文摘自:騰訊科技

x “勒索病毒”侵襲全球 貓鼠游戲上演 掃一掃
分享本文到朋友圈
當前位置:安全行業(yè)動態(tài) → 正文

“勒索病毒”侵襲全球 貓鼠游戲上演

責任編輯:editor004 作者:韓依民 |來源:企業(yè)網(wǎng)D1Net  2017-05-15 09:57:53 本文摘自:騰訊科技

一場互聯(lián)網(wǎng)領(lǐng)域的“生化危機”正在全球上演。令人不安的情況仍在繼續(xù):WannaCry病毒還在擴張自己的領(lǐng)地。

這大概是世界上成名最快的一款互聯(lián)網(wǎng)程序,從5月12日開始,在短短24小時內(nèi),由于罕見的傳播速度以及嚴重的破壞性,勒索病毒W(wǎng)annaCry已經(jīng)成為全球關(guān)注的焦點。

2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計算機,該蠕蟲感染計算機后會向計算機中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后,病毒會提示支付價值相當于300美元(約合人民幣2069元)的比特幣才可解鎖。目前已經(jīng)波及99個國家。

在WannaCry攻城拔寨的傳播過程中,5月13日晚間,由一名英國研究員于無意間發(fā)現(xiàn)的WannaCry隱藏開關(guān)(Kill Switch)域名,意外的遏制了病毒的進一步大規(guī)模擴散。

獲知此消息的云縱首席科學家及研發(fā)副總裁鄭昀忍不住在微博感嘆,“這個事件從頭到尾都像是一部電影,開始的離奇,結(jié)束的詭異。”

但事情遠未結(jié)束,現(xiàn)實證明Kill Switch的發(fā)現(xiàn)只是一個插曲。

5月14日,在停止開關(guān)被發(fā)現(xiàn)18小時后,國家網(wǎng)絡(luò)與信息安全信息通報中心發(fā)布新變種預(yù)警:WannaCry 2.0即將來臨;與之前版本的不同是,這個變種取消了Kill Switch,不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播,該變種傳播速度可能會更快。

截至14日10時30分,國家互聯(lián)網(wǎng)應(yīng)急中心已監(jiān)測到約242.3萬個IP地址遭受“永恒之藍”漏洞攻擊;被該勒索軟件感染的IP地址數(shù)量近3.5萬個,其中中國境內(nèi)IP約1.8萬個。

同時,由于WannaCry大規(guī)模爆發(fā)于北京時間上周五晚8點,國內(nèi)還有大量政企機構(gòu)網(wǎng)絡(luò)節(jié)點尚在關(guān)機狀態(tài)。因此,今日周一開機已經(jīng)是一場安全考驗。

新的危險正在步步逼近,而人們目前對WannaCry病毒本身所知依然有限。

神秘謎團

WannaCry的傳播路徑是個謎團,互聯(lián)網(wǎng)安全廠商們?nèi)詿o法確切還原。

病毒最先在英國大規(guī)模爆發(fā),影響范圍波及醫(yī)療體系,一些手術(shù)被迫中止。國內(nèi),在病毒感染數(shù)據(jù)達到被監(jiān)測機構(gòu)注意到的閾值之前,首先讓外界注意到這一病毒的,是國內(nèi)社交網(wǎng)絡(luò)上不少大學生反映學校網(wǎng)絡(luò)故障的言論。

5月12日,多個高校發(fā)布了關(guān)于連接校園網(wǎng)的電腦大面積中勒索病毒的消息,一位來自桂林科技大學的同學對騰訊科技證實,該校某創(chuàng)新實驗基地幾百臺電腦由于受到勒索病毒的攻擊,已經(jīng)陷入癱瘓。

感染范圍很快從校園網(wǎng)蔓延出去,根據(jù)統(tǒng)計,國內(nèi)包括校園網(wǎng)用戶、機場、銀行、加油站、醫(yī)院、警察、出入境等事業(yè)單位都受到了攻擊并且中毒。

騰訊安全團隊在溯源中發(fā)現(xiàn),病毒爆發(fā)是在校園網(wǎng)用戶里,但從哪開始不詳。獵豹移動安全專家李鐵軍(微博)則表示,病毒的來源和傳播路徑目前沒有結(jié)論,什么時間潛伏進內(nèi)網(wǎng)的,都需要更多研究來分析。

好消息一度在病毒大肆傳播24小時后傳出,12日晚間8點多,有消息稱WannaCry被互聯(lián)網(wǎng)安全人員找到阻止其傳播的方法,這一消息隨后得到國內(nèi)多家安全廠商的證實。

被意外發(fā)現(xiàn)的Kill Switch同樣是個謎團。

沒人能回答病毒作者因何為WannaCry設(shè)置了停止開關(guān),安全專家們只能給出如下推測:可能是編碼錯誤,也可能是作者沒想到;可能源于作者擔心病毒無何止傳播。總之,沒有定論。

Kill Switch是WannaCry眾多謎團中的一個,同樣讓人感到困惑的,還有WannaCry的勒索行為本身。

病毒被傳播后,繳納贖金的人數(shù)在持續(xù)增長,根據(jù)騰訊安全團隊提供的數(shù)據(jù),截至5月13日晚間,全球共有90人交了贖金,總計13.895比特幣,價值超過14萬,到了5月14日下午四點半,繳納贖金的人數(shù)增長至116人。

盡管目前安全專家們?nèi)晕凑业浇饷懿《靖腥疚募姆椒ǎヂ?lián)網(wǎng)安全專家們堅持建議受感染用戶不要繳納贖金。

原因在于,“WannaCry的勒索行為似乎無法構(gòu)成一個完整的業(yè)務(wù)回路,”反病毒引擎和解決方案廠商安天實驗室創(chuàng)始人、首席技術(shù)架構(gòu)師肖新光介紹,在繳納贖金解密文件這個問題上,“我們的判斷和網(wǎng)上的傳聞(繳納贖金成功解密)有出入,即支付了贖金也無法解密。因為每個用戶都是個性化的密鑰,意味著受害人需要向攻擊者提供標識身份的信息。”

而實際上受害者在繳納贖金的過程中無法提供標識身份的信息,因此,這意味著即使受害者交了贖金,依然無法獲得解密。

對于這種情況,肖新光分析原因可能在于“我們的分析過程中不夠縝密”。但騰訊安全團隊得出了同樣的結(jié)論:經(jīng)驗證,交錢的過程,作者并沒有核實受害者的邏輯,只是收了錢,并沒有幫忙解密。這顯然并非巧合。

肖新光給出另外兩種可能的推測:“或者可能是作者根本就沒有想解密;還有一種可能是,這是事件本身不是以勒索為目的,而是以勒索者的表現(xiàn)達到其他目的。”

一個謎團接著另一個謎團,解開它們是戰(zhàn)勝WannaCry的關(guān)鍵。

互聯(lián)網(wǎng)“生化危機”

戲劇般的場景正在由0和1組成的二進制世界中發(fā)生,離奇程度堪比電影。

WannaCry來勢洶洶,可能會成為有史以來危害最大的蠕蟲病毒。騰訊安全團隊將WannaCry的傳播方式和影響力與此前聲名大噪的“沖擊波”、“Conficker”對等。

沖擊波病毒(W32.Blaster.Worm)是利用在2003年7月21日公布的RPC漏洞進行傳播的,該病毒于當年8月爆發(fā),由于沖擊波病毒肆虐全球,部分運營商在主干網(wǎng)絡(luò)上封禁了445端口。五年后,Conficker蠕蟲病毒于2008年“襲”卷全球的,當時有近200個國家的至少900萬臺電腦被感染。

Conficker爆發(fā)后近十年的平靜隨著WannaCry的發(fā)作被打破,騰訊安全團隊介紹,WannaCry與“沖擊波”、“Conficker”不同的地方在于,其危害程度遠超當時的病毒,因為該病毒會加密用戶機器上的所有文檔,損失相當慘重。

幾乎所有互聯(lián)網(wǎng)安全團隊們都在通宵加班,病毒傳播速度非常快,安全專家們必須爭取時間。

WannaCry的作者看上去野心勃勃,據(jù)了解,其設(shè)置了27國語言,這并不常見。

肖新光介紹,最早的勒索者就用英文版,后來逐漸的擴散到不同的國家,為了獲得更大的收益,從語言包的數(shù)量上對勒索軟件來說是比較多的,是一個漸進的過程。

但27種語言仍舊是不同尋常的。李鐵軍對騰訊科技介紹,很長時間以來,勒索病毒都支持多國語言,但一般的勒索病毒支持的語言為6、7種,大部分在10種以內(nèi),“這個版本支持的語言真多。”

中文版本中,WannaCry 以流暢的表述威脅著中毒用戶:“對半年以上沒錢付款的窮人,會有活動免費恢復(fù),能否輪到你,就要看您的運氣怎么樣了。”對于中文解析流暢是否意味著病毒作者可能來自中國的猜測,安全專家們分析WannaCry有可能是團隊作案,團隊成員可能遍布不同國家。據(jù)騰訊安全團隊介紹,目前來看受WannaCry危害最大的應(yīng)是俄羅斯。

WannaCry的實際傳播情況確實沒有辜負其精心準備的27種語言,目前,已經(jīng)有近百個國家遭遇病毒攻擊。

蠕蟲病毒的特性是WannaCry得以迅速傳播的重要原因,與其他病毒相比,蠕蟲病毒的傳播速度要快太多,因為病毒自身可以尋找傳播下一個可攻擊的目標。

WannaCry得以獲得如此快速傳播的另一個重要原因在于,采用了前不久美國國家安全局NSA被泄漏出來的MS17-010漏洞。

在肖新光看來,WannaCry得以產(chǎn)生如此傳播效果的主要原因在于“使用了一個較新的對多個Windows版本有通吃能力的遠程溢出漏洞,這一漏洞本來是情報機構(gòu)高度隱秘網(wǎng)絡(luò)軍火,但因失竊流失導(dǎo)致被多方利用。”

因此,肖新光對WannaCry事件的定義是“軍火級的漏洞被以非受控的方式使用。”

美國國家情報機關(guān)的涉入讓WannaCry變得更加復(fù)雜,國家權(quán)力機關(guān)的涉入已經(jīng)引發(fā)外界對網(wǎng)絡(luò)安全的擔憂,逃亡至俄羅斯的NSA前雇員愛德華·斯諾登5月13日發(fā)布推特建議國會質(zhì)詢NSA,“鑒于今日的攻擊,國會需要質(zhì)詢@NSAgov,看它是否還知道我們醫(yī)院所使用的軟件中還有其他漏洞。”

沒有人希望電影生化危機中由部分決策機構(gòu)私利驅(qū)動造成的災(zāi)難在互聯(lián)網(wǎng)世界重復(fù)上演。

貓鼠游戲

WannaCry具備了一款超級病毒應(yīng)有的特點:神秘、快速以及嚴重的破壞。終止這場貓鼠游戲是網(wǎng)絡(luò)安全專家們的共同目標。

“估計全球安全人員都想把病毒作者扒出來。”李鐵軍對騰訊科技說道。

采集樣本、進行分析、形成對策建議是安全團隊們的基本應(yīng)對模式。

騰訊安全團隊在5月12日下午2點多感知到這波蠕蟲病毒、晚上開始爆發(fā)后,第一時間對敲詐者病毒進行了攔截防御、對漏洞進行了防御,同時引導(dǎo)用戶去打補丁、關(guān)閉高危端口(445端口等),并推出了“文檔守護者”產(chǎn)品;5月14日推出了針對易感的企業(yè)客戶推出了一個電腦管家“管理員助手”診斷工具。

監(jiān)測到WannaCry病毒發(fā)作的當天即5月12日晚間八點,安天實驗室立刻啟動了A級即最高級災(zāi)難響應(yīng),此前的同級別病毒或安全疫情有紅色代碼、震蕩波、沖擊波、破殼等。

啟動了A級災(zāi)難響應(yīng)后,安天實驗室首先派出一部分人員去現(xiàn)場采集病毒樣本、觀測主機和網(wǎng)絡(luò)現(xiàn)象,涉及十個不同的行業(yè),因需保護客戶隱私,安天實驗室未透露中毒的具體企業(yè)名稱。

情況顯然相當嚴重,實際上,并非每一次病毒爆發(fā)都需要實驗室研發(fā)人員前往現(xiàn)場采集樣本,肖新光介紹,上一次出現(xiàn)大面積類似操作的針對IoT僵尸網(wǎng)絡(luò)進行的取證分析。而研發(fā)人員現(xiàn)場采集回來的樣本接近30個,包含母體和釋放的文件。

采集樣本的同時,研發(fā)人員進行后臺分析、樣本分析,另一部分研發(fā)人員則形成對策建議、應(yīng)急方案,開發(fā)分析、免疫工具。

金山毒霸研發(fā)團隊同樣一直在加班,抓緊分析病毒,開發(fā)免疫工具,提供應(yīng)急補丁,升級了毒霸的防御系統(tǒng)。

由于事件出現(xiàn)在周末,當前來看后果還沒有完全體現(xiàn)出來,隨著周末過后的工作日來臨,病毒傳播進一步發(fā)展的風險很高。尤其高校、企業(yè)、政府機關(guān)等內(nèi)網(wǎng)用戶仍屬于高危感染人群,因此,對安全團隊們而言,當前最緊要的任務(wù)是保證行業(yè)用戶在周一開機投入使用的時候規(guī)范化操作,能夠盡量的去減少損失。

為此,包括騰訊安全團隊、安天實驗室在內(nèi)的安全團隊已經(jīng)推出了針對周一開機的解決方案。

此前騰訊電腦管家已經(jīng)發(fā)布“勒索病毒免疫工具”及“勒索病毒免疫工具離線版”,用戶只要掌握正確處置方法,通過電腦管家勒索病毒免疫工具,就可以加固電腦以免被感染。

對于企業(yè)而言,如果管理員在不確定電腦是否被感染的情況下,可以使用騰訊電腦管家的“管理員助手”診斷工具進行檢測。下載后,輸入目標電腦的IP或者設(shè)備名稱,即可診斷目標電腦是否存在被感染勒索病毒的漏洞,可在診斷報告的指導(dǎo)下,對尚未打補丁的健康設(shè)備及時打補丁、布置防御。

然而在加密可破解性、可恢復(fù)性到底有多大、這個病毒能不能進行有效的溯源等問題上,目前全球安全專家還沒有實質(zhì)性的突破。

隨著WannaCry變種的預(yù)警出現(xiàn),可以預(yù)見,短期內(nèi)安全專家們與病毒作者間的貓鼠游戲還將持續(xù)一段時間。基于此,安全專家們普遍建議用戶們應(yīng)該及時安裝系統(tǒng)補丁,打開主機防火墻,關(guān)閉不使用的服務(wù)和端口,及時升級病毒庫。

騰訊安全反病毒實驗室負責人馬勁松表示,雖然目前監(jiān)控到的數(shù)據(jù)并沒有完全證實WannaCry 2.0勒索病毒已經(jīng)來襲,但出現(xiàn)新變種的可能性非常大,廣大用戶務(wù)必強化網(wǎng)絡(luò)安全意識,陌生鏈接不點擊,陌生文件不要下載,陌生郵件不要打開,電腦安裝并開啟殺毒軟件。

由WannaCry帶來的反思已經(jīng)在進行,李鐵軍認為,“WannaCry影響比較大,應(yīng)該說對所有人上了一課。網(wǎng)民幾乎已經(jīng)忘了電腦病毒這個東西,以為自熊貓燒香后,病毒已經(jīng)不見了。其實,不是病毒不見了,而網(wǎng)民看不見而已。病毒一直都在,龐大的黑色產(chǎn)業(yè)鏈越來越專業(yè),隱藏越來越深,也基本上不破壞系統(tǒng),目標只是賺錢。網(wǎng)民看不見了。開始以為病毒都是安全廠商瞎忽悠。所以,這個病毒事件,會讓網(wǎng)民重新警覺起來。一定會對中國的網(wǎng)絡(luò)安全產(chǎn)生正面影響。”

肖新光眼中,刻意強調(diào)是惡意的攻擊行為來推動了安全的進步,這個價值觀是有問題的,但“從規(guī)律性來看,人類歷史上所有的巨大災(zāi)難都是以巨大進步為補償。”

關(guān)鍵字:wannacry貓鼠游戲

本文摘自:騰訊科技

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 屏东市| 城固县| 景德镇市| 教育| 元阳县| 堆龙德庆县| 德清县| 禹州市| 遂昌县| 乌拉特前旗| 肥东县| 行唐县| 旬邑县| 莒南县| 宿迁市| 加查县| 睢宁县| 姚安县| 苍山县| 昭觉县| 长阳| 中山市| 临潭县| 五家渠市| 武川县| 昌吉市| 赤壁市| 宿松县| 通化市| 锡林郭勒盟| 南雄市| 余江县| 莱西市| 山阴县| 仪陇县| 化隆| 宁蒗| 晋州市| 正定县| 绥棱县| 于都县|