“勒索病毒并非是一種病毒,而是一種商業模式,只要網絡環境中有財產可被獲取,就會出現無盡的變種”,360安全技術負責人鄭文彬告訴36氪。
勒索病毒最新“戰況”
自12日WannaCrypt(永恒之藍)勒索蠕蟲突然爆發以來至今,影響已經遍及近百國家,包括英國醫療系統、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害者,中國校園網和多家能源企業、政府機構也中招,被勒索支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失,全球至少有10萬臺機器被感染。
在中國,經過72小時全國動員和應急響應,感染和影響得到了基本控制,總體態勢平穩,但這種病毒的傳播情況至今仍然無法徹底遏制。
首先,來回望下這次勒索病毒的起源。
根據多家官方權威介紹,本次勒索病毒發行者是利用了去年被盜的美國國家安全局(NSA)自主設計的Windows系統黑客工具Eternal Blue“永恒之藍”,將2017年2月的一款病毒升級所致。WannaCrypt(永恒之藍)勒索蠕蟲是NSA網絡軍火民用化的全球第一例。
一個月前,第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布,包含了涉及多個Windows系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中就包括“永恒之藍”攻擊程序。
勒索者使用病毒的方式也很簡單,瞄準機構和個人重要文件,直接“放毒”,加密用戶電腦文件并勒索300美元贖金,3天后不交贖金就漲價到600美元,7天后不交贖金就撕票,被鎖的重要文件將被永久銷毀。
一個很現實的問題:勒索病毒為何就沒辦法徹底遏制?
一方面因為WannaCrypt利用公開的“永恒之藍”武器制作的蠕蟲型勒索病毒,一臺電腦感染后,會繼續掃描內網和互聯網上其他未免疫的系統,繼續感染這些系統,連鎖反應導致大規模感染爆發。
勒索病毒傳播圖。
另一個關鍵因素是勒索病毒使用的是可匿名比特幣支付,壓根追蹤不到病毒來源和背后勒索者。
事實上,根據比特幣交易平臺的公開數據顯示,截至5月15日晨,已經有136人交了贖金,總價值約3.6萬美元。
有人可能要問了,有比特幣的可以快速支付并解鎖,但沒有比特幣的人怎么辦?
別著急,勒索者都已經幫你想好了,這個病毒制造者可謂很貼心,在勒索頁面附有教程,直接可以通過網銀從分銷商那里購買比特幣,并且它支持十幾種語言,根據每個國家的國情不一樣,做非常完整的提示。
很貼心的支持多國語言,以及比特幣購買流程。
怎么樣,是不是很貼心?
事實上,勒索者還設置了一個更貼心的服務,那就是對半年沒付款的搞抽獎活動,抽中就可以免費給你解除,但沒有抽中就是運氣不好了。
這儼然就是一種商品的售賣和營銷模式啊,也恰恰驗證了鄭文彬所說的一整套勒索“商業模式”。
當然,這一次也并非勒索病毒首次爆發,2013年勒索病毒就出現了,只不過當時是通過郵件、掛馬傳播,2015年開始進入爆發期,目前已經有超過100種勒索病毒家族存在。有數據顯示,僅其中一個勒索病毒CryptoWall家族的一 個變種就收到23億贖金。
那么,問題來了,多年前已經得知的“商業模式”,為什么如今還會呈現大爆發態勢?
“可以說,目前對勒索病毒還沒有一個特別好的解決的方法,只能說是防御,但中了以后并沒有什么好的方法,這種情況下它還會發展出更多的變種,包括在不同的平臺,移動平臺、IoT,甚至是關鍵基礎信息設施上”,鄭文彬如是說。
除此之外,如前文所說,勒索病毒溯源一直是比較困難的問題,FBI曾經懸賞300萬美元找勒索病毒的作者,都沒有結果。因為它的整個操作體系非常成熟,完全是用比特幣和匿名網絡,目前全球都沒有發現作者是哪個國家的,它的目的是什么,沒有一個明確的消息。
這次中槍最多的為何是機構?
如果在以前,勒索病毒的人群多集中在個人,但這次不然,傷害最大的卻是大型機構,為什么?
比如,《每日郵報》的報道病毒爆發當天就表示,至少19家位于英格蘭和蘇格蘭的NHS所屬醫療機構遭到網絡攻擊,這些機構包括醫院和全科醫生診所。
病毒制造者為了謀取高額利潤,首選機構無可厚非,畢竟機構更具有支付的財力。
但另一個不可忽視的因素是機構安全市場的投入嚴重不足,一個數據顯示,中國整個安全市場占整個中國IT市場的投入是2%,而全球尤其是美國安全市場,占整個美國IT市場的也不過9%,兩個超級大國的投入已經如此,更不用提其他國家了。
這導致病毒來襲之后,安全系統弱的機構手足無措,漏洞更新也頗為困難,因為這可能牽涉到整個機構系統的大變動,這也是為何企業客戶明顯比互聯網個人用戶反應慢的原因所在。
除此之外,很多機構即便上線了最新的安全產品,但缺乏運營,因為如果沒有人經常檢查有沒有效果、漏洞有沒有被修復,445端口有沒有被非法的開放,安全產品也沒有用。
正如安全行業傳播很廣的一句話:重視運營,就是安全產品上線的第一天也是失效的第一天。
針對此次勒索病毒,網絡很多人認為應該NSA背鍋,但是你有沒有想過,如果NSA不用這個武器,這些漏洞就不存在嗎?
其實這些漏洞還是會存在,總有人會利用它,只不過這件事情被曝光出來,造成了極大的影響。
事實上,我們也無法否認,只要黑客找到一種攻擊方式,它就可以拿來作為一個勒索的工具和勒索的蠕蟲,下次它可能能攻擊你的手機,攻擊你的IoT連接設備,所以它并不是某一種病毒,早已經變成一種黑產的商業模式。
“勒索病毒并非是一種病毒,而是一種商業模式,只要網絡環境中有財產可被獲取,就會出現無盡的變種”,360安全技術負責人鄭文彬告訴36氪。
勒索病毒最新“戰況”
自12日WannaCrypt(永恒之藍)勒索蠕蟲突然爆發以來至今,影響已經遍及近百國家,包括英國醫療系統、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害者,中國校園網和多家能源企業、政府機構也中招,被勒索支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失,全球至少有10萬臺機器被感染。
在中國,經過72小時全國動員和應急響應,感染和影響得到了基本控制,總體態勢平穩,但這種病毒的傳播情況至今仍然無法徹底遏制。
首先,來回望下這次勒索病毒的起源。
根據多家官方權威介紹,本次勒索病毒發行者是利用了去年被盜的美國國家安全局(NSA)自主設計的Windows系統黑客工具Eternal Blue“永恒之藍”,將2017年2月的一款病毒升級所致。WannaCrypt(永恒之藍)勒索蠕蟲是NSA網絡軍火民用化的全球第一例。
一個月前,第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布,包含了涉及多個Windows系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中就包括“永恒之藍”攻擊程序。
勒索者使用病毒的方式也很簡單,瞄準機構和個人重要文件,直接“放毒”,加密用戶電腦文件并勒索300美元贖金,3天后不交贖金就漲價到600美元,7天后不交贖金就撕票,被鎖的重要文件將被永久銷毀。
一個很現實的問題:勒索病毒為何就沒辦法徹底遏制?
一方面因為WannaCrypt利用公開的“永恒之藍”武器制作的蠕蟲型勒索病毒,一臺電腦感染后,會繼續掃描內網和互聯網上其他未免疫的系統,繼續感染這些系統,連鎖反應導致大規模感染爆發。
勒索病毒傳播圖。
另一個關鍵因素是勒索病毒使用的是可匿名比特幣支付,壓根追蹤不到病毒來源和背后勒索者。
事實上,根據比特幣交易平臺的公開數據顯示,截至5月15日晨,已經有136人交了贖金,總價值約3.6萬美元。
有人可能要問了,有比特幣的可以快速支付并解鎖,但沒有比特幣的人怎么辦?
別著急,勒索者都已經幫你想好了,這個病毒制造者可謂很貼心,在勒索頁面附有教程,直接可以通過網銀從分銷商那里購買比特幣,并且它支持十幾種語言,根據每個國家的國情不一樣,做非常完整的提示。
很貼心的支持多國語言,以及比特幣購買流程。
怎么樣,是不是很貼心?
事實上,勒索者還設置了一個更貼心的服務,那就是對半年沒付款的搞抽獎活動,抽中就可以免費給你解除,但沒有抽中就是運氣不好了。
這儼然就是一種商品的售賣和營銷模式啊,也恰恰驗證了鄭文彬所說的一整套勒索“商業模式”。
當然,這一次也并非勒索病毒首次爆發,2013年勒索病毒就出現了,只不過當時是通過郵件、掛馬傳播,2015年開始進入爆發期,目前已經有超過100種勒索病毒家族存在。有數據顯示,僅其中一個勒索病毒CryptoWall家族的一 個變種就收到23億贖金。
那么,問題來了,多年前已經得知的“商業模式”,為什么如今還會呈現大爆發態勢?
“可以說,目前對勒索病毒還沒有一個特別好的解決的方法,只能說是防御,但中了以后并沒有什么好的方法,這種情況下它還會發展出更多的變種,包括在不同的平臺,移動平臺、IoT,甚至是關鍵基礎信息設施上”,鄭文彬如是說。
除此之外,如前文所說,勒索病毒溯源一直是比較困難的問題,FBI曾經懸賞300萬美元找勒索病毒的作者,都沒有結果。因為它的整個操作體系非常成熟,完全是用比特幣和匿名網絡,目前全球都沒有發現作者是哪個國家的,它的目的是什么,沒有一個明確的消息。
這次中槍最多的為何是機構?
如果在以前,勒索病毒的人群多集中在個人,但這次不然,傷害最大的卻是大型機構,為什么?
比如,《每日郵報》的報道病毒爆發當天就表示,至少19家位于英格蘭和蘇格蘭的NHS所屬醫療機構遭到網絡攻擊,這些機構包括醫院和全科醫生診所。
病毒制造者為了謀取高額利潤,首選機構無可厚非,畢竟機構更具有支付的財力。
但另一個不可忽視的因素是機構安全市場的投入嚴重不足,一個數據顯示,中國整個安全市場占整個中國IT市場的投入是2%,而全球尤其是美國安全市場,占整個美國IT市場的也不過9%,兩個超級大國的投入已經如此,更不用提其他國家了。
這導致病毒來襲之后,安全系統弱的機構手足無措,漏洞更新也頗為困難,因為這可能牽涉到整個機構系統的大變動,這也是為何企業客戶明顯比互聯網個人用戶反應慢的原因所在。
除此之外,很多機構即便上線了最新的安全產品,但缺乏運營,因為如果沒有人經常檢查有沒有效果、漏洞有沒有被修復,445端口有沒有被非法的開放,安全產品也沒有用。
正如安全行業傳播很廣的一句話:重視運營,就是安全產品上線的第一天也是失效的第一天。
針對此次勒索病毒,網絡很多人認為應該NSA背鍋,但是你有沒有想過,如果NSA不用這個武器,這些漏洞就不存在嗎?
其實這些漏洞還是會存在,總有人會利用它,只不過這件事情被曝光出來,造成了極大的影響。
事實上,我們也無法否認,只要黑客找到一種攻擊方式,它就可以拿來作為一個勒索的工具和勒索的蠕蟲,下次它可能能攻擊你的手機,攻擊你的IoT連接設備,所以它并不是某一種病毒,早已經變成一種黑產的商業模式。
京公網安備 11010502049343號