从上周末、准确地说是5月12号开始,“比特币勒索病毒”WannaCry(或称WannaCrypt、WannaCrypt0r)席卷全球。 一旦计算机被这种病毒感染,电脑中所有文件会被加密锁定,除非在指定时间内支付价值300美元的比特币才能纾困,超时金额翻倍;如果用户选择拒绝,那么电脑中的文件可能会被彻底清空。WannaCry先是从欧洲爆发,在相继袭击了西班牙电信、英国国民卫生服务体系(NHS,National Health Service)、联邦快递和德国铁路股份公司等大型国有和商业机构的计算机后迅速蔓延至全球。在国内,山东大学等高校和部分政府机构的计算机成了WannaCry的第一批受害者。 受波及的电脑数量仍在增加。根据360安全中心的报告,截止到2017年5月15日零时,全球近百个国家的超过10万家组织和机构被该病毒攻陷。国内,仅12日到13日两天时间里就有29000个公网IP地址遭到感染,而更多的非联网IP是暂时无法监测的;这只是周末时的统计,要知道工作日一到,大量机构内位于同一网络下的计算机一旦开始工作,只要其中一台受到感染就会波及整个局域网中的所有电脑——这意味着,潜在受害者数不胜数。 特别讽刺的是,国内各家安全公司平日里最喜欢炫耀的就是它们的装机量和渗透率:根据媒体公开报道,atv,360安全卫士的PC月活高达5.23亿、渗透率高达98%;腾讯电脑管家的装机量达3.5亿,百度安全卫士装机量3亿,(金山)毒霸装机量过亿、日活5000万……在中国,几乎每台Windows电脑上都会安装有起码一款“安全卫士”或“电脑管家”之类的杀毒软件。但各大网络安全公司只能在事后应对,却没能像往常一样在事前就抵御住病毒进攻。 而且,如果你看过PingWest品玩此前对这个病毒的报道就会知道,WannaCry背后是“永恒之蓝”,利用的是Windows的一个系统级漏洞——可这个漏洞早在今年3月时就被微软通过系统更新的方式封锁了。 但我们还是在一夜之间就回到了那个不敢随便登录不明网站、插入电脑一个U盘就要担惊受怕的时代。 互联网并没有越来越安全,只是危险变了花样 故事回到2016年夏天,美国大选尚未开始,黑客战却让这一次大选成为了有史以来最科幻的一回。无政府主义黑客组织Shadow Brokers在当年8月入侵了美国NSA下属的情报组织Equation Group,并从中窃取了包括永恒之蓝在内的数十种广泛存在于Windows、Android和iOS的漏洞。如果你是一位科技爱好者,可能还记得当时苹果、NSA、Shadow Brokers和FBI企图解锁iPhone之间的恩恩怨怨。 但这个Shadow Brokers绝非正义之师。在窃取了这些漏洞之后,他们试图将这些漏洞以约5亿美元的价格出售,因为价格之高,导致了交易最终没有完成。 时间转到了2017年4月,Shadow Brokers自认拍卖无望,便将包括永恒之蓝在内的从NSA盗取的漏洞打包上传了GitHub,并于几天后公布了压缩包的解压码密码。 至此,勒索病毒传播的基础——“永恒之蓝”漏洞就曝光给了所有人。这个漏洞利用了Windows早期版本在文件共享上的一个漏洞实现内网传播,也就是说,只要你的电脑存在这个漏洞,即便是不做任何操作也有可能被公司、校园、家庭里的其它联网电脑传染。
在维基百科的词条中,记载了更为详尽、全面的关于WannaCry的爆发记录 在WannaCry爆发之后,很多人提到了熊猫烧香。在国人的经验里,似乎自熊猫烧香之后,再没有一款病毒像刚刚爆发的WannaCry那样引起社会的广泛关注了。的确,过去数年来,蠕虫病毒数量一直在下降。 很不幸,互联网“变得更安全了”只是一种错觉。 根据《CNCERT互联网安全威胁报告》2016年12月(总第72期)显示,当月中国境内总计感染终端281万个,其中蠕虫病毒66万,木马病毒有215万之多。蠕虫病毒逐渐减少的最重要原因是:制作蠕虫病毒的作者无法从蠕虫感染中获得利润。 在“熊猫烧香”事件之后,中国的黑客们意识到制造和传播病毒所存在的巨大风险,因此纷纷转向灰色产业和黑色产业寻求更高的收益,而病毒也不再以”破坏用户电脑“为主要发作形式。中了蠕虫病毒之后电脑会变慢、文件会打不开、程序会崩溃,可木马病毒十分追求”用户体验“——它静默地运行在后台,可以做到让用户毫无察觉。 木马病毒可以控制感染者的电脑,使整个电脑都为黑客所用。在木马病毒的整个黑色链条中,一台肉鸡(被感染的电脑)宛如在一个现代化的鸡肉加工流水线上:会有专门的人判断机器的性能如何,是否可以用于攻击他人的电脑、是否可以用于搜集某些数据、是否可以直接盗取机主的银行或理财信息等等。 (责任编辑:本港台直播) |