勒索病毒 WannaCry 的影响本周已经减弱,但是由于新变种出现,防御工事依然刻不容缓。本文按照勒索病毒发展的时间线顺序,整理了全球性论坛 Reddit 上各国网友的有趣言论和吐槽,也展现了勒索病毒的发展变化趋势。
蔓延全球的勒索病毒 WannaCry 让全球 PC 电脑用户惶惶不安,纷纷加强防护,这个 5 月 12 日首次在西班牙电信部门发现的病毒,短时间内从伊比利亚半岛扩散至英国,最终蔓延全球。截至 5 月 16 日,WannaCry 勒索病毒已扩散至 100 多个国家和地区,包括医院、教育机构、政府部门都无一例外遭受攻击。截至目前,全球攻击案例超过 7.5 万个。
国家资讯安全漏洞库(CNNVD)的分析报告指出,WannaCry 勒索软件主要使用针对微软 Windows 系统漏洞工具“永恒之蓝”(EternalBlue)传播扩散。
▲ Wannacry 病毒在攻击 Windows 使用者时,Linux 使用者在上面看戏。
2017 年 4 月 14 日,骇客组织 Shadow Brokers(影子经纪人)公布了骇客组织 Equation Group(方程式组织)的部分泄露档案,中有多个 Windows 作业系漏洞的远程指令执行工具,其中即包括 WannaCry 勒索软件攻击事件利用的“永恒之蓝”工具。
WannaCry 勒索软件借助“永恒之蓝”漏洞工具,透过 Windows 操作系统在 445 通讯埠的安全漏洞(CNNVD-201703-721~CNNVD-201703-726),潜入电脑加密多种档案类型,并弹出对话框,向用户索要赎金(以比特币支付)用于解密。
英国最先受到波及,遭到非常严重的打击,英国国家健康服务中心(UK National Health Service,NHS)确认当机。英国公众对英国政府是否利用软件后门监视用户资讯表示怀疑,他们调侃“英国最好赶紧习惯这些事情,因为英国首相德蕾莎‧梅伊要求所有操作系统和社群类 App 强制保留后门,以便监控。当然,骇客也能利用这些后门。想像一下,当骇客利用手机和电脑里的强制性 Kill Switches,让我们回到 1980 年代吧。万一这事发生了,德蕾莎‧梅要被扔多少臭鸡蛋!”
▲“德蕾莎·梅伊(首相)知道 Linux 的存在吗?”“别担心,德蕾莎·梅伊会让那些 Linux 工程师给所有 Linux 系统写入后门!那又不难。”
随着事态发展,有人建议:“官方应该在网络空间里,以真实空间的同样规则应对武器(指病毒)。”
于是有人回复:
▲“这能行吗?──抱歉先生,我们需要检查您的笔记型电脑,以防有 cyber 武器,我需要一个 USB port。”
然后有人回复:“但我觉得骇客可以把电脑变成炸弹。”
日常酸三星的时候来了:“三星已经把 Note 7 变成炸弹了。”
▲ WannaCry 蔓延全球,但是在澳洲看起来没那么严重。
WannaCry 在澳洲还没有大规模感染案例,于是有人这么酸自己:
▲“我们澳洲就没有受到攻击,因为我们还在下载病毒呢。”
“嗯,会有更多赎金的,没事。”
5 月 13 日晚上,一名英国研究员发现,WannaCry 不断尝试进入一个极其特殊、尚不存在的网址,在他花 8.5 英镑注册该域名之后,发现 WannaCry 的传播居然被阻拦了。无意间发现的 WannaCry 隐藏开关(Kill Switch)域名,竟然遏止了病毒进一步扩散。
关于这位英雄,媒体大量报导,曝光了其个人资讯,全球网友都沸腾了。
▲“一些记者为了自己的名声,可以出卖任何人。(ps. 我的天!你可真是一个英雄!)”
“他不想被认出来,媒体应该不要再报导他了。”
“但……但……但是自由属于媒体啊!(滑稽)”
5 月 14 日,据卡巴斯基实验室所说,WannaCry 勒索病毒出现变种“WannaCry 2.0”,这个变种取消了 Kill Switch,无法透过注册某域名来关闭传播,因此速度可能会更快。
5 月 14 日晚上,卡巴斯基实验室全球研究与分析主管 Costin Raiu 在 Twitter 上道歉,表示之前的说法不正确,在完成所有 WannaCry 病毒程式码分析后,并没有发现不带 Kill Switch 的变种病毒。因此 WannaCry2.0 并不存在。
▲ Costin Raiu 的道歉。
微软把球踢给 NSA,NSA 没接,美国又踢给北朝鲜
事件过程中,美国国家安全局(NSA)的影子一直出现在报导当中,挥之不去。
微软批评 NSA,认为 NSA 在 WannaCry 爆发过程中难辞其咎。微软认为,美国政府搜集、囤积软件漏洞,并对微软 Windows 系统 SMB 漏洞知情不报,才使电脑门户大开。骇客组织 Shadow Brokers 从 NSA 盗取了 NSA 囤积的 Windows 漏洞,让 Windows电脑遭到 WannaCry 入侵和绑架,NSA 是始作俑者。
苹果 2016 年被 FBI 要求开发一个绕过 iOS 安全措施(输入 10 次错误密码后抹去 iOS 装置全部资料)、可获取 iOS 装置资讯的全新版本,但 CEO 库克拒绝了。看来库克知道,NSA 等国家机关无法保证这些漏洞不落入他人之手。
▲ NSA 居然有机密资讯,而且还被偷了?这是个大问题啊!
▲ NSA_Chatbot 说:“我之前说了吧,安全基于模糊的资讯,你们都不听啊!”
redit_usrname_vendor 回复:“现在你们知道为什么我们给他这个名字了吧!”
面对受 NSA 监控、中国电脑也有许多瘫痪的现状,一群青年发出如上声音:“老子宁愿被 NSA 监控,也不愿意中国政府监控。”
还有人回复他说:“美国人就应该被美国人监控,让这些外国监控程式滚回家吧!”
美国监控也是监控啊
5 月 16 日上午,NSA 对微软的指责做了回应,美国国家安全顾问汤姆‧波塞特(Tom Bossert)说,“勒索赎金的程式码不是由 NSA 的工具开发出来的,这种工具是由犯罪方开发的,也就是潜在的罪犯或外国国家。”他没有谈到勒索病毒的基础──利用漏洞的初始程式码──是否与 NSA 的网络工具有关。
Google、赛门铁克和卡巴斯基的安全研究人员报告称,勒索软件可能与北朝鲜骇客组织 Lazarus Group有关。
卡巴斯基研究室安全人员表示,研究了早期蠕虫病毒版本与 2015 年 2 月的病毒样本发现,其中部分相似的程式码来自卡巴斯基之前关注的北朝鲜骇客团队 Lazarus Group,程式码的相似度远超正常。卡巴斯基认为本次流行的 WannaCry 勒索病毒与之前的冲击波病毒出自同一骇客团队。
然而这是一个猜测,并没有定论。
▲“北朝鲜没啥影响嘛,一定是伟大的红星系统太出色了!”
骇全球电脑之意不在钱,而在 NSA?
最新统计显示,WannaCry 幕后团体从这次攻击中赚到的钱只 5.9 万美元多一点,利润非常少。
且由于 WannaCry 要求用户 3 日内支付价值 300 美元的比特币为赎金,超时赎金将会翻倍,7 天后不支付将永久加密档案。但骇客是不是低估了人类的反应能力,有人透过修改系统时间成功拖延计时。
很重要的一点,就是任何试图从 WannaCry 使用的 3 个账户取出比特币的作业都会被全世界的执法机关发现,这意味着 WannaCry 背后的骇客无法隐秘地取出 1 分钱──骇客朋友是不是不想拿到钱啊……
甚至交赎金之后,也可能赎不回档案,因为 WannaCry 是人工客服!人们只能透过 WannaCry 的客服联系方式获得解密金钥,但是他们压根没有任何回应!人与人之间的信任呢?
可能他们只是想让 NSA 难堪?
最新讯息是:腾讯安全反病毒实验室 5 月 16 日表示,观测发现部分勒索病毒样本已经从“想哭”(WannaCry)变成“想妹妹”(WannaSister)了。
尽管该病毒已可有效防御,且本周开始病毒的传播已减弱,但病毒还出现变种,安装修补程式刻不容缓哪!
- Watch existing WannaCry infections checking in
- Microsoft president blasts NSA for its role in ‘WannaCry’ computer ransom attack
(本文由 36Kr 授权转载;首图来源:pixabay)
延伸阅读:
- 神秘骇客组织扬言,将出售新间谍工具
- 勒索病毒防护 4 撇步看这里,打这支电话可求援
- 老旧 Windows XP 容易遭受攻击,国内中小企业仍不敢轻易升级版本
- 决战 WanaCrypt0r!中国网友拿 19 款防毒软件练兵:断网、不更新病毒码,哪些防毒软件主动防御成功?
- 微软公开表态:政府不应该用漏洞当作国家武器
