,
5月12号,一个名为“永恒之蓝”的比特币勒索病毒在网上迅速传播。
这款病毒蔓延全球,俨然是场大灾难。目前至少有150个国家受到网络攻击。国内除了多所高校遭到了网络攻击,还有相当一部分企事业单位的电脑也同样中招。
比特币究竟是什么?病毒从何而来?它为何使用比特币作为赎金?它真的这么可怕吗?面对它我们该做什么?今天,让华科新媒实验室给你答案。
一、病毒从何而来?
此次“永恒之蓝” 变异的勒索蠕虫,是NSA网络军火民用化的全球第一例。
早在4月14日,自称“影子经纪人”(Shadow Brokers)的黑客团体泄露出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,可以覆盖全球70% 的Windows 服务器,影响程度极其巨大,但国内诸多政府、高校等机构并没有引起足够的重视。
华为高级安全专家娄伟峰指出:“影子经纪人” (Shadow Brokers)攻破了NSA(美国国家安全局)网络,拿到其中一个叫“方程式”的黑客组织的大量军用级别黑客工具,ShadowBrokers将其中一个黑客工具做成“永恒之蓝”,而这次的勒索软件正是“永恒之蓝”的变种。
而据360安全首席工程师郑文彬猜测,之前美国军方使用黑客技术攻击中东银行,而此前美国政府对叙利亚进行轰炸,导致了黑客的不满,继而盗出此技术,以示威胁。
黑客使用勒索软件由来已久,但大多数病毒软件勒索的赎金都是法币、电子汇款、预付卡等手段收取。但这次病毒勒索事件,黑客似乎蹭了比特币热点。
二、比特币究竟是什么?
2008年国际金融危机爆发后,一名为“中本聪”的神秘者在一个隐秘的密码学讨论组上贴出了一篇研究报告,报告阐述了他对电子货币的新构想。自此一种新的依托于互联网的虚拟电子货币诞生。但这种电子货币跟我们常说的微信支付,支付宝支付完全不一样,后者只是电子支付手段,支付流通的货币还是来自央行所发行的货币,来自于你的储蓄卡。而比特币不是任何一国家央行所发行的货币,而是诞生于互联网,百分之百依赖互联网。
做个不太贴切的比喻,比特币就好像人民币的序列号,而这个序列号在比特币交易系统运算中被称之为“特解”,这些“特解”必须得到分布在整个系统网络节点的认可才行。如何找到这些“特解”?这需要在计算机上安装软件程序进行测试运算,被称之为“采矿”,能够进行快速连续测试的计算机往往需要很强的运算能力,通过运算找到这些“特解”,并发布通知给整个比特币网络进行认领。愿意去配备这样的设备,去“采矿”的人,被称之为“矿工”。我们常常在网络上看报道有出现“老矿工”的字眼,如果不是干传统行业的那个采矿,那就是指挖掘比特币的这行业人员。
目前设定的“特解”总个数为2100万个,也就是说比特币的总量为2100万个。
三、为何使用比特币作为赎金
1、比特币“去中心化”构造导致货币无法被监管
比特币是一种分布式的虚拟货币,整个网络由用户构成,完全的去中心化,没有中央银行,每个参与者都是比特币的制造者。去中心化就意味着‘反侦查’,这对于执法机构而言,如果不具备相应技术能力储备,无法展开调查;相反,如果银行账户出现问题,一报案就可以马上侦查到账户的使用人。
2、比特币的互联网化,可以全球生产和流通
比特币会随着互联网全世界流通,而且完全不用管外汇管理局这样的机构同不同意。你可以在任意一台接入互联网的电脑上管理。不管身处何方,任何人都可以挖掘、购买、出售或收取比特币。
3、比特币可以直接交易,成本低
比特币的交易成本极低,几乎没有成本,你只需要知道对方在比特币网络上的地址,轻轻一点鼠标就转账到位,没有中间金融机构复杂的流程和手续,当然也没白白缴纳的各种手续费。
4、比特币的去向很难侦查和追踪
虽然比特币理论上来说可以追踪,因为比特币所有转账记录都可以在网络节点中显示出来。但黑客不傻,只要当比特币汇出后,不动用比特币,那么这是无法追查的,就好比,钱到了一个无主的银行账户上。
5、比特币的数量恒定,增值空间大
比特币的数量可以说是固定的,因此随着玩家或投资者数量的增加,其价值自然会水涨船高。据火币网数据显示,自从4月20日开始,中国比特币价格强势突破。截至5月9日17点,中国的比特币价格突破9740元,单日最高涨幅达10.6%,创国内比特币历史新高。但涨势并未停止,14日,比特币已一举突破12000元人民币,年涨幅已近300%。
四、“永恒之蓝”真的这么可怕吗?
“永恒之蓝”看起来十分恐怖,其实,如果你是下面几类用户那么你完全没必要惊慌,因为病毒没有机会喜欢你。
第一,非内网包括教育网、校内网、公司内网、事业单位内网、公安网等等的普通电信网络上网的PC,由于普通电信网络(中电信、中联通)和无线路由器的限制,病毒无法通过相关开放端口来感染你的PC。
第二,windows10创意者更新用户,创意者更新版本免疫此漏洞。
第三,正常升级中的windows7 、8、 10用户,微软早在三月份就发布了相关补丁。
面对它,我们该做什么?
亡羊补牢:预防为主
NSA作为美国政府机构中最大的情报部门,在美国大片中,该部门似乎无所不能,但目前似乎尚未拿出对策,更遑论我等普通大众。
普通小白用户除了按照推荐设置开启系统防火墙、打开系统更新、安装杀毒软件、不访问可疑网络内容、小心使用可插拔存储之外,似乎没什么可做的。一旦文档被加密,如果黑客不提供解密的密码,则无法解密文档。
所以,那些高校在写论文的孩子们,请老老实实重新写一遍!当然也可选择给对方发去赎金,不过黑客很有可能会撕票。
360安全首席工程师郑文彬表示,这件事情,敲响了大众“做好备份”的警钟。
不过,即便有备份,也不一定百分百安全,尤其是对高校、政府等机构。
对于此次攻击,即便政府有备份,但多数是离线备份,实时的业务数据一旦故障就无法更新,公共信息的服务基本都是动态的,所以大家误以为不能使用。此外,触发备份任务时,会涉及网络链接,许多备份策略基于445端口,因此源文件及备份文件会一并感染。
当然,如果早期就打好补丁,做好预防,这次就可以幸免于难。
互联网安全攻防,就像人类对于病菌的攻防,华为高级安全专家娄伟峰给出了一些建议:
对于Onion、WNCRY这类混合型病毒的威胁,可通过访问控制手段,如防火墙,限制135、445等高位端口对内访问。通过邮件安全网管、WEB防火墙,严格过滤从互联网到内网的一切传播手段和邮件附件,彻底切断传播途径;
通过沙箱工具进行启发式深度检测,比如使用华为的Firehunter来对未知威胁乃至APT进行深度检测,监控传染源,及时切断病毒传播,再在核心交换,接入交换机上屏蔽掉一切高危端口;
最后,要有统一的终端安全工具,在终端上再次屏蔽高危的端口访问,并通过统一的补丁管理,及时打上最新的针对于MS17-010的补丁,通过纵深防御、层级联动的方式实现企业级安全的立体防护。
整理:张颖
图片:网络返回搜狐,查看更多