全文展开
文/杨书房
30.安田、金山等网络安全公司今天都在加班。
一个叫“WannaCry”病毒开始在全球爆发。全球99个国家受到攻击,24小时内检测到的攻击数量超过10W。国内重灾区是校园系统、医疗系统、能源产业、公安服务系统。
国内一些吃瓜的人已经感受到了WannaCry的影响。
有人在北京警察局排了一个多小时的队,却被告知系统被攻击瘫痪。有人发现自助支付系统与加油站断开,支付宝、微信支付等网上支付无法使用,但他没有带现金。浙江传媒大学、中国吉良大学等国内大学的校园网络也受到了攻击。
很多安全公司都说这种病毒可以防御,但是一旦被抓住,还没有解决办法。
可能是因为这个原因,病毒发布者疯狂行动。他给用户留下了一封自豪的勒索信,要求他们在3天内付款,3天内加倍,1周后加密数据永远不会恢复。
大多数公司似乎没有按照他的意愿行事。黑客留下的比特币收藏账户中有30笔交易,4.62一个比特币。根据目前的比特币价格,总价格约为47500元。然而,用户的支付频率显著加快,5月13日晚9:30后一小时内增加了8笔交易。一些业内人士认为,赎金支付的高峰期尚未到来,赎金规模将从14日起显著增加。
从黑客和被攻击公司的还价邮件来看,黑客对中国清楚中国目前的政治事件,相当“政治自觉”。
目前这次WannaCry两组攻击相对安全。Mac这个攻击是针对用户的windows系统。二是大部分windows不包括通过校园网等局域网接入网络的个人用户。
大多数安全公司将内部网络归咎于445端口。在中国,个人用户的445个网络端口大多被网络运营商屏蔽,但大型局域网和企业内部网络仍有许多开放端口。
那么,什么是445呢?端口45的主要特点是支持文件共享。访问内部网络和校园网络中的共享文件夹和共享打印机意味着端口445正在工作。但它也暴露了黑客的危机。入侵成功后,他们可以共享、加密和格式化你的硬盘。
在此基础上,安全大数据公司微步在线给出了更详细的解释。分析样本后,他们发现当前样本中有一个秘密开关,这是攻击的第一步。
启动用户计算机WannaCry第一步是要求以下域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。如果请求失败,则执行文件加密;如果请求成功,放弃加密,直接退出。他们还提醒用户不要在防火墙、IPS在设备中屏蔽上述域名的访问。
5月12日,交换机域名被安全机构接管。但随后,大量计算机被加密。微博在线给出的原因是这些机器没有连接到外部网络,所以WannaCry请求域名切换失败,导致加密。
另外WannaCry还有蠕虫功能,容易在内网造成连锁效应。如果内网没有上网权限,机器掉了,很可能所有机器都会被抓。
360云安全团队惊奇漫画团队的一名工程师解释说,这个秘密开关可以理解为黑客设置的控制阀或他的锁。如果域名不被接管,一旦域名关闭,用户的所有要求都将失败,导致更大的血腥风。
他透露,360安全部门正在集体通宵工作,预计将于14日发布编制中毒计算机加密文件的解密工具。
一周前,巴菲特在伯克希尔哈撒韦股东大会上表示,“我对大规模杀伤性武器非常悲观,但我认为核战争的可能性低于生化武器和网络攻击。”
不幸的是,他是对的。也许有一天,自动驾驶车辆在速度和激情8中受到密集攻击的场景也将成为现实。