近日一款名为“WannaCry”的病毒开始在全球范围内爆发。全球99个国家遭遇攻击,24小时内监测到的攻击次数超过10W+。国内的重灾区是校园系统、医疗系统、能源行业,以及公安办事系统。于是乎360、安天、金山等有网络安全公司都在加班应对。
国内有一部分吃瓜群众已经切身感受到了WannaCry的影响。有人在北京的派出所办业务排了一个多小时队,结果被告知系统被攻击瘫痪了;有人在加油站发现自助缴费系统断网,支付宝、微信支付等联网支付都无法使用,他身上却没有带现金。浙江传媒大学、中国计量学院等多所国内大学的校园网也遭受攻击。
多位安全公司都表示,这个病毒可以防守,但一旦中招目前还没有什么解决办法。
大约是基于这个原因,病毒发布者表现得非常猖狂。他给中招用户留下了一封洋洋得意的勒索信,要求3天之内付款,超过3天费用翻倍,超过1周则被加密的资料将永远无法恢复。
大多数公司似乎还没有按照他的意愿行事。在黑客留下的其中一个比特币收款账户里,目前共完成30次交易,4.62枚比特币。按照现在的比特币价格,总价大约4.75万元人民币。不过,用户付款频率有明显加快的趋势,从5月13日晚间9点半后一个小时内新增8次交易。有行业人士认为,赎金支付的高峰期还没有到来,14日起赎金规模将有大幅增长。
根据流出的黑客与被攻击公司的还价邮件,这位黑客还十分清楚中国目前的政治大事,并且颇有“政治觉悟”。
对于这次WannaCry的攻击,目前有两个群体是比较安全的。一是Mac用户,这次的攻击是针对windows系统而进行的。二是大多数windows个人用户,其中不包括通过校园网等局域网接入网络的用户。
对于内网成为重灾区的原因,大多数安全公司将其归咎为445端口。国内的情况是,个人用户的445网络端口大多数已经被网络运营商屏蔽掉,但大局域网和企业内网中仍有很多开放端口。
那么,445是什么呢?445端口的主要特点是,支持文件共享。你在企业内网、校园网中看到的访问共享文件夹和共享打印机,就是445端口在起作用。但它暴露给黑客的危机也是很大的,他们入侵成功后,可以共享、加密、格式化你的硬盘。
在此基础上,安全大数据公司微步在线给出了更详细的解释。他们对样本进行分析后,发现当前样本中存在一个秘密开关,是攻击行为的第一步。
WannaCry样本在用户电脑中启动后,第一步会首先请求如下域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。
如果请求失败,则执行文件加密;如果请求成功,则放弃加密并直接退出。他们也提醒用户,不要在防火墙、IPS等设备拦截上述域名的访问。
5月12日,这个开关域名被安全机构接管。但在此之后,仍有大量电脑被执行加密。微步在线给出的原因,是这些机器没有外网访问权限,因此WannaCry请求开关域名失败,引发加密行为。
再加上,WannaCry还具备蠕虫功能,很容易在内网中引起连锁效应。如果内网没有互联网访问权限,一台机器的失守,就很可能引起全部机器被攻陷。
一位来自360云安全团队Marvel Team的工程师解释称,这个秘密开关可以理解为黑客所设置的控制阀,或者是他的一把锁。如果该域名未被接管,一旦他关闭该域名,造成用户全部请求失败,将引发一场更大的腥风血雨。
他透露,360安全部门正在集体通宵,写针对中毒电脑被加密文件的解密工具,有望在14日发布。