核心提示

　　2017年5月12日，一個(gè)愜意的周末。英國(guó)倫敦的一位醫(yī)生打開(kāi)了全民醫(yī)療系統(tǒng)NHS的界面，準(zhǔn)備查看今天的手術(shù)安排。但是，在Windows歡迎界面后迎接他的并非是NHS的登錄框，而是一個(gè)紅色對(duì)話(huà)框，上面寫(xiě)著“你的文件已經(jīng)被加密了”。

　　2017年5月12日，一個(gè)愜意的周末。

　　英國(guó)倫敦的一位醫(yī)生打開(kāi)了全民醫(yī)療系統(tǒng)NHS的界面，準(zhǔn)備查看今天的手術(shù)安排。

　　但是，在Windows歡迎界面后迎接他的并非是NHS的登錄框，而是一個(gè)紅色對(duì)話(huà)框，上面寫(xiě)著“你的文件已經(jīng)被加密了”。

　　他發(fā)現(xiàn)，電腦上的所有軟件與文件都被加密無(wú)法打開(kāi)，而同一辦公室的電腦都被鎖死，這意味著今天多位病人手術(shù)都按時(shí)無(wú)法進(jìn)行。

　　這位醫(yī)生不知道的是，不僅他所屬英國(guó)全民醫(yī)療系統(tǒng)NHS旗下的48家醫(yī)院受到這種病毒的沖擊，包括美國(guó)、俄羅斯、中國(guó)在內(nèi)，總共150個(gè)國(guó)家的30萬(wàn)名用戶(hù)的電腦都被這種病毒入侵并鎖死。

　　這就是在全球范圍內(nèi)爆發(fā)，造成損失達(dá)80億美元的勒索病毒“WannaCry”。

　　毒如其名，感染者欲哭無(wú)淚

　　這款被稱(chēng)為“WannaCry”（想哭）的蠕蟲(chóng)病毒采用的是傳統(tǒng)的“釣魚(yú)式攻擊”，通過(guò)網(wǎng)頁(yè)鏈接或其他方式引誘用戶(hù)點(diǎn)擊并下載郵件、附件等看似正常的文件，從而完成病毒的入侵與安裝。

　　病毒會(huì)將用戶(hù)的電腦里所有文件的權(quán)限鎖死，并會(huì)在桌面彈出紅色勒索對(duì)話(huà)框，要求受害者支付價(jià)值三百美元的比特幣來(lái)“贖回”用戶(hù)自己的文件。

　　病毒爆發(fā)后不久，就有網(wǎng)絡(luò)專(zhuān)家根據(jù)其入侵方式與傳播方法，識(shí)別出這個(gè)病毒可能改造自之前泄露的NSA（美國(guó)國(guó)家安全局）黑客武器庫(kù)中的“永恒之藍(lán)”。“永恒之藍(lán)”的攻擊程序中，惡意代碼會(huì)掃描開(kāi)放特定端口的Windows 機(jī)器，用戶(hù)只要開(kāi)機(jī)上網(wǎng)，不法分子就可以對(duì)電腦和服務(wù)器進(jìn)行破壞。

　　由于教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)的電腦出于安全考慮，采用的是內(nèi)部局域網(wǎng)架構(gòu)，也沒(méi)有對(duì)相應(yīng)端口進(jìn)行封鎖與升級(jí)，成為此次蠕蟲(chóng)病毒的重災(zāi)區(qū)。

　　來(lái)自紐約大學(xué)的計(jì)算機(jī)教授賈斯汀?坎波斯向看看新聞Knews記者解釋?zhuān)舜卫账鞑《局詠?lái)勢(shì)洶洶，和根源代碼來(lái)自美國(guó)網(wǎng)絡(luò)武器庫(kù)不無(wú)關(guān)系。那些泄露的襲擊代碼，“使得那些原本沒(méi)有能力的黑客也能夠利用這些成型的代碼發(fā)動(dòng)攻擊?！?/p>

　　修復(fù)之路，遠(yuǎn)不如想象中容易

　　勒索病毒的全球蔓延讓許多網(wǎng)絡(luò)安全專(zhuān)家都頭疼不已。在各大機(jī)構(gòu)爭(zhēng)相發(fā)布相應(yīng)指南和處理措施的同時(shí)，大量的網(wǎng)絡(luò)安全機(jī)構(gòu)都在對(duì)病毒的蔓延與傳播情況進(jìn)行監(jiān)控。

　　一個(gè)意外的插曲是，英國(guó)的一位網(wǎng)絡(luò)安全工程師哈欽斯注意到一款勒索軟件正不斷嘗試進(jìn)入一個(gè)并不存在的網(wǎng)址，于是他花8.5英鎊（約合75元人民幣）注冊(cè)了這個(gè)域名。不可思議的是，此后“Wannacry”勒索病毒在全球的蔓延得到大幅控制。

　　他和同事在事后分析，網(wǎng)址被注冊(cè)相當(dāng)于觸發(fā)了勒索軟件自帶的“自殺開(kāi)關(guān)”。網(wǎng)址很可能是黑客設(shè)定的“檢查站”，每次發(fā)作前軟件會(huì)訪問(wèn)網(wǎng)址，如網(wǎng)址不存在，說(shuō)明安全人員尚未注意，可橫行無(wú)阻；若網(wǎng)址存在，為避免被“反攻”，勒索軟件會(huì)停止傳播。

　　哈欽斯的這一舉動(dòng)為廣大還沒(méi)有遭受感染的用戶(hù)爭(zhēng)取了喘息時(shí)間，升級(jí)官方發(fā)布的補(bǔ)丁。

　　但很快，勒索病毒又出現(xiàn)新的變種“Wannacry 2.0”，開(kāi)始新一輪的入侵攻勢(shì)。

　　在國(guó)內(nèi)，網(wǎng)絡(luò)安全公司也在積極行動(dòng)。來(lái)自國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的嚴(yán)寒冰告訴看看新聞Knews記者，5月13日所檢測(cè)的攻擊數(shù)量已經(jīng)超過(guò)了一百萬(wàn)次，而到了5月14日，這個(gè)數(shù)字已經(jīng)翻了一倍，被感染機(jī)器數(shù)量也從1萬(wàn)臺(tái)上升到3.5萬(wàn)臺(tái)。

　　隨后到來(lái)的5月15日，是“Wannacry”病毒爆發(fā)后的第一個(gè)工作日。全國(guó)數(shù)千萬(wàn)臺(tái)電腦會(huì)在這個(gè)周一被喚醒。如果不采取措施對(duì)這些電腦進(jìn)行保護(hù)，勒索病毒的感染范圍又將進(jìn)一步擴(kuò)大。

　　“周日的時(shí)候，我們專(zhuān)門(mén)寫(xiě)了一個(gè)應(yīng)對(duì)勒索軟件蠕蟲(chóng)的指南，給社會(huì)還有廣大的一些單位提供應(yīng)對(duì)蠕蟲(chóng)的一些指導(dǎo)?！眹?yán)寒冰對(duì)記者說(shuō)道。

　　金山、騰訊、360，幾乎所有國(guó)內(nèi)互聯(lián)網(wǎng)公司的安全部門(mén)都在周末發(fā)布了各自的應(yīng)急補(bǔ)丁。Wannacry的攻勢(shì)漸漸減弱，擴(kuò)散與感染程度被有效遏制。

　　網(wǎng)絡(luò)防御，亟需與時(shí)俱進(jìn)

　　值得注意的是，那些采用封閉內(nèi)網(wǎng)結(jié)構(gòu)的設(shè)施在此次攻擊中紛紛中招，比如銀行的ATM機(jī)、公司職員的電腦、加油站等。

　　究其原因，對(duì)個(gè)人電腦來(lái)說(shuō)，可以自行學(xué)習(xí)相關(guān)知識(shí)并進(jìn)行修復(fù)；但是對(duì)于大型組織機(jī)構(gòu)而言，面對(duì)成百上千臺(tái)機(jī)器，必須使用集中管理的客戶(hù)端。尤其是之前沒(méi)有做好安全防護(hù)措施的大型機(jī)構(gòu)，這樣的問(wèn)題處理起來(lái)十分棘手，其修復(fù)難度要更困難一些。

　　可以說(shuō)，此前看起來(lái)固若金湯的內(nèi)網(wǎng)系統(tǒng)架構(gòu)，在此次勒索病毒危機(jī)中反而成為了幫助病毒擴(kuò)散的“幫兇”。

　　360公司創(chuàng)始人周鴻祎告訴看看新聞Knews記者，任何系統(tǒng)都有被攻破的可能，國(guó)內(nèi)內(nèi)網(wǎng)系統(tǒng)薄弱的根本原因是源于意識(shí)上的落后。許多單位認(rèn)為只要把內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離開(kāi)來(lái)就能夠解決病毒的問(wèn)題，如果網(wǎng)絡(luò)安全意識(shí)還停留在這種程度，自然難以應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊。

　　他認(rèn)為，保障網(wǎng)絡(luò)安全更應(yīng)著重于網(wǎng)絡(luò)安全的策略建設(shè)和人才培養(yǎng)。

　　“許多單位都沒(méi)有成熟的網(wǎng)絡(luò)安全防護(hù)隊(duì)伍，在關(guān)鍵時(shí)刻沒(méi)有可執(zhí)行的防護(hù)預(yù)案，自然在受到攻擊的時(shí)刻不能及時(shí)進(jìn)行修復(fù)?！敝茗櫟t認(rèn)為，借助專(zhuān)業(yè)硬件防護(hù)的同時(shí)，也建立屬于自己的網(wǎng)絡(luò)安全團(tuán)隊(duì)，是傳統(tǒng)單位做好網(wǎng)絡(luò)防御的重要途徑。

?

相關(guān)鏈接：

?