5月12日,全球史上规模大的一次勒索病毒攻击事件爆发,5个小时内,该攻击覆盖到包括美国、中国、欧洲在内的100多个国家和地区。5月14日,欧盟刑警组织称此次事件已经影响超过150多个国家、20多万用户。本次攻击利用了Windows远程攻击工具Eternalblue(永恒之蓝)。2017年4月14日,黑客组织Shadow brokers(影子经纪人)泄露了一份据称来自美国国家安全局NSA的机密文档,曝光了包括Eternalblue在内的23个漏洞攻击工具,且其中12个针对Windows平台。
为香洲等地区用户提供了全套网页设计制作服务,及香洲网站建设行业解决方案。主营业务为网站设计、成都网站制作、香洲网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!
国内的几十所高校内网、大型企业内网和政府机构专网均中招,其重要数据被勒索加密并要求支付高额赎金才能解密恢复文件。同时,大多涉及业务操作的文件被加密,导致出入境管理大厅、中石油等公共服务企业业务被迫关闭。
周末期间,国内大部分企事业单位安全部门人员连续加班超过48小时,以期修复业务问题。360企业安全集团专家汪列军告诉21世纪经济报道记者:“大家都在重装系统、打补丁、安全设置,以尽快恢复业务。”至于被勒索加密的文件,“虽然几家安全公司推出了一些修复工具,但能修复多少,只能看运气。”而该勒索软件攻击仍在持续。
勒索软件肆虐
勒索软件是近两年呈现爆发式增长的安全问题。2017年初,美国联邦调查局FbI发布调查报告称,美国勒索软件的赎金总额在2016年增长了40倍,从2015年的2400万美元跃升至2016年的10亿美元。
同时,勒索软件的种类也在2016年增长了748%,单笔赎金也从295美元增至679美元。而根据安全公司赛门铁克预计,勒索软件的平均赎金将会在2017年底飙升至上千美元。
几乎所有的勒索软件都要求受害者“按照等价的比特币支付赎金”,比特币是勒索软件泛滥的主要原因,这种匿名、难以追查拥有者的数字货币大幅降低了勒索者的交易成本。2016年5月至今,比特币的价格已经从3000元涨至1万元。本次全球爆发的勒索攻击中,最高的勒索赎金高达5比特币,超过了5万元人民币。
此前,勒索软件主要通过邮件传播,受害者收到的勒索软件程序往往被包装成与自己业务相关性极大的文件,中招者比例较高。此外,一位安全行业人士告诉21世纪经济报道记者:“很多企业员工安全意识薄弱,冒充企业客户跟客服QQ聊天,然后给客服发文件,客服中招概率也很高。”
阿里云安全专家告诉21世纪经济报道记者:“漏洞攻击包、水坑式攻击、恶意广告,或者大规模的网络钓鱼活动是勒索软件常用的发送方式,一旦勒索软件攻击成功,损失几乎是无法阻挡的。”企业自主恢复数据的成本往往大于赎金,因而基本只有“交赎金”一个选择。不过缴纳赎金之后也有可能被“撕票”。IbM的一份调查报告显示,70%的企业能在缴纳赎金后恢复数据。
而此次,勒索蠕虫席卷全球,通过系统漏洞进行勒索加密攻击的效率、覆盖范围远远高于以往任何渠道。多位安全行业人士分析,“这可能是一个只有几个人的团伙,勒索了全球。”
安全意识薄弱
Eternalblue等攻击工具的曝光,被安全行业称为“网络世界的重大灾难级危机”。不过,在这些工具被曝光之前,微软公司于2017年3月14日针对上述漏洞曾发了“MS17-010”补丁,并向用户推送修复上述漏洞。
“事实上,如果一些企业、政府部门具备安全意识,这次的攻击很可能防患于未然。及时修补漏洞就是最基本的安全意识,”一位安全人士告诉记者:“很多行业没有安全意识,往往会关闭系统的自动更新。甚至,虽然交了正版的钱,但仍然为了安装方便使用盗版软件。”
除此之外,被多次验证的445端口问题也未得到重视。阿里云安全专家告诉21世纪经济报道记者,2003年爆发冲击波病毒时,各大运营商就开始陆续关闭445端口,其后蠕虫病毒多次爆发,使得关闭445端口成为行业内防范蠕虫病毒的普遍策略。但是,教育行业、大量企业内网均未关闭445端口,也因此成为此次攻击的重灾区。
“包括教育行业在内的很多机构、企业,比较迷信‘物理隔离’,认为只要使用物理隔离的做法,系统安全就有保障,反而不重视安全管理和应急方案,安全能力较差。”阿里云安全专家介绍,“安全可见度、响应速度大打折扣,连多少服务器受到感染都无从得知,无法隔离处理,只能是‘一方中招,全网遭殃’。”
360安全专家也告诉21世纪经济报道记者,“隔离不等于安全,高校以及企业隔离的专网本身就是一个小规模的互联网,需要当作互联网来建设。”他强烈建议企业安全管理员在网络边界的防火墙上阻断445端口的访问,并升级设备的检测规则到最新版本,同时设置相应漏洞攻击的阻断,直到确认网络内的电脑已经安装了微软MS17-010补丁或关闭了Server服务。
5月13日,因为漏洞影响范围过大,针对已经停止维护的Xp、Win8等系统,微软也推出了相应补丁。