近日,WannaCry 勒索蠕虫席卷了全球,无数没打 MS-17010 补丁的 Win 电脑或服务器中招,尤其是不少学校、相关单位有各种大内网的,这一波直接导致这些机构工作瘫痪...

其实去年英国的Sky News天空电视台就曾报道过NHS使用的系统过老、防御性不佳的新闻,没想到短短一年,大规模的攻击真的发生了。

为何以往的比特币病毒并没有呈现如此大的规模和破坏力呢?这就要说一下这次勒索病毒的前世今生了。

2017年4月,一个名叫Shadow Brokers影子代理人的黑客组织,放出了一款名叫EternalBlue永恒之蓝恶意软件的密码,这个软件就是这次比特币病毒的源头软件。

020ednc20170515

那又是谁搞出了这个永恒之蓝呢?美国政府!

对,没错,就是美国政府。就连微软总裁(实力甩锅)都在微软指责美国政府部门“私藏了大量的漏洞信息”,给黑客可乘之机。史密斯表示,美国国家安全局(NSA)和中央情报局(CIA)等部门应当公布发现的系统漏洞,以便及时修复,而不是将漏洞当作奇货可居。

为什么是美国政府背锅呢?我们来细说一下。

NSA是美国政府机构中最大的情报机构,专门负责收集和分析外国和本国的通讯资料。

它旗下有一个名叫Equation Group方程式的组织,是十分先进又隐秘的计算机间谍活动团体,其中的不少成员是匿名的前情报组织成员,总数超过60人。

卡巴斯基实验室称EG是他们见过的最复杂和先进的网络攻击团体,喜欢用各种复杂的加密算法和混淆策略,十分难对付。

捡到漏以后,NSA弄出了永恒之蓝,用来监控恐怖主义和间谍的网络活动,更想进一步实现全球通讯监控,但没想到作茧自缚,自己也没有招架得住其它黑客组织的攻击。

2017年3月以前,NSA发现了微软Windows系统中的一个严重漏洞,但没有马上通知微软,取而代之的,搞出了永恒之蓝,用来进一步监控全球信息通讯。

4月14日微软发布了应急补丁,“强烈建议”用户安装。但4月15日,影子代理人破解了永恒之蓝的密码,并且发布到了网上供人下载。

直到5月12日,爆发了这场全球恶意软件攻击,到底谁是真正的始作俑者,谁又难辞其咎,吃瓜群众表示摊手。

这次攻击后,微软发声明说按了应急补丁的用户都没事(实力甩锅)

此外,斯诺登还针对这场大规模的恶意软件攻击连发几条推特,指责NSA的失职和不作为,造了一个让自己扑街的玩意儿。

他说:“如果NSA在找到漏洞时就悄悄把问题处理了,而不是酿成大祸时才来补救,这场全球范围的攻击根本就不会发生。”

002ednc20170515 (中国成为重灾区)

这场勒索风暴目前进账多少钱?

你可知道,这个大规模攻击全球的勒索病毒,至今为骇客们赚进多少银两?答案令人意外。

英国《卫报》(The Guardian)报导,比特币交易监控平台Elliptic创办人罗宾森(Tom Robinson)透露,这款恶意勒索软件有两种版本,一种出现在4月份,目前已确定与其相关的比特币地址,而团队也找出了和周五出现的版本有关的3个比特币地址。

罗宾森指出,根据数据资料,这三个地址至今仅收到8.2个比特币,价值约为1.4万美元(约人民币9.7万),加上和4月份版本有关的地址,约为2万美元(约人民币13.8万)。目前这些比特币仍存地址内没被提取,无法追查骇客行踪。先前有专家猜测,如此大规模的攻击行为,骇客到手的赎金可能逾10亿美元。

被勒索病毒加密的文件如何恢复?

13日,曾有媒体报道一个英国小伙“拯救世界”的消息,称他通过注册某个域名遏制了这场网络攻击。记者调查发现,这位迄今没有透露姓名等信息的英国网络工程师运营一家分析恶意软件的网站。他在网站上称,通过分析“想哭”软件发现,它预设如果访问某个域名就自我删除,而这个域名尚未注册,他通过注册这个域名并进行相关操作,成功阻止了“想哭”软件蔓延。

003ednc20170515

004ednc20170515 (勒索软件的样本部分程序码)

“这个说法并不全对,域名的作用其实有限,”安天公司安全研究与应急处理中心主任李柏松告诉记者,“一部分已被感染的电脑,确实可以访问这个域名而使勒索软件停止破坏,但当前最大的问题是大量内网节点已被感染,而有些节点无法访问这个域名,并且勒索软件很容易修改出不带有这一特性的新变种。所以,不能指望就靠这个域名拯救世界。”

“我们监测到的攻击量和感染量并没有明显回落,只是一个缓慢的持平和下降,”360公司首席安全工程师郑文彬也对记者说,“随着媒体推动和用户意识到问题,公众和机构的电脑逐渐打上补丁,这才是事态目前稍显缓和的主要原因。”

360安全卫士及腾讯安全发布文件恢复工具

5月14日凌晨2点18分,360安全卫士突然在微博上发布了一个360勒索蠕虫病毒文件恢复工具,声称可以恢复部分被勒索软件加密的文件。除了360安全卫士之外,微信支付携手腾讯安全云鼎实验室也发布了处理指南。

20160630000123