央广网

“勒索”病毒凭什么能绑架我们的系统

2017-05-17 06:51:00来源:中国青年报

  5月12日晚,全球爆发大规模“勒索”病毒(WannaCry)感染事件,只有缴纳高额赎金(有的要比特币)才能解密被病毒锁定的资料和数据。英国多家医院中招,病人资料受到外泄威胁,同时俄罗斯、意大利等多个欧洲国家,我国大量企业内网也大规模受到感染,有的甚至瘫痪。

  那么这个“勒索”病毒怎么来的,为什么这么厉害?被加密的数据还能够解开吗?“勒索”的比特币从哪来、怎么支付?教育网声明其不是重灾区,这次的安全应急响应是否过度?5月16日下午,中国计算机学会青年科技论坛(CCF YOCSEF)联合CCF计算机安全专业委员会共同举行一次“勒索病毒:凭什么能绑架我们的系统?”特别技术论坛,邀请国内信息安全领域内的知名专家、学者进行相关探讨。

  勒索到的235个比特币还未被领取

  “这是第一例蠕虫型‘勒索’病毒软件。”左磊是北京神州绿盟信息安全公司安全研究部总监,他先给这次爆发的“勒索”软件进行了定义,“蠕虫病毒主要是利用网络进行复制和传播,传染途径一般是通过电子邮件引导用户点击,但这次勒索软件又多了一步,利用漏洞快速传播,加密文件以进行勒索”。

  左磊介绍,今年2月就有人在网上宣称发现了这一恶意软件,3月也有人宣布发现。当时还是1.0版本,不具备蠕虫的性质。微软曾经在3月发布过针对漏洞的6个补丁,但一个月之后这一病毒软件2.0版本出现。左磊从技术角度分析了微软操作系统的漏洞是如何被“勒索”软件攻击的。这一软件攻击范围很广,许多系统可以传播。

  左磊也看到报道,英国一个年轻的IT专家通过分析“想哭”软件发现,它预设如果访问某个域名就自我删除,而这个域名尚未注册,他通过注册这个域名并进行相关操作,成功阻止了“想哭”软件蔓延。

  “这个软件5月14日出现变种,目前已经发现两个变种,第一个变种改动简单已经失效。”左磊说,“勒索”软件影响范围很大,他们监测到,截至5月16日13时有237笔被勒索的支付,包括235个比特币,约5.9万美元,折合41万元人民币,但目前没有人领取。

  北京理工大学计算机学院教授祝烈煌则给大家展示了被勒索的比特币是如何形成的,以及它与传统货币的区别、资金流向。他提出,要根据已经查明的3个资金流向地址,在网络世界中建立相应的反制措施。

  这是大规模“网络军火”扩散失控事件

  安天科技公司副总裁王小丰则把这款新型蠕虫式“勒索”软件称为“魔窟”:“安全从业人员这几天一直都很紧张,进行分析、应对,我们认为这是一起全球大规模‘网络军火’扩散失控事件。”

  他说,一个月前,安天就曾发布有关提示:“网络军火”扩散会在全球降低攻击者成本,会带来“蠕虫”回潮。此预警不幸言中。好在,此次国内的网络安全企业反应相对迅速。天安在5月12日晚就拿出了分析报告,并发出相关应对预案。并在随后针对“勒索”软件的防范发布指南,发布了免疫工具。

  “‘网络军火’攻击性强、穿透性强,会造成大规模灾难;我们的基础防御水平还很低;要举一反三,现在不是网络更安全了,而是隐蔽性增加了,难以被发现了。”针对此次攻击事件,王小丰有许多思考,他认为今后我们会面临更多“网络军火”攻击和失控的危险,“此次暴露出隔离网内漏洞比较多。过于依赖网络边界防护和物理隔离的安全体系,反而内部网络安全可能疏漏较多,系统安全治理工作也任重道远。”

  中标软件副总经理李震宁在论坛上