5月12日,全球至少99个国家遭受一种电脑勒索软件的攻击。受害者最严重的包括英国的医院、德国火车站系统、俄罗斯内政部,以及中国的一些高校。
此次袭击中受影响最大的是英国医院系统的电脑,许多等待急救和手术的病人被延误。英国医院系统还在使用至少有5年没有更新过系统的Windows XP。
Twitter账号为 @MalwareTechBlog的一名英国信息安全研究员发布消息警告称,这场规模前所未有的危机还未结束,攻击者还会尝试更换代码,并进行新的攻击。他提醒用户应立即更新到最新的操作系统,以免被二次感染。
另外,@MalwareTechBlog 自称发现了隐藏在WannaCry中的一个“删除开关”。根据开关机制,恶意软件会向一个域名发送请求,如果请求得到响应,“删除开关”就会生效,恶意软件就将停止传播。@MalwareTechBlog自称花了10.69美元注册了该域名,结果收到了每秒数千次的连接请求。
网络安全公司Proofpoint的卡莱姆伯(Ryan Kalember)表示,这对延缓勒索病毒的传播起到了巨大的作用。
电脑被这种勒索软件感染后,通过电子邮件传送的Word、PDF等文件会被加密锁住并传播给系统内的其他相连用户。用户要支付黑客所要求的赎金后才能解密恢复。据悉,勒索金额最高达5个比特币,目前价值人民币5万多元。
此次勒索信息是用28种语言进行传播的,这么大范围的传播也说明这种威胁的高级程度。
本次爆发的勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。
目前还不清楚这一轮袭击背后的“元凶”是谁,但新华社的报道称,由于软件名称相似,这种勒索软件可能是此前不法分子利用了美国国家安全局(NSA)网络武器库中泄漏出的黑客工具。这些软件本来是NSA用来攻击全球计算机的。
2016年8月,一个名为“Shadow Brokers”的黑客组织入侵了NSA下属的黑客组织方程式组织(Equation Group),窃取了大量机密文件,并将部分文件公开到了网上。被公开的文件包括不少隐蔽的地下的黑客工具,“Shadow Brokers”以100万比特币售卖,但最终只收到了2比特币。当时就有人怀疑这个组织夸大了其攻击的范围。
今年4月8日,宣布不再售卖黑客工具的“Shadow Brokers”免费公布了NSA文件保留部分的解压缩密码,有人将其解压缩后的上传到代码托管网站Github提供下载,包括23个新的黑客工具。
4月15日,“Shadow Brokers”又披露了一些恶意软件,包括最新的NSA黑客工具和漏洞利用代码,它们针对微软Windows 10之前的多个版本,目标包括环球银行间金融通信系统(Swift)、IBM旗下的Lotus Domino、微软Outlook Exchange WebAccess、甲骨文公司的数据库等。
微软公司在今年3月份就发布了该漏洞的补丁。但许多系统可能尚未更新安装,因此仍未受到恰当的保护。据Net Market Share的数据,全球65%的桌面计算机安装的都是不安全的Windows系统。
而网络安全公司Agari的首席科学家Markus Jakobsson猜测,鉴于俄罗斯受攻击的密集程度,发起这一轮攻击的也有可能是来自俄罗斯的其他黑客。
本周五的大规模袭击事件之后,斯诺登在Twitter上向前雇主NSA发难:“如果当时NSA能及时在发现受到攻击时修补漏洞,而不是等到丢失后再行动,那么这次事件很可能就不会发生。现在国会应该下令NSA亡羊补牢。”
去年洛杉矶一家医院遭遇了类似的勒索软件攻击,最终医院向黑客支付了价值17000美元的赎金。
NSA的前合作公司Synack的首席执行官Jay Kaplan说,美国政府并不是唯一拥有这些黑客技术来保护安全的国家。
像很多国家的安全机构一样,NSA会借助这些黑客工具来收集网络武器以及普及型操作系统的漏洞和软件,以用于收集情报或者参与网络战争。截至目前,NSA尚未就此发表意见。
本文转自d1net(转载)
