社交账号登录

社交账号登录

0/34

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

智能

[更新]影响最大的计算机诈骗病毒出现了加强版

徐弢2017-05-14 21:55:50

还在用老系统的 Windows 用户:赶紧更新系统

从周五开始全球范围的计算机病毒诈骗有了新的进展:攻击老旧 Windows 系统的勒索软件 WannaCry 已经在周六被确认有了新的变种,开始再次感染电脑用户,对文件进行加密、勒索赎金。

周日晚上 7 点,卡巴斯基实验室全球研究与分析团队的主管 Costin Raiu 在社交网站 Twitter 上称,所有他收集到的勒索软件变种都可以通过此前控制相关服务器的方式,阻止其进一步传播。周六,他曾告诉科技网站 Motherboard,有勒索软件的变种无法通过这种方式阻止,但对所有攻击软件做完分析后,他改了口。

不过,这次勒索软件的攻击者可能在计划新的攻击,有人在分析最新的攻击变体时发现,攻击者在多台机器上运行着多个勒索软件,这意味着后续还可能会有新的攻击事件。这次攻击还没有结束。

目前尚且不知道这宗攻击案背后的黑客获取到了多少钱。截止到北京时间昨晚 11 点,至少有 92 笔比特币汇款给到了攻击者的帐号上,预计金额达到了 1.2 万美元。

周六晚发布的原文如下:

过去一天里,包括中国在内的全球 99 个国家都遭受到勒索软件(ransomware)的攻击,覆盖多个公共服务机构和个人用户的 Windows 电脑。

英国卫生服务(NHS)机构电脑文件被锁住,被迫取消门诊预约、转移病人;其他受害者还包括西班牙最大的电信运营商、俄罗斯内政处以及联邦快递(FedEx)等,他们的电脑文件都被加密无法获取。

在国内,包括北大等多所高校都受到了攻击,连接校园网络的学生电脑上的文件也被加密、要求交付赎金。

所谓的“勒索软件”(ransomware),其攻击方式就跟敲诈勒索没有区别:黑客通过电脑漏洞黑入后对部分文件进行加密后,再以解密的秘钥为要挟,要求机主交付“赎金”。

这是目前最大的网络攻击之一。安全软件公司 Avast 称他们已经确认了 7.5 万次,影响了英、美、俄罗斯等国家或地区,其中重灾区是俄罗斯、乌克兰和台湾。

在这次攻击中,主要受到攻击的是老旧的 Windows 系统,包括 Windows XP、Windows 8 以及服务器所用的系统 Windows Server 2012。微软称,Windows 10 系统用户暂时还没有受到攻击。

勒索软件攻击,通过给电脑上的文件加密勒索用户|图片来自:mspoweruser

中招的电脑界面会出现这样一个窗口,告知用户他们电脑上的文件已经被加密,必须以加密的数字货币比特币来交付赎金。

选择比特币应该是因为它难以被追溯,攻击者开出的要价在 300-600 美元。

这次的勒索软件是怎么回事?

从周五开始,这款勒索软件攻击了多个国家的医疗、银行、学校等多个公共服务机构,但目前没有黑客团体声称为这次攻击负责。

这次勒索软件攻击被认为跟此前泄漏的一个 Windows 系统漏洞有关。4 月份,一个名为 Shadow Brokers 的黑客团体从美国国家安全局(NSA)挖到了一个 Windows 系统攻击工具 EternalBlue,这次的勒索攻击者在这个攻击工具的基础上,增加了自我复制机制,可以从一台被攻击的电脑传到另外一台电脑上,但还没有确定这次攻击者的信息。

在这次攻击中,勒索软件伪装成的发票单据、招聘的相关文件,附在邮件内传播。但跟常见的勒索软件不同的是,Wanna 病毒无需用户打开邮件或者下载就可以感染电脑文件。由于限制赎金以加密的数字货币比特币进行交付,勒索人的信息不像信用卡和银行转账那样容易被警方追踪。

这次攻击不仅仅攻击个别电脑,还可以影响到到整个网络。英国的安全架构师给 CNN 电视台举了个例子,如果一台受攻击的电脑接入到一家咖啡馆的网络里,勒索软件会传染给所有咖啡馆内的电脑。

在国内,勒索软件可以攻击校园网用于文件共享的 445 端口进行扩散,而像中石油的加油站,可能是因为没有升级系统的支付系统主机被攻击,导致了其他主机也受到影响,目前这些加油站被关闭了网络。

微软发布了安全补丁,一位安全专家无意制止了攻击

周五的官方声明中,微软称,他们已经给这个漏洞发布了补丁,那些开启了微软系统更新(Windows Update)的用户已经受到了保护。

此外,针对这次攻击的重点对象,包括 Windows XP、Win8 和 Windows Server 2012,微软在官网同样给出了安全更新补丁下载。

更进一步的扩散被一位安全软件公司的研究员阻止了。这位来自 Kryptos Logic 安全公司的研究管理着一个 Twitter 账号 MalwareTech,他通过注册一个被攻击者写死的网站域名,阻止了 Wanna 进一步扩散,但此前被攻击的电脑仍受到影响。

找到阻止方式更多是凭运气。这位研究员本身的工作内容就是寻找可以追踪各种不同的恶意程序的方式,他的方法是追踪那些可以控制恶意程序的服务器域名。

根据恶意软件的流传途径,他会找出那些跟恶意软件相关的、未经注册的服务器域名,然后反向追踪恶意软件,验证是否能控制这些恶意软件的传播。他为此注册了数百个这种域名,以便控制这些恶意软件。

在这次攻击中,他以同样的方式寻找到了跟这次勒索软件有关的一个服务器域名,并且做了注册。意料之外的是,他猜中了控制这次勒索软件的服务器域名。

由于受到攻击的电脑没法靠用户自己解开文件加密,这些加密的文件只能被攻击者解除文件加密,跟这次事件相似的勒索软件攻击中,用户只能加强防护,不能解决。


题图来自:Pixabay

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。