WannaCry大概是目前最成功的计算机攻击了。
从上周五晚间出现,到本周一为止,至少有150个国家的超过20万台Windows计算机被锁住。
这种病毒具有自我复制机制,可以从一台被攻击的电脑传到另外一台电脑上,所有受到感染的电脑会被锁住。想重新使用电脑或者拿到里面的文件,需要向黑客支付价值300美元的比特币。
很多大型服务机构,比如学校、医疗系统都中了招。病毒最早集中爆发的地点是英国,当地卫生服务机构(NHS)电脑文件被锁住,被迫取消门诊预约、转移病人。
其他受害者还包括西班牙最大的电信运营商、俄罗斯内政处以及联邦快递(FedEx)等,他们的电脑文件都被加密无法获取。
在国内,诸多高校、中石油加油站、公安系统(包括派出所、出入境管理等)、公积金系统也都受到攻击,通过微博或者现场张贴告示的形式,请民众暂时不要前去办理业务。
图中红圈处即为感染WannaCry的计算机。
但黑客收到的赎金只有5万美元,平均每台电脑0.25美元
与执法机构合作追踪比特币交易的表示,自从病毒爆发以来,黑客截止到本周一总共收到了大概价值5万美元的比特币。
Elliptic公司
总计20万台受感染电脑、5万美元“赎金”,相当于黑客每感染一台电脑拿到0.25美元。
以及,收到的5万美元等值比特币,还没有美国加州旧金山地区程序员半年工资多。,后者平均年薪约为11万美元、半年5.5万美元。据Glassdoor统计
考虑到这位黑客一旦被抓可能要在监狱里待上很长时间,这个收入实在不令人羡慕。
的网络安全研究员CraigWilliams表示,从获取的赎金角度来看,这是一场灾难性的失败。思科Talos团队
“哪怕是跟其他影响范围中小规模的勒索软件比,WannaCry的‘利润率’都是最低的。”
CraigWilliams说。
碍于比特币匿名、不容易追踪的问题,执法机构与Elliptic等公司合作,试图找出解决这个问题的方法。现在Elliptic通过跟踪比特币的地址尝试找到那些黑客。史密斯说,当黑客们试图提取比特币时,情况会变的明朗些。
“目前黑客还没有动过赎金。”史密斯说。
现在荷兰警方高科技犯罪部门、欧洲网络犯罪中心以及卡巴斯基和英特尔实验室共同发起项目,帮助人们在不支付赎金的情况下解锁电脑。nomoreransom
病毒的勒索手段很有力。目前被锁定的电脑不但不能使用,而且里面的数据也用不了。自攻击的72小时后,赎金将翻倍至600美元;七天后,被锁住的文件将被永久锁定。如果安全人员找不到解锁方法,文件需要很长时间才能解锁。
对于数据备份习惯不好的公司来说,长时间锁定数据的代价远远高于一台电脑300美元。
实际上越来越多的人也开始交赎金。“我们已经看到今天的支付数量开始上涨。”Elliptic首席执行官詹姆斯·史密斯(JamesSmith)告诉CNBC。
这几天交赎金的人怎么这么少?
付款缓慢的主要原因之一可能是因为很多人不知道如何获得和支付比特币。
根据,现在全球大概已经挖出1633万枚比特币、存在171万个地址。BitInfoChart统计
比特币的地址可以简单理解为是一种不需要实名登记的银行账户。
也就是说,全球最多只有171万人用过比特币。考虑到一个人可以持有多个账户,实际用过比特币的人会更少。
并且56.2%的账户拥有的比特币数量还不到0.001枚(12人民币左右)。事件发生后,比特币的报价从1830美元/枚跌到1665美元/枚。
史密斯解释说,如果一家企业被告知需要支付这个数量的比特币,大多数时候会问“什么比特币?”
在大型企业或者机构,按照流程换一大笔比特币也是个问题。以及,设置比特币钱包和交帐户也需要一定的时间。
再遇到中国企业,比如中石油,可能还会问一句,“增值税发票有么。”
这些都是麻烦。所以尽管比特币有匿名特性,从技术上适合敲诈、勒索,但实现起来还是挺难的。
而了解比特币的人则会担心赎金支付了拿不到密钥。
网络安全公司星期天在一篇博文中说此次勒索的解密过程本身是有问题的:“跟其他勒索软件幕后黑手比,WannaCry似乎并没有将付款与付款人的方式联系起来。大多数勒索者都会为每个受害者生成唯一的ID和比特币钱包,从而知道给谁发送什么样的解密密钥。但WannaCry只要求你付款……”CheckPoint
,他们发现一个受害人支付赎金12小时后还没收到解密密钥,“他们(黑客)没有准备好处理这个规模的爆发。”思科的团队则补充说到
,“他们只提供一个比特币地址,而不是为每个受害者提供一一对应的比特币地址,说明他们想问题很简单。”ErrataSecurity的安全顾问RobGraham说
技术人员进一步发现,支付赎金中界面的“查看付款”按钮实际上甚至不检查是否已发送任何比特币,让后来人几乎没有任何动机去付款。
最后还有一个原因是数据备份。此次病毒影响的是采用早期Windows操作系统的电脑。有现代IT部门的公司(遗憾的是很多公司没有),都不会在服务器上部署这些系统,并且会备份数据。
这意味着有些公司只需要给员工换一台电脑,就能保证工作正常进行。虽然会有所不便,但并不致命。而且今天很多笔记本电脑采购价并不比600美元赎金更贵。
虽然黑客没赚多少钱,但损失还是很大
网络安全机构Cyence告诉,根据他们预测模型,WannaCry预计在全球造成约40亿美元损失。还有其它一些机构声称损失可能控制在“上亿美元规模”。
CBS新闻
这个厉害的病毒利用了微软Windows系统的一个漏洞,它浮出水面可以追溯到去年8月攻破美国国家安全局(NSA)的一个分支EquationGroup。NSA平时使用的网络武器、源代码等资料遭到泄露。ShadowBrokers
它们曾分别在Github和Tumblr开设账号分享文件和事情进展,但目前均无法访问。当时ShadowBrokers只提供了60%的泄漏数据,剩余数据将以拍卖的形式公布,要价一百万枚比特币(按当时价格计算约合5.68亿美元)。
泄露的数据大部分是安装脚本、配置文件以及命令和控制服务器,以及专门用来破解思科、Juniper等美国企业防火墙的工具。工具包里就有这次WannaCry攻击用到的“永恒之蓝”。
截图是部分受威胁的中国IP。
。一个说法是他们只收到2枚比特币。过了两个月ShadowBrokers发起第二波拍卖,“只要”10000枚比特币,不过还是没人买;最后又转到ZeroNet平台销售部分黑客工具,遇到的是一样的结局。但那次拍卖并不成功
借着对特朗普执政表达不满,ShadowBrokers在一篇致特朗普的公开信结尾,公布了文件密码。
跟此次WannaCry病毒前后有关联的数起事件
2001
被称为“永恒之蓝”(EternalBlue)的漏洞首次出现在WindowsXP中,并且自此以后存在每一版Windows中;
2001-2015
美国国家安全局在某个时间发现这一漏洞,不清楚他们是否使用该漏洞(发起攻击);
2016.08
一个名为“ShadowBrokers”的小组声明黑了美国国家安全局,取得相关资料和入侵工具;
2017.01
ShadowBrokers出售盗取的Windows漏洞,包括SMB零日漏洞。这可能就是WannaCry中使用的“永恒之蓝”;
2017.03
微软悄然修复一批漏洞,包括“永恒之蓝”。但微软没有对谁表示感谢。可能是美国国家安全局提醒了它们;
2017.04
ShadowBrokers发布一批新漏洞,包括“永恒之蓝”,可能是微软已经修复该漏洞的关系,大大降低零日漏洞攻击的价值;
201705
基于“永恒之蓝”的WannaCry发布,并被传播到大约20万台计算机。
回过头看,整件事始于美国的情报机构攒了许多漏洞、开发了一系列攻击工具,准备在关键时刻攻击其它国家或者组织的计算机基础设施。
结果还没到政府想用的时候,它就被人偷了、用于勒索式的攻击。
事件发生后,微软称自己已经在一个多月前修复了最新Windows系统的漏洞,只是很多电脑没有更新所以被攻破。随后,微软是政府囤积漏洞结果对其失去控制,导致这次重大的网络安全事故。
在一篇博文里指责
此次事件再次说明了计算机基础设施的脆弱,以及政府幻想给“好人”留个后门是多么危险的一件事。这也是为什么政府在iOS系统留后门的要求之后,美国所有大科技公司都去支持它。去年苹果公开抵抗
今年3月,微软按照中国要求,完成中国政府定制版Win10开发,原因是中国担心微软零售版操作系统可能隐藏“后门”。至于具体做了什么改动,微软也没说。
总之,只要漏洞存在就有危险,不管它当初是为谁留的。
制图:冯秀霞
题图/卡巴斯基
举报/反馈

好奇心日报

22万获赞 39.8万粉丝
让好奇驱动你的世界!
北京酷睿奥思科技发展有限公司
关注
0
收藏
分享