来源:蜘蛛抓取(WebSpider)
时间:2017-11-29 19:09
标签:
比特币勒索病毒新闻
比特币勒索病毒到底有多可怕?_观点评论_财经_中金在线
扫描或点击关注中金在线客服
下次自动登录
其它账号登录:
||||||||||||||||||||||||
>>&&>> &正文
比特币勒索病毒到底有多可怕?
作者:佚名&&&
中金在线微博
扫描二维码
中金在线微信
扫描或点击关注中金在线客服
5月12日晚间,全球近100个国家的微软系统计算机同时遭到名为WannaCry(想哭吗)或WannaDecryptor(想解锁吗)的电脑病毒袭击。被感染病毒的计算机想要解除锁定,只能向对方支付所要求的比特币,否则硬盘将被彻底清空。目前勒索病毒已肆虐中国多所高校。而国家网络与信息安全中心也发布了防勒索病毒补丁地址。
这次勒索病毒袭击事件来势汹汹,俨然一场空前的大灾难,很多媒体都用了“沦陷”、“危险1等字样。但实际上,只要我们的电脑系统经常更新,就不会受此次病毒攻击。微软今年3月份的安全更新中,就有针对这次勒索病毒利用的漏洞的安全修补程序。
此次勒索病毒的前身,是之前泄露的NSA黑客武器库中的“永恒之蓝”攻击程序,如今被不法分子改造后变成了现在的勒索软件。
这跟实验室里的生物病毒被盗润,如不向其支付金钱,就将病毒投放到社会上传播一样。而如果大家有印象,就会记得,去年年初美国FBI与苹果等硅谷公司之间有过一场争论,即电子产品是否应为执法部门留下“后门”,以便用于打击恐怖分子。现在大家应该心里有了答案:没有人能制造绝对的安全系统,也没有绝对安全、只为“好人”所使用的“后门”。只要工具制造出来了,坏人总会有办法拿到——在这个世界上,也没有只能为“好人”所用的武器。工具没有好坏,决定其利弊的,是使用它的人。
系统的安全性永远是相对的。如果黑客想要针对你的电子设备进行攻击,基本没有任何可能幸免于难。只不过,对于类似的没有针对具体个人的计算机病毒,普通用户仍有办法逃过一劫。勒索病毒虽难根治,却可以预防。像前面说的,如果及时更新了系统,打上安全漏洞补丁,这次攻击就与你无关。
对国内公众来说,更新系统版本,并使用正版的系统也尤为重要。这次袭击发生后,会发现,很多人的系统仍停留在WindowsXP这种已被微软公司停止支持的系统。微软此次不得不发布特别的补丁以帮助用户消除威胁。但如果某些人的系统是盗版,那只能通过其他方式解决了。现在大家为内容、为音乐等版权支持费用的习惯正慢慢养成,在系统安全方面不妨也有此意识。
除此之外,备份系统和资料也是“必备修养”。其实,人们最初买来的笔记本都安装了正版系统,只是后面由于出现各种问题,不会或不能恢复系统时,就直接用盗版系统重装。如果有备份习惯,出问题时,掌握一点技巧,就能将电脑恢复到任意时间点的状态,就不怕这种勒索病毒了。
现在,我们越来越依赖于电子设备,无论是电脑还是智能手机等移动设备,上面加载了我们很多重要的隐私、安全信息。但世上没有绝对的安全系统,唯一能保证电子设备相对安全的,就是养成好的习惯。
——摘自《新京报》,
责任编辑:cnfol001
我来说两句
24小时热门文章
栏目最新文章||广告合作:
||||||||||||||||||||||||||
比特币是什么?勒索病毒为什么叫比特币勒索病毒?勒索病毒为何只要比特币 各国政府如何看待比特币
&WannaCry!
5月12日晚间开始,一种锁死电脑的恶意软件&想哭&正在世界各地迅速传播,目前已经有近百个国家和地区的数万台电脑遭到攻击。黑客将电脑中的资料文档上锁,并要求支付300美金等价的比特币才能解锁文件。
截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受&永恒之蓝&漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。
为什么是比特币?
受此消息影响,比特币结束了4月29日以来连涨的趋势。由此,大家开始了质疑比特币和其他虚拟货币的安全性以及所谓的&去中心化&是否存在漏洞。
多位虚拟货币投资者和区块链圈人士表示,这次的勒索病毒与比特币本身并无直接关系,而黑客要求以比特币进行赎金支付,恰恰是看中了比特币在支付转账时的全球化、去中心化和匿名性等&优势&。
躺枪背后有玄机
实际上,这种黑客勒索软件从1980年开始就已经存在。根据Cyence的资料显示,黑客往往锁定医院、企业等一些资讯化程度不高的场所,平均每单的赎金支付在500~1000美元。而由于比特币的存在,让全球勒索相比盗刷信用卡之类的犯罪,变得更加低成本和低风险。
比特币投资者普遍认为,比特币被用于勒索,是因为比特币不仅相对于其他传统支付工具有优势,同时在其他虚拟货币中也是最佳选择。
首先,比特币有一定的匿名性,便于黑客隐藏身份;
其次它不受地域限制,可以全球范围收款;同时比特币还有&去中心化&的特点,可以让黑客通过程序自动处理受害者赎金。
相比于其他数字货币,比特币目前占有最大的市场份额,具有最好的流动性,所以成为黑客选择。
除了勒索之外,一些黑暗网络中的犯罪,例如洗钱、非法交易、逃避外汇管制等也利用了比特币的匿名性特点。
2013年10月,一家利用比特币进行匿名非法买卖的电子交易平台Silk
Road被美国多个执法部门查缴,同时被查封的还有26000个比特币,当时约值360万美元。平台创始人和运营者罗斯&威廉姆斯&乌布利希&&一个从无前科、正在攻读学位的29岁的年轻人以&恐怖海盗罗伯茨&(Dread
Pirate Roberts)的另一重身份活跃在网上,在短短两年时间内将Silk
Road变成网络世界最大的黑市,拥有近100万名客户,销售总额高达12亿美元。在这个平台上,服务涵盖了办假护照、假驾照,非法入侵系统和获取信息,买卖毒品、武器,色情服务等,只是所有交易通过比特币支付完成。
利用了比特币的匿名性特征,犯罪分子&完美&的避开了监管通过银行卡交易记录追踪每笔钱来龙去脉的可能。
比特币还被利用来洗钱和进行资产非法转移,用本国货币买入比特币,在国外交易平台上卖出,再以美元取出,几分钟就可以完成资产转移。
也有观点认为,黑客很可能也想顺便搜罗些比特币。
全球来看,关注或参与比特币交易的用户数量近年来不断攀升,截至目前,活跃用户数量已经从2013年的平均160万人次上升至目前的870万人次。而在比特币产出数量跟不上交易规模的情况下,必然导致供不应求,天然的稀缺性成为导致比特币价格不断上涨的首要原因。
【责任编辑:张怡 】
热门点击排行
中国·河南·郑州国家经济技术开发区第五大街经北三路
电话:6 (广告)
联系信箱:
邮编:450016比特币勒索病毒Cerber升级:Cerber4变身随机后缀,病毒分析
从今年3月开始,Cerber敲诈者病毒家族开始在世界各地肆虐。在中国,Cerber3则成为近期敲诈者大军中的“明星成员”,电脑中毒后文件后缀变为cerber3的受害者求助在各大论坛比比皆是。
对贪得无厌的病毒制作者来说,变种更新的速度也是极快的,新一代Cerber病毒——Cerber4又很快涌现出来。但这次它不再使用标志性的Cerber系列后缀,而是把加密文件后缀修改为4个随机字符(数字和字母),例如.w2qt等。
360QVM团队在监测到Cerber4病毒变种后进行深入调查,发现该变种主打网站挂马传播,且更新了多国语言版本的勒索(根据本地语言),将勒索信息存于后缀为hta的进程中。此外,Cerber4还增加了判断本机时间执行恶意操作、关闭数据库进程以加密数据文件(解除文件占用)等新的特性,但是在病毒运作流程上又回归了更传统的傀儡模式。以下是详细技术分析:
一. 传播方式
Cerber4作者使用了一些Exploit工具对有漏洞的网站进行渗透,接着注入EITest脚本,最后执行最主要的payload进行下载cerber4。
二. 病毒运作流程
A.cerber3流程
如上图所示,cerber3本身是一个加载器,加载器使用了各种混淆技术来绕过杀软的特征检测,并通过最外层的loader加载器释放解密后的shellcode_1。Shellocde_1又充当了一层加载器,开始解密并释放shellcode_2。Shellcode_2也是一层加载器,只不过没有再进行解密释放shellcode_3。而是使用UnmapViewOfSection卸载当前的ImageBase。并把shellcode2写入到原ImageBase处。进行PE修复后,将eip设置到进程的入口点。于是乎开始执行勒索软件真正的功能了。
B.cerber4流程
Cerber4去除了Cerber3繁琐的加载流程,取而代之的是更为传统的傀儡模式:CreateProcess-》GetThraedContext-》ZwUnMapViewOfSection》WriteProcessMemory—》SetThreadContext-》ResumeThread。
三. 病毒分析(cerber3)
A.loader加载器
a. 初始化Loader结构体
加载器动态的将初始化的数据存放置此结构中,以此绕过静态扫描
b. 最外层加载器
最外层加载器函数如下:
1.获取data段首4字节中的内容,此数值为shellcode_1需要分配的大小
2.分配该数值大小的内存,用于存储shellcode_1
3.从data段首地址+4处拷贝上述shellcode_1大小的内容到shellcode_1中
4.开始解密(分2步)
第一步:通过简单的加减运算单个字符来实现。
第二步:将shellcode_1+4处的4字节作为亦或运算的key,使用key解密
5.跳转至shellcode_1入口处
c. Shellcode_1充当加载器
Shellcode_1加载器函数如下:
与之前类似,这里只贴一下部分重要函数
1.解密函数:简单的加减和亦或运算
2.跳转shellcode:
d. Shellcode_2充当傀儡进程
1.修复PE
2.UnMapViewOfSection并写入修复好的PE进行傀儡
B.文件加密
加密的配置完全依据病毒内存中的json中的内容来进行操作的。大致上有如下几种:
1. 文件夹黑名单(不能加密的文件/文件夹,如Windows文件夹等)
2. 语言地区黑名单(不能加密的地区,如:俄罗斯,乌克兰,比利时等东欧/中欧国家)
3. 需要加密的文件后缀名(主要是一些mdb,db等数据格式的文件)
4. 加密算法以及加密行为的一些配置
分别为:加密分块的最大大小以及加密区域的个数,最小的文件大小,是否开启多线程模式来加密文件,是否加密网络共享盘,加密后的文件名后缀,rc4
key的大小,rsa key的大小以及经过base64加密后的编码。
经过base64解密,我们可以知道这是一个2048位rsa加密的公钥
5. 勒索的html文件以及txt文件中的内容,也是经过base64加密编码过的
经过base64解密后,我们可以很明显的看到html的标题为勒索文件的html内容
6. 行为配置,操作系统判断,端口,C&C服务器等等
分别为:是否移除卷影副本,是否删除自身,操作系统信息,C&C服务器地址,连接成功后发送的标示,C&C服务器端口,是否需要发送,发送超时时间,成功感染后是否需要语音提示,语音提示重复次数以及语音提示的内容。
7. 壁纸配置(是否需要改变壁纸,壁纸内容等),成功加密后将勒索信息显示在桌面上
8. 文件夹白名单(必须要加密的文件/文件夹,如outlook,powerpoint等文件夹)
9. TOR缴费网站经过base64加密后的编码以及解密后的原文
a. 加密前的准备工作(信息收集)
cerber3首先会在加密前判断PC所使用的语言,若存在为json配置中languages列表中的,则不会触发cerber3加密文件的功能
cerber3其次收集PC上相关的信息,并使用UDP单向传输发送到json配置中servers.
Statistics.ip的C&C服务器上。
发送内容的格式为json配置中的servers.data_start所包含的信息,大致如下:
下图为一个发送knock的例子:
b. 加密前的准备(遍历满足要求的文件)
首先,cerber3使用双管道技术负责接收cmd的收发命令消息
并使用命令“C:\Windows\system32\wbem\wmic.exe shadowcopy delete”
来删除磁盘卷影,达到无法还原备份的作用。
接着,依据json配置中的multithread来决定是否使用多线程的方式来加密文件,如果multithread为1,则使用多线程加密,达到加速加密文件的效果。总线程的数量等于处理器的个数*2+2
接下来,根据json.network的数值来判断是否需要遍历网络共享文件,若json.network为1,则遍历。典型的有vmware的vmhgfs共享文件。
下图为满足json.network为1的情况下,cerber3判定vmhgfs服务存在的依据
然后,开始遍历文件,加密白名单中的文件(json.whitelist),躲避黑名单中的文件/
文件夹(json.blacklist)。满足要求的文件将会被存储下来,为下一步文件的加密做好准备。
c. 正式加密文件
首先,将目标加密文件名随机化。
根据原文件名称的长度生成从特定串{a-z,A-Z,0-9,-}中随机组成的字符串来当做文件的名称。并且将后缀修改成.cerber3
接着,从文件偏移0x200处读取N个字节(N不定,一般地,N的数值为0x36),并对这N个字节做murmurhash处理,最后存储到一个结构体里。
根据Magic:0xCC9E2D51,0x1Bx85EBCA6B
搜索引擎走起,可以得知是murmurhash。
然后,开始从偏移0x200+N处到文件末尾-M个字节处进行RC4加密并写入。
随机生成的16个字节的RC4 key
加密过后的buf如下
这样,头部加密的数据结构如下图所示
尾部追加的数据( 解密块数据)分为3大部分:
1. 第一块经过rc4加密过的数据结构
再未加密前,它的格式是这样的
2. 第二块经过rsa 1024位加密的数据结构
RSA 1024加密
再未加密前,它的格式是这样的
3. global rsa2048加密过的rsa1024(public/private key)
尾部数据块整合格式如下
被加密后的文件格式如下
其中global rsa 2048的公钥在json的配置中存储。
C.勒索方式
创建线程从json配置文件中获取勒索文件(html/txt)的base64加密后的编码,获取私人的TOR地址并解密编码,写入当前被加密的文件夹下。获取json.
wallpaper中的壁纸配置,并写入桌面壁纸。最后,获取json.
Speaker中的语音次数以及语音内容,最后以一个女声的形式来提示你文件被加密了。大致意思就是:恭喜你,感染了cerber3!您需要掏钱解决问题!
勒索文件(html/txt格式)的线程生成函数
四. 病毒分析(cerber4)
cerber4基本没有什么很大的变化(文件加密)。主要是做了一些优化的工作。
A. loader优化
废除了cerber3繁琐的加载过程,取而代之的是更为传统的傀儡进程模式,当然这里面还有一些适当的字符串混淆为了逃避杀软的静态特征扫描。此法可以有效地增加调试难度。
传统的进程傀儡大致流程如下:
CreateProcess-&GetThreadContext-&ZwUnMapViewOfSection-&WriteProcessMemory-&SetThreadContext-&ResumeThread
Cerber4还会判断本机时间是否是2016年,如果是2016年,才执行后续恶意操作。
这也就意味着,只要将本机的本地时间修改为非2016年,那么cerber4就不会进行后续的恶意行为。猜测作者可能是为了选择合法/干净的电脑下手。
B. 数据库进程遍历
Cerber4会遍历正在运行数据库,并杀死它们。使得被数据库进程加载的数据库能够正常的被加密,避免了文件被占用(句柄未关闭)的问题。
具体的数据库进程存在于它的json中。和cerber3类似。
不同的是新增了配置项:close_process。当close_process为1时,执行遍历并杀死数据库进程的操作(常见的数据库进程有mysql,sqlserver,oracle等)
C. 拓展名随机化
相对于cerber3(后缀为.cerber3),cerber4将被加密后文件的拓展名更换为4位随机字符(数字/字母)。例如(.qw2g等)。可能是因为影响力太大了。想低调低调。
D. 友好的语言提示
cerber4在json配置中的勒索文件后缀由原来的.html更换成了.hta,并启动此进程显示勒索信息(根据本地语言)。
五. 可预见的解密过程
当勒索者收到赎金后,会提供给受害者RSA2048位的私钥,通过这个私钥可以解锁尾部数据块的第三部分,拿到RSA1024位加密的私钥和公钥。通过RSA1024位的私钥可以解锁尾部数据库的第三部分,拿到rc4的key,从而得到key
stream。从而解锁尾部数据库的第一部分,头部数据以及中间主要被RC4加密过的部分。至此,文件解密全部完成。
六. 防护措施
从2015年开始,敲诈者类病毒在中国逐渐成为互联网上的一个重要威胁,病毒与安全软件的对抗也在持续升级,病毒在花样翻新地尝试各种方法发出致命一击,安全软件则需要全天候响应查缺补漏,为用户布设坚固的防线。可以想见,攻防的对抗仍然会持续下去。
在此360QVM团队提醒广大网友:重要数据应定期备份;操作系统和浏览器、Adobe Flash
Player等基础软件的漏洞补丁应及时安装,可以免疫绝大多数来自恶意网页或客户端的挂马攻击。此外,系统应设置显示文件后缀,他人发来的可疑程序或脚本(如exe、scr、js等)不要双击运行,这样就能最大限度的避免中招。360安全卫士也已开通了“反勒索服务”,并向用户公开承诺:使用360安全卫士11.0版本并开启该服务后,如果仍防不住敲诈者病毒,360将提供最高3个比特币(约13000元人民币)的赎金帮助用户恢复数据,全方位保障用户的财产和数据安全。本稿件所含文字、图片和音视频资料,版权均属齐鲁晚报所有,任何媒体或个人未经授权不得转载,违者将依法追究
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。比特币勒索病毒这件事,让所有人意识到一个严重问题
我的图书馆
比特币勒索病毒这件事,让所有人意识到一个严重问题
比特币勒索病毒这件事,让所有人意识到一个严重问题
王新喜 腾讯科技
功能介绍 只供应最有营养的科技大餐!
关键时刻,第一时间送达!文 / 王新喜微信公众号 / 热点微评巴菲特不久前在伯克希尔哈撒韦股东大会上说:“我对大规模杀伤武器是很悲观的,但我认为发生核战争的可能性要低于生化武器与网络攻击。”没想到,巴菲特一语成谶。关于当前全球肆虐的比特币勒索病毒,正有扩大化的趋势,目前受到了“勒索”软件的攻击的机构遍布全球,包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等地。当前中英两国受害最为严重,据说英国的 NHS 服务受到了大规模的网络攻击,至少40家医疗机构内网被黑客攻陷,电脑被勒索软件锁定,黑客则通过锁定电脑文件来勒索用户交赎金,而且只收比特币。在国内,除了教育网、校园网以外,这种病毒的影响范围疑似在逐渐扩大。微博上有用户反馈,今日北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。但总的来说,当前中国众多高校貌似中招比较严重,很多即将毕业的大学生成为了受害者。据英国金融时报报道,该病毒的发行者利用了去年被盗的美国国家安全局(NSA)自主设计的 Windows系统黑客工具 Eternal Blue,把今年2月的一款勒索病毒进行升级后之后就成了WannaCry。这个病毒会扫描开放 445 文件共享端口的 Windows 设备,只要用户的设备处于开机上网状态,黑客就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。当前多数病毒需要诱导用户主动点击附有病毒攻击代码的附件或者相关木马链接才能中招,WannaCry病毒的可怕之处是,它无需用户做任何操作,就可以在同一个网络的计算机之间传播并且进行复制,形成链条式的传播扩散。但事实上,根据当前多数安全专家的观点是,被病毒加密的文档基本不可恢复,无论交不交赎金。除非你拿到病毒加密的密钥,但这基本是不可能的。我们需要注意的是,这个病毒是蠕虫式的传播,利用的是windows操作系统存在的安全漏洞,病毒攻击的那些电脑导致文件被锁定基本都是没有打过补丁的。用户想要开启文档时,勒索软件就会通过弹出窗口、对话框或生成文本文件等的方式,向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码。我们从这次病毒攻击的目标对象(医院、学校、政府机构、企业)可以看出,病毒危害波及的受害者层面广,往往都涉及到国家企事业单位层面或者公立的医疗机构企事业单位,危及国家层面上的网络安全。而我们也有必要了解下美国国家安全局(NSA),据说NSA旗下的“方程式黑客组织”使用的网络武器有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。这其中的网络武器,包括可以远程攻破全球约70%Windows机器的漏洞利用工具。这次事件是美国国家安全局(NSA)黑客武器库泄露出来的永恒之蓝实现的,实现方法是加密重要文件,这个加密算法以目前的科技水平基本上没法破解。无需任何操作,只要联网就可以入侵电脑,瞬间血洗互联网。那么这次只是黑客无意间拿到了NSA其中的一款工具——永恒之蓝牛刀小试,就已经血洗全球互联网。这无疑在告诉大家,全世界的电脑这么多年其实一直都在裸奔,直到这次黑客终于把这些黑客工具从美国国家安全局(NSA)偷了出来加以利用,人们终于意识到了这种裸奔的风险。那么如果没有这次黑客的行动,我们是否可以认为,人们的网络安全其实也是被捏在NAS手里?只不过,人们愿意相信,NAS是不作恶的。但这依然无法回避的一个事实是,许多大规模杀伤性网络武器事实上是掌握在NAS手里,因为全球PC互联网基本上都在windows操作系统的覆盖之下,手握大量漏洞攻击工具的NAS它如果要作恶,全球的互联网安全会是多么脆弱?尤其是当前国内,从PC互联网到移动互联网均无自主操作系统的前提下,国内的互联网安全脆弱程度可以想象。网络安全无小事,全球互联网的操作系统基本上就掌握在微软、谷歌、苹果手里,人们的信息、账号、隐私、安全等各种隐私越来越多开始转交给科技巨头保管,安全不能只停留在各巨头的口头吹嘘,它们更应关注信息浪潮中革命进程的安全变革与组织结构是否能够支撑捍卫无数用户的安全隐私的权利。这无疑也体现出,黑客对于傲慢的互联网巨头的施加颜色,对于他们而言某种程度是一次警钟的敲响。在此次病毒事件之前,早前XcodeGhost入侵苹果iOS事件也是对傲慢的苹果在系统级安全层面的一次嘲弄,让人们看到苹果公司在操作系统研发功底与沉淀上技术实力并非牢不可破,一次黑客的攻击可以打击他们的傲慢,挽救它们可能因后续更大的漏洞造成更大的伤害。这次中招的用户均为 Windows 用户,几乎都是使用 Windows 7 的用户,尽管其它操作系统如 Mac OS、Android、iOS 均未中招,但我们依然可以看到系统层面的漏洞病毒攻击波及范围往往是全球性的。这次事件是一个警醒,也提醒国内的互联网巨头甚至国家安全机构自主操作系统的重要性。有网友提到,如类似漏洞在战时被利用,破坏力无疑相当于在敌国首都扔一颗核弹。众所周知,当前从桌面到移动端,所有的操作系统巨头都掌握在硅谷巨头手里,在一个日渐信息化的世界里,未来各国之间爆发网络战的可能性也并非为0。然而,在操作系统受制于人的情况下,拥有全球性自主操作系统权限的一方若发动信息网络战,其攻击力与杀伤力事实上是远大于传统战争。但当前以国内目前的行情来看,能写出所谓自主的PC端操作系统的可能性为0。尽管开源系统的操作系统有麒麟、红旗等桌面操作系统,但开源系统因为内核是别人的,也没做过架构上面或者某些方面特殊的优化,所以并不是自主操作系统,意义不大。而国产操作系统起步比较晚,而且建立一个完整的软硬件融合的生态系统并不是一朝一夕之功,周期太长,设计、研发、资源、技术上要投入大量的人力,况且一个新的操作系统没有应用软件生态来支撑,就等同于一个空壳,是没有价值与意义的。但有人也提到,国内做操作系统,人们更容易想到的是骗取补贴以及有更多的理由去开各种后门。但总的来说,这次病毒事件可能是一次警醒,对于用户来说,定时备份重要文件与资料或者使用云存储服务存储资料的重要性。同时也提醒国内在互联网操作系统方面的政策顶层设计层面要有一定的长远战略规划,尤其是要关注国家重要机构、公共安全、医疗机构与机密单位的网络安全与自主操作系统的建设与推进,也需要在顶层政策方面整合各方资源,为国产操作系统做些准备与考虑,避免在特殊极端情况下受制于人。
长按二维码向我转账
受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。
微信扫一扫关注该公众号
TA的最新馆藏
喜欢该文的人也喜欢比特币勒索病毒肆虐,带给我们怎样的反思?_创事记_新浪科技_新浪网
比特币勒索病毒肆虐,带给我们怎样的反思?
欢迎关注“创事记”的微信订阅号:sinachuangshiji文/何帅今年4月份,网络安全领域就有信息披露,美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器被公开,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。据悉,这些被曝光的NSA恶意软件无需用户操作,即可联网展开远程攻击。多家安全领域巨头发出预警,犯罪分子很可能会利用或者改造NSA“武器”制造大规模的病毒木马感染事件。遗憾的是,业内担心的事情还是发生了。根据欧洲刑警组织发布的消息显示:5月12日全球多个国家遭受一种勒索软件的攻击。受害者包括中国一些高校和英国多家医院。据了解,这种勒索软件正是不法分子利用了NSA网络武器库中泄漏出的黑客工具。德国之声报道,IT安全公司Kaspersky的专家雷夫(Costin Raiu)表示,至少发生了4.5万次攻击,分布在全球74个国家。安全公司Avast所估测的攻击数目更高,称在99个国家发生了7.5万次攻击。该公司的安全专家科瑞斯特金(Jakub Kroustek)说,目前攻击的重点是俄罗斯、乌克兰和中国台湾地区。据Forcepoint Security Labs公司称,包含着该病毒的邮件以近每小时500万封的速度发出,所使用的是“Wanna Cry”(“想哭”)恶意软件(也被称作Wanna Decryptor)。这款病毒主要借助微软系统的漏洞,拥有自主传播的能力,能够在数小时内感染一个系统内的全部电脑。它会自动扫描445文件共享端口的Windows机器,无需用户任何操作,就可以将所有磁盘文件加密、锁死,后缀变为.onion,随后,黑客可以远程控制木马,向用户勒索“赎金”。而“赎金”则是以难以被追踪的虚拟货币比特币的形式结算,因而它又被简称为“勒索病毒”。目前,根据澎湃新闻报道,包括山东大学、江苏大学、太原理工大学、桂林电子科技大学在内的多所高校已有不少校园网用户“中招”,上述学校及其他一些尚未波及的高校均向学生发出预警。江苏大学信息化办公室工作人员5月13日下午告诉媒体,该校已有学生因电脑中毒前来申请维修,但在目前的情况来看,一旦中招便无法“挽救”,“还没有中毒的,建议开机前拔了网线,将重要的资料备份”。另据中新网北京5月13日报道,今日全国多地的中石油加油站加油无法进行网络支付,只能进行现金支付。中石油有关负责人表示,怀疑受到病毒攻击,具体情况还在核查处置中。就目前勒索病毒传播的趋势来看,已呈现大规模肆虐传播感染的苗头。值得注意的是,到目前为止勒索病毒并没有有效的查杀方法,传播速度快,危害性强,已引起国家网络与信息安全信息通报中心重视,并于日20时左右发出通报:“新型“蠕虫”式勒索病毒爆发,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染,我国部分Windows系列操作系统用户已经遭到感染。请广大计算机用户尽快升级安装补丁,地址为:/zh-cn/library/security/MS17-010.aspx。Windows 2003和XP没有官方补丁,相关用户可打开并启用Windows防火墙,进入&高级设置&,禁用&文件和打印机共享&设置;或启用个人防火墙关闭445以及135、137、138、139等高风险端口。已感染病毒机器请立即断网,避免进一步传播感染。”勒索病毒为什么能够在中国肆虐,中国高校为什么又成为重灾区?在警惕预防病毒的同时,勒索病毒肆虐暴露出的问题也值得我们进一步反思。首先,勒索病毒的肆虐暴露出我国国民整体网络安全意识还是较为薄弱。PC时代,我们吃过无数“亏”,“爬行者”、“灰鸽子”、“熊猫烧香”……但遗憾的是,从整体国民的网络安全意识来看,基本没有质的提高。没有网络安全意识,缺乏有效防范病毒手段,更不用说处理杀毒等进阶操作了。如果国民不尽快提升网络安全意识,在即将到来的万物互联网时代可能要吃更大的“亏”,遭受更大的损失。其次,反病毒技术乃至安全产业有待进一步升级。勒索病毒的肆虐直接地暴露出目前反病毒技术的滞后性。尽管目前各大杀软厂商都有自己的主动防御型产品,但对一些极具破坏力的病毒依然束手无策。虽然大数据和人工智能技术的应用已经出现,但无奈各个厂商固步自封,数据保护现象严重,形成数据孤岛,对反病毒技术形成协同联动人为设置障碍,这是目前安全领域遇到的最大问题,更是“协同防治”理念成为空谈的最大原因所在。再其次,从本次中国高校成勒索病毒重灾区可以反映出我国信息化建设中出现的两个极端现象,即信息化程度高,但缺乏统一规划和科学管理。在很多专家分析本次勒索病毒在高校率先爆发的原因时,将之归结为教育网445端口未封闭。但很多人却忽略了另个主要原因,就是XP系统在中国高校以及民企、国企、大型机构的高市场占有率。尽管微软操作系统早已推出Vista、7、8、10四代,但XP系统依然在中国市场保持17.79%的占有率,其中大部分份额就是集中在以上提到的机构。鉴于微软对XP放弃技术支持,系统漏洞未能及时修补,才是本次勒索病毒肆虐的重要原因。反观,能接受安全补丁的7、8、10等系统几乎没有什么问题。而如果,在我国高校以及一些主要机构,对于信息化建设做到统一规划和科学管理,及时升级系统,修复补丁,我相信会最大限度地免于感染本次勒索病毒。最后,从网络安全即国家安全的角度看,本次勒索病毒的肆虐暴露出我国整体缺乏针对网络安全的有效预警和紧急防护机制。虽然本次国家网络与信息安全信息通报中心表现不错,第一时间通报病毒情况以及防御办法,但还是较为依靠用户的自觉性防护,并没有出现多部门协同防治,最大限度的避免病毒进一步扩散传播。这说明我国整体缺乏针对网络安全的有效预警和紧急防护机制。作者:何帅 微博:@小编也疯狂 微信订阅号:小编也疯狂(id:xiaobianyefengkuang)专注科技硬件、互联网分析评论、电商研究
(声明:本文仅代表作者观点,不代表新浪网立场。)
文章关键词:
小编也疯狂
资深互联网评论人
创新设计价值回归的声音还未落地,新一波价格战便已打响,如今国…
路由器本身就是一个低交互的产品,尽管其作为网络中心的作用毋庸…
随着大屏、LTE刺激的减弱,苹果销售的递减似乎正变的不可逆转。…
