勒索病毒肆虐背后:互联网“变得更安全了”只是一种错觉
文/ 逍遥小妖
从上周末、准确地说是5月12号开始,“比特币勒索病毒”WannaCry(或称WannaCrypt、WannaCrypt0r)席卷全球。
一旦计算机被这种病毒感染,电脑中所有文件会被加密锁定,除非在指定时间内支付价值300美元的比特币才能纾困,超时金额翻倍;如果用户选择拒绝,那么电脑中的文件可能会被彻底清空。WannaCry先是从欧洲爆发,在相继袭击了西班牙电信、英国国民卫生服务体系(NHS,National Health Service)、联邦快递和德国铁路股份公司等大型国有和商业机构的计算机后迅速蔓延至全球。在国内,山东大学等高校和部分政府机构的计算机成了WannaCry的第一批受害者。
受波及的电脑数量仍在增加。根据360安全中心的报告,截止到2017年5月15日零时,全球近百个国家的超过10万家组织和机构被该病毒攻陷。国内,仅12日到13日两天时间里就有29000个公网IP地址遭到感染,而更多的非联网IP是暂时无法监测的;这只是周末时的统计,要知道工作日一到,大量机构内位于同一网络下的计算机一旦开始工作,只要其中一台受到感染就会波及整个局域网中的所有电脑——这意味着,潜在受害者数不胜数。
特别讽刺的是,国内各家安全公司平日里最喜欢炫耀的就是它们的装机量和渗透率:根据媒体公开报道,360安全卫士的PC月活高达5.23亿、渗透率高达98%;腾讯电脑管家的装机量达3.5亿,百度安全卫士装机量3亿,(金山)毒霸装机量过亿、日活5000万……在中国,几乎每台Windows电脑上都会安装有起码一款“安全卫士”或“电脑管家”之类的杀毒软件。但各大网络安全公司只能在事后应对,却没能像往常一样在事前就抵御住病毒进攻。
而且,如果你看过PingWest品玩此前对这个病毒的报道就会知道,WannaCry背后是“永恒之蓝”,利用的是Windows的一个系统级漏洞——可这个漏洞早在今年3月时就被微软通过系统更新的方式封锁了。
但我们还是在一夜之间就回到了那个不敢随便登录不明网站、插入电脑一个U盘就要担惊受怕的时代。
互联网 并没有越来越安全,只是危险变了花样
故事回到2016年夏天,美国大选尚未开始,黑客战却让这一次大选成为了有史以来最科幻的一回。无政府主义黑客组织Shadow Brokers在当年8月入侵了美国NSA下属的情报组织Equation Group,并从中窃取了包括永恒之蓝在内的数十种广泛存在于Windows、Android和iOS的漏洞。如果你是一位科技爱好者,可能还记得当时苹果、NSA、Shadow Brokers和FBI企图解锁iPhone之间的恩恩怨怨。
但这个Shadow Brokers绝非正义之师。在窃取了这些漏洞之后,他们试图将这些漏洞以约5亿美元的价格出售,因为价格之高,导致了交易最终没有完成。
时间转到了2017年4月,Shadow Brokers自认拍卖无望,便将包括永恒之蓝在内的从NSA盗取的漏洞打包上传了GitHub,并于几天后公布了压缩包的解压码密码。
至此,勒索病毒传播的基础——“永恒之蓝”漏洞就曝光给了所有人。这个漏洞利用了Windows早期版本在文件共享上的一个漏洞实现内网传播,也就是说,只要你的电脑存在这个漏洞,即便是不做任何操作也有可能被公司、校园、家庭里的其它联网电脑传染。
在维基百科的词条中,记载了更为详尽、全面的关于WannaCry的爆发记录
在WannaCry爆发之后,很多人提到了熊猫烧香。在国人的经验里,似乎自熊猫烧香之后,再没有一款病毒像刚刚爆发的WannaCry那样引起社会的广泛关注了。的确,过去数年来,蠕虫病毒数量一直在下降。
很不幸,互联网“变得更安全了”只是一种错觉。
根据《CNCERT互联网安全威胁报告》2016年12月(总第72期)显示,当月中国境内总计感染终端281万个,其中蠕虫病毒66万,木马病毒有215万之多。蠕虫病毒逐渐减少的最重要原因是:制作蠕虫病毒的作者无法从蠕虫感染中获得利润。
在“熊猫烧香”事件之后,中国的黑客们意识到制造和传播病毒所存在的巨大风险,因此纷纷转向灰色产业和黑色产业寻求更高的收益,而病毒也不再以”破坏用户电脑“为主要发作形式。中了蠕虫病毒之后电脑会变慢、文件会打不开、程序会崩溃,可木马病毒十分追求”用户体验“——它静默地运行在后台,可以做到让用户毫无察觉。
木马病毒可以控制感染者的电脑,使整个电脑都为黑客所用。在木马病毒的整个黑色链条中,一台肉鸡(被感染的电脑)宛如在一个现代化的鸡肉加工流水线上:会有专门的人判断机器的性能如何,是否可以用于攻击他人的电脑、是否可以用于搜集某些数据、是否可以直接盗取机主的银行或理财信息等等。
木马病毒背后的产业链要做到的是“物尽其用”,在剩余价值被完全榨干之前,病毒一般不会选择“盗取帐户”这种会直接引起用户警觉的行为。这正是让许多用户误以为“自己很久没中过毒”的原因。甚至于,在WannaCry之前可能已有其它的木马病毒利用“永恒之蓝”入侵了用户的电脑,但却没有引起广泛注意,因为他们不会影响电脑的正常使用。
照上文所说,木马当道、蠕虫式微,WannaCry简直是给了这种古老病毒第二春。它的攻击方式也非常明目张胆唯恐天下不知:直接将用户的重要文档进行加密锁死。
在2013年以前,涉及勒索、转账、汇款的病毒并不是一个好主意。因为黑客在银行的每一笔支取都是有据可循的。这会直接让黑色产业链曝光于阳光之下。
直到比特币出现。
双刃剑比特币:它真的会变成黑客的帮凶吗?
“比特币勒索病毒”这个媒体创造的名称,其实很有误导性。
这个名字好像在说“是比特币勒索了你”,但这个病毒的实质是——病毒的生产者勒索了你,它索要的赎金是比特币——一种可以完全隐藏收款账户身份的虚拟货币。
在比特币媒体巴比特的一篇文章中这么写道:
这种黑客勒索软件从1980年开始就已经存在。根据Cyence的资料显示,黑客往往锁定医院、企业等一些资讯化程度不高的场所,平均每单的赎金支付在500~1000美元。而由于比特币的存在,让全球勒索相比盗刷信用卡之类的犯罪,变得更加低成本和低风险。
比特币社区并不想替黑客背这个黑锅,但也承认之所以这次的勒索病毒之所以会找上比特币,原因与比特币的特点有很大关系。
根据Wiki词条“知名病毒和蠕虫历史列表”记录,勒索病毒CryptoLocker早在2013年9月就已经诞生了,除了利用的传播方式不同之外,在加密用户文件和比特币支付等方面与2017年5月12日爆发的WannaCry几乎一模一样。
随后,在2016年2月和2016年10月又有不同的勒索病毒小规模爆发,均是在传播方式上略有不同,运作模式没有任何变化。
“比特币圈子对这次事件的反映特别淡定。“张力,某比特币平台企业市场负责人在听说我要采访关于512比特币勒索病毒时这么说,“这种病毒的出现也不是一天两天了,圈子里其实一直没想到它能够会有集中爆发的一天。”
在许多媒体的报道中将比特币比喻成Q币,但这种比喻是不恰当的。如果你的Q币如果被盗了,可以找腾讯申诉找回。比特币虽然是由矿池“生产”,但比特币却并不由矿池发行,矿池和比特币交易所都无法对比特币实现像腾讯对Q币那样的“强管理”。
而比特币并不由任何特定的机构发行和管理,它像是一个完全透明的银行机构。你拥有多少比特币,所有人都能看到,并被所有人认可——因此我们可以从区块链账簿,这记载着有史以来所有比特币交易的数据库中看到有多少人向黑客缴纳了“赎金”——但却无法知道黑客是谁。
其中一个“黑客帐号”的实时交易记录
比特币爱好者@宋林峰_,在微博上公布了他收集到的4个勒索帐户,截止到2017年5月15日中午12点,这4个账号共计收到比特币25.00个,交易次数159次。与感染数量相比,病毒爆发48小时后缴纳赎金的数量并不算多。
尽管比特币并没有大量的流入黑客的帐户,但比特币的价格还是受到黑客的影响稍稍走高,在原本已经达到9000元人民币高点的情况下一举突破了万元大关。
按照目前比特币价格10,690元/个计算,黑客的累计收入为26万元人民币。黑客尚没有将比特币从这些帐号取出,但比特币这一数字货币的“安全性”确保了没有人能追回这些赎金。
“我们觉得这是比特币在大众认知里又一次比较成功的PR吧,虽然每次这样的PR都是负面新闻。但是其实,每次负面爆发之后都会有一些对比特币感兴趣的人意识到比特币、区块链其实是一个非常有价值的新技术……我并不觉得这是比特币背黑锅,目前国内的几大商业银行和IBM等大公司都在研究比特币和区块链的应用,监管的条例也在逐步的摸索。这些都是发展之中的一些阶段……”该市场负责人说,“你一旦自愿的把比特币转给了黑客,就算是公安介入,也不太可能发一个通知冻结账户然后把比特币追回来。”
正规商业机构也正是看中了区块链这样的“优势”,它排除了金融交易系统里人和政策这两种最大的不确定性,不同政体、不同信用程度的人和公司可以在同一套交易体系中交易。 但也正是这样的特性,为黑客带来了可趁之机——匿名、即时、无法修改,一旦交易完成你就没有机会追回。
但是,比特币圈内对“直接勒索用户”这种黑客的新兴变现渠道并不看好,原因主要有两个点:
一,对普通人来说,缴纳赎金的过程太为复杂;
二,目前很多国家(中国、美国和欧盟一些国家),对比特币与实体货币之间的兑换设置了实名制关卡,在把比特币提现的过程中会存在一些风险,对黑客来说并不真的“安全“。
其中第一个问题是比特币圈内认为这次黑客勒索的资金规模并不算大的原因——
黑客这次按照不同的地区定制了不同的价格,希望的是广撒网“薄利多销”。但对于普通用户而言,没有那么多重要数据到能驱动他们从头到尾学习如何交易比特币。而会用比特币的用户往往都是“极客”,对电脑的防护比较到位。
“我们要给普通用户推广比特币都挺难的,更别说让黑客来推广了。”一位比特币交易平台的工作人员说。
安全软件,可能让你的电脑更危险
在病毒爆发的第一时间,有人将这次病毒的爆发指向了落后的操作系统——在最初的报道中,不乏学校机房、企事业单位的公用电脑受感染的照片,在这些照片里,Windows XP标志性的蓝天白云成了勒索窗口的背景。
病毒爆发后不久,微软破例针对已经终止后续维护的Windows XP发布了修复漏洞的补丁,但对XP以后的系统却并没有推出专门的补救措施,原因很简单:所有在微软生命周期内的Windows系统都已于今年3月的月度安全更新中修正了这次病毒赖以传播的漏洞。
这也解释了国内第一批受感染的电脑为什么出现在学校和政府机构:出于统一部署服务和软件的需要,这些电脑大多运行着落后的操作系统(XP),安全维护无法做到及时全面。因此,它们的漏洞修补只能是“亡羊补牢”。
但是,Windows7、8、10的中毒用户也不在少数……这是为什么呢?原因十分中国特色:这些用户主动、或者在安全软件的“帮助”下关闭了微软的自动更新。
在教育网外,许多用户“没有及时升级系统”的原因恰是因为“善解人意”的杀毒软件在看准用户不想更新系统这个需求,提供了“关闭Win10系统更新”和“关闭Windows Defender”等功能——许多杀毒软件摧毁了系统厂商建立的长城,然后用泥巴糊了一做土墙,让用户的系统“看起来”安全。
在腾讯电脑管家论坛关于此次WannaCry的官方知识贴中,主动解释了“为何微软3月发布的补丁会被屏蔽”
微软作为操作系统厂商,比任何第三方杀毒软件都能更早的发现运行于Windows平台上的病毒以及系统自身的漏洞,并与系统内置的权限组功能配合对安全问题进行修正。从Windows10开始,微软强制打开所有用户的自动更新功能,这也导致了在微博和朋友圈里我们总能看到晒“升级”——Windows不合时宜的系统更新为用户带来了不少的困扰,但这确实也带来了全方位的保护。另外,微软早在Windows 7开始便在系统内置了名为Windows Defender的杀毒软件。初期的Windows Defender效果并不是很好,但经过几年的发展,它已经成为Windows平台上最有效的杀毒软件之一。
其实,普通的正版Windows用户只要同时开启自动更新、内置防火墙和Windows Defender,其实已经没有安装第三方杀毒软件的必要。
可无论是自动更新还是这款免费的杀毒软件,都不受中国用户的欢迎——在百度上,你能够搜到许多关于“如何关闭Windows Defender”的提问。在普通用户的认知里,360、腾讯助手和百度卫士是可以加速并保护电脑的——因为他们会在右下角弹出提示框展示自己的加速功绩。而默默在后台工作的Windows Defender则成为了“电脑卡”的罪魁祸首。
那么国内这些安全软件对这次WannaCry的抵御效果到底如何呢?卡饭论坛网友tg123321在模拟离线环境(不更新病毒库)下,对国内包括瑞星、百度卫士、金山毒霸、腾讯电脑管家、360安全卫士和瑞星杀毒在内的5款软件进行了查杀测试,结果无一拦截成功全线阵亡——而本次受到WannaCry感染电脑中刚好有大量长期不联网的内网电脑。
那么没有主动屏蔽微软系统更新的安全软件呢?
360在5月15日发布的舆情报告中称:360并未主动屏蔽Windows补丁,360的5亿用户中仅20万用户没有成功安装补丁且攻击被安全卫士拦截。但事实上,在5月12日之前,微软并未发布针对Windows XP和7的补丁——在另一份360官方发布的时间表中,360针对旧系统(XP、2003、Win8)的推送时间与微软官方时间一致,是在5月13日下午。
根据统计机构StatCounter的调研,中国大陆Windows XP和Windows 7的PC终端时至今日依然占据50%以上的市场,360的补丁渗透率与这一数据并不相符。 更可信的说法应该是,360在4月17日NSA漏洞包被上传的时候就做了预警,才勉强提前保护住了用户。
许多人嘲笑的Win10更新和Win10更新文案,此刻显得由为特别。
你有没有发现,让我们暴露在WannaCry病毒之下的,其实是我们自己?最后,我们希望借本次事件和这篇文章再次提醒大家,即使是裸奔的盗版Win10,都比正版XP+全幅杀软更安全……
改掉与全国用户PK的习惯,去勤快地更新系统吧。
内容来源:品玩