名为“想哭”的勒索软件自12日起大规模入侵全球电脑网络,波及超过100个国家和地区,堪称一场科技恐怖袭击。多个国家的重要信息网络受到袭击,凸显出各国在防范和应对此类“科技恐袭”方面尚缺乏经验,网络安全防范仍待提升和完善。此次事件中,中国部分高校、派出所、加油站等重要信息系统在内的多类用户也受到冲击,其中的教训令人警醒。
袭击规模史无前例
全球多个国家12日起遭受一种勒索软件的攻击。这款病毒名为“想哭”,属于一种勒索软件。
据悉,电脑被这种勒索软件感染后,其中文件会被加密锁住,支付黑客所要求赎金后才能解密恢复。电脑提示用户在规定期限内支付300美元等价的比特币作为赎金,便可恢复电脑资料;每耽搁数小时,赎金额度就会上涨一些,最高涨至600美元。
据俄罗斯卡巴斯基实验室研究员库尔特·鲍姆加特纳观察:“在支付赎金的用户中,多数人在最初几小时内就乖乖掏出300美元。”美联社报道,截至15日,黑客已收到大约7万美元的赎金。
目前网络安全业界暂未能有效破除该勒索软件的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统或使用专杀工具的方式来清除勒索软件,但若用户重要数据文件没有备份,则很难完全直接恢复。
据Splunk网络安全公司主管里奇·巴杰描述,“这是全球迄今最大的勒索软件攻击事件之一”。据捷克网络安全企业爱维士公司统计,全球99个国家和地区12日共遭遇超过7.5万次电脑病毒攻击,其中俄罗斯、乌克兰等国遇袭尤其严重。
俄罗斯网络安全企业卡巴斯基实验室12日发布一份报告说,在受攻击最多的20个国家和地区中,俄罗斯所受攻击远远超过其他受害者,中国大陆排在第五。
欧盟刑警组织负责人罗布·温赖特14日表示,12日开始的勒索软件网络袭击目前已经波及150多个国家的10万多家机构,至少20万人受害,其中不乏大型企业用户,事件未来还可能进一步升级。
各地的生产生活受到不同程度影响,中招的包括政府部门、医疗服务、公共交通、邮政、通信、汽车制造等多个领域。
俄罗斯内务部、梅加丰电信公司均遭到这种病毒攻击。俄罗斯国际文传电讯社援引俄内务部发言人伊琳娜·沃尔克的话报道,俄内务部大约1000台电脑被感染。另一名消息人士称,俄政府文件未在此次攻击中泄密。
英国公共卫生体系国民保健制度的服务系统12日被病毒入侵后,多家医院电脑瘫痪,不得不停止接待病人,一些救护车等医疗服务也受影响。英国首相特雷莎·梅当天说,英国国家网络安全中心正与国民保健制度联手应对这次危机。
西班牙国家情报中心12日证实,西班牙多家公司遭受了“大规模”的网络黑客攻击,西班牙电信业巨头西班牙电信总部的多台电脑陷入瘫痪。
德国铁路信息系统也受到该病毒软件攻击,虽然运行未受影响,但车站显示出发、到达车次信息的屏幕受到影响,为此德国铁路公司加派人手在车站为旅客提供信息。
此次大规模袭击事件中,监测发现,中国大量企业和机构内网遭到感染,包括教育、企业、医疗、电力、能源、银行、交通等多个行业均受到不同程度的影响。中国的校园网络成为重灾区,全国多所高校出现病毒感染。大量学生的毕业论文等重要资料被病毒加密,只有支付赎金才能恢复。
360安全中心方面的紧急公告显示,不法分子使用黑客武器攻击微软“视窗”系统(Windows)的漏洞,令ONION、WNCRY等勒索病毒在校园网内快速传播感染。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,影响到毕业答辩。
中国石油天然气集团公司14日发布消息称,12日晚其所属部分加油站受到勒索病毒波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用,但加油及销售等基本业务运行正常,加油卡账户资金安全不受影响。对此,中石油连夜采取措施紧急应对。
这一勒索软件利用的是微软“视窗”操作系统中编号为MS17-010的一个漏洞。除Windows 10系统外,其他未及时安装安全补丁的Windows系统都可能受到攻击。尽管此前微软已发布安全补丁,但仍有许多没有更新的电脑被感染。鉴于事态严重,微软很快宣布采取非同寻常的安防措施,为一些它已不再支持的老“视窗”平台提供补丁。多家网络安全厂商也紧急推出了应对勒索软件的安全工具。
中央网信办网络安全协调局负责人15日表示,该勒索病毒仍在传播,但速度已明显放缓。事件发生后,中国公安、工信、教育、银行、网信等有关部门都对防范工作提出要求。奇虎360、腾讯、安天、金山安全等相关企业迅速开展研究,主动提供安全服务和防范工具。各相关媒体做了大量报道,帮助提高全社会的防范意识、遏制病毒进一步传播。
一些网络专家认为,未来一段时间内都需对这一病毒保持警惕。360公司首席安全工程师郑文彬认为:“这个勒索软件的攻击未来应该还会持续一段时间。”
“一些不法黑客还可能受到此次勒索软件攻击的启发,将更多技术手段与勒索软件相结合,”安天公司安全研究与应急处理中心主任李柏松说,“勒索模式带动蠕虫病毒的回潮不可避免,黑客可能利用僵尸网络分发病毒,还可能针对物联网设备的漏洞制造和传播病毒软件,这些问题都会出现。”
专家表示,对用户而言,最有效的应对措施是要安装安全防护软件,及时升级操作系统和各种应用的安全补丁。360方面建议,电脑用户尽快使用诸如“美国国家安全局(NSA)武器库免疫工具”等专业防护软件,预防病毒。
病毒来袭谁之过
目前,美国、英国、俄罗斯等国都在追查这次袭击的幕后黑手。一名不愿公开姓名的美国高级官员透露,美国总统唐纳德·特朗普12日下令召集一次紧急会议,联邦调查局、国安局随后联手展开调查。据路透社报道,相关调查都在初始阶段,而锁定黑客身份的难度相当大。
欧盟刑警组织说,这次网络病毒袭击“达到史无前例的级别”,要找到元凶需要进行复杂的国际调查。温赖特说,欧盟刑警组织将与美国联邦调查局合作追查本次网络袭击的罪魁祸首。他们目前倾向于认为这起袭击是刑事犯罪的可能性大于恐怖袭击,并且应该是团伙作案,但要找出幕后元凶可能“非常困难”,因为罪犯在互联网上很容易隐匿自己的行踪。他说,目前值得庆幸的是只有极少数受害者向罪犯支付了赎金,所以背后的犯罪团伙并没有从中攫取太多利益。
比特币的兴起为勒索软件提供了帮助。比特币是一种虚拟货币,在网上交易难以追踪,成为许多黑客爱用的交易媒介。郑文彬说,此次勒索病毒选择以比特币作为支付手段,隐蔽性强,难以监管追踪。
目前,尚未有黑客组织认领这次袭击。但业界人士的共识是,这款“想哭”病毒来源于美国国安局的病毒武器库。
卡巴斯基强调,这次网络攻击所用的黑客工具“永恒之蓝”,来源于美国国家安全局的网络武器库。今年4月,黑客组织“影子经纪人”在网上披露过一批美国国安局的黑客工具,其中就包括这个漏洞工具。
美国国土安全部12日发表声明称,已获悉上述勒索软件影响全球多个实体。但是,声明除介绍勒索软件的定义、微软已针对这个漏洞发布补丁、提醒用户应安装补丁外,没有说明更多情况。
不少网络安全专家指责,美国斥巨资研发黑客攻击工具、而非自卫机制,结果造成全球网络环境“更不安全”。美国政府察觉到微软安全漏洞,却没有及时告知微软公司,反而囤积攻击工具,以致泄露后祸及全球。
= 今年3月,“维基揭秘”网站披露了一批据称是来自美国中情局的黑客工具,批评中情局对其黑客武器库已经失控,其中大部分工具“似乎正在前美国政府的黑客与承包商中未被授权地传播”,存在“极大的扩散风险”。
路透社援引美国联邦政府公布的数据以及情报部门官员的话报道,美国网络项目开支中,90%用于研发黑客攻击武器,例如侵入“敌人”的电脑网络、监听民众、设法让基础设施瘫痪或受阻等。
得知最新攻击事件后,“棱镜”监听项目曝光者、美国前防务承包商雇员爱德华·斯诺登12日发推文说,“尽管多次被警告,(美国国安局)仍然研制了危险的攻击工具。今天,我们见到代价……医院里的病人生命受到威胁”。
美联社评论,这次席卷全球的袭击中,黑客并非独立研发出“想哭”病毒,因此美国国安局难辞其咎。
美国公民自由联盟呼吁国会通过立法,以强制美国政府及时向IT企业通报安全漏洞,以便这些公司及时采取补救措施。
美国高德纳咨询公司网络安全分析师阿维瓦·利坦说,美国政府确实“存在疏忽”。但他对此感到无奈,“我们无法阻止美国政府研发网络攻击武器”。
“想哭”病毒利用微软“视窗”操作系统漏洞发动攻击,微软公司由此也受到抨击。利坦认为,微软已于3月发布针对此类勒索软件的补丁,凡是安装过补丁的用户不太可能遭受这款病毒攻击。但是,微软提供的补丁只针对新版本的操作系统,而并不包括“Windows XP”等较老版本。直到本月12日全球电脑纷纷“中招”后,微软才宣布为较老版本的操作系统免费提供补丁。
本轮病毒攻击中,一些国家的医院系统、公共交通系统发生瘫痪,而这些部门往往出于财务考虑而一直沿用“Windows XP”。观察人士表示,如果某机构受限于财务状况,没有使用新版本的视窗系统,自然也就不太可能付费打补丁,而这些本应由微软公司考虑到。
网络安全形势严峻
勒索病毒袭击事件后,网络安全公司一度出现火爆行情。据西班牙《发展报》报道,美股15日开盘后,网络安全相关交易所交易基金PureFundsISECyberSecurityETF大涨3.2%,创下2015年6月以来新高。此后三天全球网络安全领域的大型企业的市值就增加了72亿美元,其中大多数是美国企业。
令网络安全公司受到青睐的并不只是此次单一的病毒袭击事件。不少迹象表明,近年来网络袭击的规模和数量都在不断增加,令企业和机构均不敢对网络安全投资掉以轻心。据美国金融数据软件公司预测,全球网络安全领域最主要的11家企业2016年至2018年盈利将增长34.5%,达到508.77亿欧元。
在这种背景下,如何在今后更有效地防范网络病毒袭击的问题更加值得思考。一些专家提醒,这次勒索病毒攻击虽然影响范围广,但是从技术而言并不难防范,只要及时安装更新包,修复电脑操作系统漏洞,便不会轻易中招。所有网络用户今后都应加强安全意识,注意更新安全补丁和使用各种杀毒工具,还应将重要数据备份。此外,一些垃圾邮件可能以常用联系人的名义发来,必须提高警惕,对于可疑的链接或附件,不要轻易打开。
英国内政大臣安伯·拉德13日说,全国有45个公共医疗机构遭到黑客病毒攻击,但病人数据未被盗取。她敦促相关机构吸取教训,重视网络安全问题,及时升级过时的系统。国防大臣迈克尔·法伦14日在接受媒体采访时也表示,他们此前曾多次警告医疗机构可能面临网络袭击,但没有引起重视。
美国加利福尼亚大学洛杉矶分校计算机科学和网络安全教授彼得·赖海尔提醒,应及时更新电脑操作系统,尤其是安装安全补丁。以此次攻击为例,这款病毒利用了微软“视窗”操作系统的一个漏洞,而微软曾于3月14日针对这个漏洞发布了补丁。“那些安装过补丁的用户,这次不太可能受影响,”赖海尔说。
温赖特警告说,许多国家的医疗机构在面对网络袭击时非常脆弱,因为他们往往用过时的电脑系统处理大量敏感数据。而以往是网络犯罪头号目标的欧洲银行业本次几乎没有受到影响,因为他们汲取了足够的经验。他呼吁所有机构优先考虑网络安全问题并及时更新系统。
利坦说,医院系统、政府部门应对联网电脑进行更妥善的保护,例如限制登录网站、限定运行软件的权限、只授权专门技术人员进行某些操作等。此外,这类部门还应对所储存的文件做好备份。在此次勒索软件袭击中,如果“中招”者拥有备份,就无需支付赎金来挽回文件。
网络安全企业斯普伦克公司总监里克·巴杰表示,这次事件的扩散方式和产生的后果前所未有,应当作为一个全球性的警钟。这次攻击表明重要企业在受到攻击时必须要准备好应对勒索病毒的对策,保护关键基础设施免受网络攻击是不容忽视的责任。