从5月12日开始,一款名为“想哭”(WannaCry)的勒索病毒在全球多个国家蔓延,从中国到英国、意大利、俄罗斯、美国等诸多国家的网络在短短数日内相继沦陷。这款仅3.3M大小的电脑病毒,注定将会被永远写入人类互联网史册。据悉,截至目前,全球至少30万部电脑被感染,已波及150多个国家。
勒索病毒的影响显然是毁灭性的。一旦中招,用户主机系统内的图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件都将被加密,加密文件的后缀名被统一修改为 .WNCRY,没有私钥这些被加密的文件就无法访问和打开 。
黑客虽然声称,受害者支付约300美元等价值的比特币就能解锁。但是,事实证明,虽然受害者已支付赎金近7万美元,支付赎金后数据被修复的情况尚未出现。
WannaCry勒索病毒大规模爆发 银行成攻击重要目标
监测发现,全球大量行业企业内网遭到感染,包括教育、企业、医疗、电力、能源、交通等多个行业受到不同程度的影响。外媒称,西班牙毕尔巴鄂比斯开银行和桑坦德银行两家银行已经中招,但这两家银行的发言人对此予以坚决否认,并称无论是在西班牙还是在其他地区,都没有受到WannaCry感染。
而在国内,近日同样有媒体爆料某国有大行位于太原的一家支行和一家银行的ATM机疑似受到“勒索病毒”影响,虽然2家银行都否认了这个说法,但有一个问题却不得不让人感到担忧,那就是在病毒肆虐的环境下,众多行业已受影响,各类金融机构就能够顺利应对吗?
外媒称,目前,银行仍为WannaCry勒索病毒的重要目标,一旦银行被攻击,如果处理不及时,影响将是致命的,很可能直接导致银行破产。“想象一下,一旦客户账户信息和交易记录被锁定很长时间的消息被传出,担忧的公众很可能会挤破银行大厅,出现挤兑浪潮。”一位业内人士称。
因此,目前,已经很多银行认为,比起感染勒索病毒带来的严重后果,支付赎金更合算。英国政府前科技大使兼国际电子犯罪大会主席Simon Moores博士日前表示,英国很多大银行已经在囤积比特币做赎金储备。
好消息是,任何及时更新、安装最新的补丁软件、有效的反钓鱼和反恶意软件工具的电脑,理论上来说应该很安全。但是即使在安全意识最高的银行,依然可能存在一些未曾意识到的漏洞。例如,那些在家里办公的员工不使用公司VPN或者一些员工不及时安装更新、安全意识不强,他们的电脑很可能处于危险之中。
例如,2014年,黑客通过一名摩根大通工作人员的个人电脑侵入整个系统,摩根大通7600万家庭和700万小企业的相关信息被泄露。这起美国历史上波及范围最广的信息泄漏事件之一,引起了人们对美国信息安全的担忧。此后,摩根大通每年在网络安全方面的投入高达2.5亿美元。
WannaCry勒索病毒攻击再次强调了金融机构保证网络安全的重要性。在本次网络攻击中,拥有强大安全部门的大型金融机构,通常会安装微软3月份发布的更新补丁,因而,目前它们没有受到本次袭击太大影响。然而,以后仍未可知,黑客组织17日威胁称要放出更多漏洞,并表示目前因自动更新而免遭于难的Windows 10也跑不了。
银行“严阵以待” 上班第一天先拔网线、装补丁
中国电子银行网小编从北京地区一些银行员工了解到,各银行在勒索病毒爆发之后,都及时采取了升级系统、对电脑逐台安装安全补丁等措施。目前,各银行并未发现勒索病毒的攻击。
“此次勒索病毒针对的是运行老版Windows系统的计算机,特别是安装了XP系统的计算机。因此,只要及时更新升级、安装补丁就不受影响。”一位业内人士表示。目前,微软专门为已经不受支持的Windows XP,Windows 8和Windows Server 2003版本推出了特别版补丁。
“周末我们就知晓了预防勒索病毒相关的通知,这周一上班,就按照要求先把网线拔了,安装补丁后还需检测是否仍存在可被勒索病毒攻击的漏洞,直到全部确认无误后才插上网线使用电脑。”北京地区某股份制银行员工告诉中国电子银行网小编。
据中国电子银行网小编了解,中国农业银行、中信银行、民生银行、交通银行、北京银行、平安银行等多家银行都下发通知给出了较为详细的防范措施。
如中国农业银行,5月14日晚间下发通知,要求全体员工15日上班先拔掉电脑网线,检查文档和图片能否打开,如无法打开联系相关人员,处置完成前严禁接入任何网络。
民生银行,2017年5月14日科技部下发邮件,要求全体员工完成应急处置,确认病毒码版本是否为最新版本,不存在或未升级至前述版本的电脑安装升级;非行内终端严禁接入行内网络;应急期间将严格禁止U盘、移动硬盘等移动介质的使用;应急期间将暂停使用共享打印机和共享文件夹服务;勿打开来路不明的邮件等。
平安银行,5月15日科技运营中心下发邮件,要求全体员工,重视补丁安装工作,必须当日14:00之前完成手动安装补丁。
……
对于此次勒索病毒是否影响银行网银系统的安全,某四大行总行人士对小编表示,“没有影响,网银系统用的主要交易逻辑和交易数据都在主机上,主机是外网隔离的,只有一些外联系统是在Windows平台上,用户完全可以放心。”
对于个人客户使用网银是否受影响?专家提醒,虽然目前勒索病毒只是加密并未出现盗取数据和个人账户的情况,但不排除以后被攻击的可能,所以,个人用户要及时更新、安装补丁修补系统漏洞。
延伸——
“WannaCry勒索病毒”事件回顾
从5月12日开始,WannaCry勒索病毒(也称“比特币病毒”)席卷全球,全球各地的大量组织机构遭受了它的攻击。受害者电脑会被黑客锁定,提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。
说起“WannaCry勒索病毒”就不得不提影子经纪人(Shadow Brokers)的“光辉”事迹。2016年8月,这个组织首次亮相在人类面前,宣布自己攻破了NSA的防火墙,随后赚钱心切的他们宣布公开拍卖偷到的黑客工具,并称如果收到超过100万比特币,就会释放他们已经拥有的大量黑客工具。然而,这次拍卖最终以2比特币的尴尬结果告终。
随后,不死心的影子经纪人又在2016年10月开启了众筹活动,宣布当他们收到10000比特币后将提供给每一位参与众筹者黑客工具包。然而,12月,众筹活动再次失败了。
2017年4月15日,消停没多久、搞事情绝不嫌事大影子经纪人,再次声称攻破了为NSA开发网络武器的美国黑客团队“方程式组织”的计算机系统,并下载了他们开发的大量攻击工具,并且他们还把这其中各种工具,传到了网上提供给全世界网友和黑客同行下载。 这其中,就包括了可以远程攻破全球约70%Windows机器的漏洞利用工具——永恒之蓝。
一夜之间,各种没有打补丁的windows电脑几乎全线暴露在危险之中,任何网友都可以直接下载并远程攻击利用。
这次的WannaCry勒索病毒就是利用此前泄漏的方程式工具包中的“永恒之蓝”(微软3月份已经发布补丁,漏洞编号MS17-010)漏洞工具,通过445端口直接远程攻击目标主机。目标机器被成功攻陷后,会从攻击机下载“WannaCry”勒索病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染从而大范围超快速扩散,所以这次传播感染速度非常快。
5月12日:全球近74个国家受到严重攻击
国内舆论上大规模的爆发,发生在国内时间5月12日晚上10点半,英国时间5月12日下午3点半。
英国全国上下的16家医院首先报道同时遭到网络攻击,很快, 16家,18家,20家......
全英国上下越来越多的医院汇报自己的电脑收到攻击, 而所有被攻击的电脑受感染后会显示一个信息,指系统内的档案已被加密,用户须向黑客支付约300美元的比特币来赎回档案。若三天内未收到赎金,这笔钱将翻倍;若七天内还是没收到,就会把所有文件删除。
正当所有人都觉得这是一场针对英国医院的网络袭击的时候,更多消息传来,不只是英国,这一场网络攻击,几乎席卷全球!!俄罗斯、英国、中国、乌克兰等国纷纷“中招”。中国多个高校校园网也集体沦陷,导致许多学生的毕业论文被锁,若不处理好,这些毕业生将要重写毕业论文!而中石油都受到波及,2万个加油站点断网。
据统计,12日当日,全球有接近74个国家受到严重攻击。24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10W+。
幸运的是,当日,一位名为哈钦斯英国小哥的意外之举,竟然有效阻止了近日席卷全球网络的比特币勒索病毒攻击事件的继续蔓延。12日晚,哈钦斯注意到,一款勒索软件正不断尝试进入一个并不存在的网址,于是他花8.5英镑注册了这个域名。令人们震惊的是,在这之后勒索病毒的蔓延速度开始大幅度减慢。
据哈坎斯的同事分析,网址被注册相当于触发了勒索软件自带的“自杀开关”。网址很可能是黑客设定的“检查站”,每次发作前软件会访问网址,如网址不存在,说明安全人员尚未注意,可横行无阻;若网址存在,为避免被“反攻”,勒索软件会停止传播。
5月13日-5月14日:勒索病毒席卷全球近150个国家
在英国小哥发现通过注册某个域名可阻止变种勒索病毒的传播后,勒索病毒出现了变种:WannaCry 2.0, 与之前版本不同的是,这个变种取消了Kill Switch,不能通过注册某个域名来阻止变种勒索病毒的传播,其传播速度可能会更快。在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。
据统计,来势汹汹的WannaCry勒索病毒仅用一个周末就席卷了全球近150个国家,感染了逾20万台电脑,且已经影响到教育、能源、医疗、交通、银行等众多行业。欧洲刑警组织负责人警告网络攻击威胁升级。
其中,遭受到攻击最严重的国家和地区包含英国、俄罗斯、乌克兰、印度与台湾。
然而,截止到14日,只有极少数受害者按照勒索条件交了钱。数据显示黑客留下的账户收到汇款约2.85万美元。
安全专家警告称,新一波攻击正在临近,并且可能势不可挡。北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。该通知要求各单位立即组织内网检测,一旦发现中毒机器,立即断网处置,严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
5月15日:支付赎金并未导致任何数据恢复
5月15是本周上班第一天,随着大家回到工作岗位,打开电脑,新一波的全球网络攻击2017年5月15日持续肆虐。
为了避免员工返工打开电脑后被勒索病毒感染,国内不少企业停网要求全体员工打补丁,直到技术部门确认所有员工完成了修复工作。
勒索病毒爆发以来,各方都纷纷撇清关系,很多人都好奇一个问题:究竟谁干的?15日,多家网络安全企业认定,这款病毒源自美国国家安全局病毒武器库。
美国总统国土安全与反恐助理托马斯·博塞特15日予以否认,“勒索赎金的代码不是由美国国家安全局NSA的工具开发出来的,这种工具是由犯罪方开发的,也就是潜在的罪犯或外国国家。” 同时,博塞特表示,12日开始的勒索软件网络袭击共获赎金近7万美元,而且据美方所知,支付赎金并未导致任何同时,数据恢复。
同日,迪士尼影业CEO鲍勃·伊戈尔向媒体透露,由于近日爆发的病毒危机,使得旗下一部即将上映的大片惨遭被盗。伊戈尔并没有透露影片的名字,只是说迪士尼拒绝支付赎金,现在正在跟美国联邦调查局(FBI)合作。随后美国Deadline网站确认,迪士尼被盗全片的影片为《加勒比海盗5:死无对证》。该片将于5月26日在中美同步上映,此前刚刚在中国举办了世界首映礼。
5月16日:勒索病毒幕后黑手或来自朝鲜
谷歌与两大防病毒软件实验室赛门铁克(Symantec)、卡巴斯基(Kaspersky Lab)共同将怀疑目标指向朝鲜,线索隐藏在代码中。
这两家杀毒软件公司称,Wannacry(想哭)勒索病毒的程序代码和3年前攻击美国索尼公司的朝鲜黑客所使用的病毒程序代码类似,该代码尚未得到大范围使用,人们只在与朝鲜有关联的黑客发起的攻击中见过,因此制作者很可能是朝鲜的黑客组织Lazarus Group。
截至16日,勒索病毒总计约讹到35万人民币,比大前天翻番。某安全反病毒实验室表示,他们观测发现病毒目前仍然在进行变种,部分勒索病毒样本已经从WannaCry(想哭)变成了“WannaSister”(想妹妹)。
5月17日:黑客组织威胁放更多漏洞, Windows 10也跑不了
“影子经纪人”,在社交网站上发出威胁称,他们将发布更多黑客工具的代码。从6月开始向“任何愿意付钱的人”出售可用以入侵大部分电脑的程式码,甚至是俄罗斯、伊朗及朝鲜的核武及导弹计划资料。此外,黑客可能还会首次公布有关Windows 10的漏洞,让微软焦头烂额。
他们还威胁说,将盗取和披露大量银行数据,但是并未对此说明更多细节。
责任编辑:方杰
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。