燕麦云何洋开讲|2分钟看懂黑客勒索病毒事件 教你如何防范
燕麦云   2017-05-15

就在刚刚过去的周末,凌晨时分我接到英国朋友打来的电话,他略带惊恐的告诉我,英国数十家医院的电脑系统受到黑客攻击陷入瘫痪。医生不能查看病人病历、救护车无法派遣、甚至连X光都照不了,英国整个医务系统都陷入一场史无前例的混乱中。

我此前留学英国学的就是计算机科学(Computer Science),我印象中的英国医务、乃至整个公共服务系统,还从未发生过如此大规模的网络黑客攻击事件。

第一时间去了解事实后,我发现这是一次涉及近百个国家(包括中国在内)的恶性全球信息安全犯罪,包括纽约时报在内的国外主流媒体都在头版对此事进行了报道,行业社群中相关的讨论也如火如荼——在日渐成熟的互联网信息社会,黑客已经成为对人类社会杀伤力最大的“隐形恐怖分子”,威胁越来越大。

先梳理一下整个事件的脉络:

英国国家卫生服务部门(National Health Service,简称NHS)管理所有公立医院,它的电脑系统存储和管理着全部医院的数据。黑客入侵了NHS的电脑系统,使英国各地医院和卫生部门电脑上的文件都感染了一种新型病毒。这种新型病毒对文件恶意加密,然后要求电脑使用者付款解密文件,从而导致了英国公共服务系统瘫痪。

受害者在“中招”后会看到一个弹窗,要求使用者支付价值300美元的比特币来解密自己的文件,三天内没有完成支付,赎金将会翻倍。

2分钟

文件遭“加密劫持”界面

不止是英国,西班牙、意大利、葡萄牙、俄罗斯等国家也陆续爆出大量的感染案例,全球有超过74个国家的百万台电脑在短时间内遭到感染。

毫无意外的,中国也成了重灾区。就在同一天,大量中国电脑的感染案例在网上曝光,全国数十家知名高校、石油系统、公安系统也被波及。电脑受感染后出现的症状与英国NHS一样,病毒通过对大学生毕业设计等重要文件进行恶意加密,对受害者实行勒索。

这是一场名副其实的全球IT劫难。由于黑客的主要目的是勒索钱财,这种病毒又被称为勒索病毒。而受害者在“中招”后,电脑文件会被加密成后缀为“.onion”的文件,所以这种病毒在前期被称为onion勒索病毒。随着病毒感染范围的不断扩大,几乎每一台被感染的电脑都会弹出一个名为“Wanna Decryptor 2.0”的勒索窗口,因此更多的人把这种病毒称之为“WannaCry”,即“想哭”的意思。但很多人可能不知道,勒索病毒还有一个更优雅的名字——“永恒之蓝”。

“永恒之蓝”的出身颇具神秘色彩。程序猿圈中流行的说法是,它可能与几年前爱德华·斯诺登(Edward Snowden)曝光的美国国家安全局(National Security Agency,简称NSA)秘密监控项目“棱镜计划”有着千丝万缕的联系。

2016年8月,一个名为“Shadow Brokers”的黑客组织疑似获得了“棱镜计划”中的一些机密网络工具,其中有个叫做“EternalBlue”的网络攻击工具,即“永恒之蓝”。而“永恒之蓝”遭泄露后,一些黑客对这一工具进行了修改,就变成了今天的这个勒索病毒。上文提到的勒索病毒很可能就是“永恒之蓝”的一个最新变种。

“永恒之蓝”的攻击特性,是利用搭载微软系统(windows)的电脑开放的445端口进行感染;只要windows电脑开机上网,它就能悄无声息地植入到电脑或服务器中进行恶意文件加密。这个445端口,本身就是一个毁誉参半的网络端口——有了它,我们可以在局域网中轻松访问各种共享文件夹或共享打印机;但也正因为有了它,才给了黑客可乘之机。

在如今这个互联网如此发达的年代,我们早就不需要通过445端口来共享文件和控制打印机了,因此一些网络运营商早在2008年就已对它进行了禁用。而几乎所有在这次全球性IT劫难中遭到“永恒之蓝病毒”攻击勒索的受害者,中招原因就是因为开放了445端口。

事到如今,网上已经有了大量关于如何在电脑中关闭445端口的教程。亡羊补牢,也算是可以应付一时的威胁。但是,与其每次都是在伤害发生后再去补救,不如一开始就防微杜渐。

在多年从事企业信息管理与安全服务过程中,我越来越切身感受到,“企业信息化”需要管理者和业务人员转变传统IT使用思维,才能真正规避风险、提升效率;也才能摆脱一次次后知后觉的窘境,轻松应对下一个类似“永恒之蓝”的威胁。

针对病毒防范,我有以下三点建议。

1、克服对IT的抵触心理和自身惰性,意识到、并突破不好的用户习惯。

这次“永恒之蓝”事件,微软早在2017年3月14日就推送了面向vista或以上系统的安全更新补丁,为什么还会有那么多人受害?其中一个重要原因就是,受害者中有相当一部分人还在使用windows XP这个被淘汰的操作系统。

升级麻烦、旧软件不兼容、不愿学习新的软件操作、一些竞争厂商的不实宣传等,导致了现在的结果。但本质上,这是我们的懒惰心理在作祟;或者,用一个好听一些的说法——我们称之为“用户习惯”。

我一直认为,推陈出新、坚持作对的事情,而不是一直抱着旧有的、错误的习惯不放,本身就是一种可贵的习惯。“习惯于打破旧有习惯”,勇于学习和接纳新知识,这是在信息时代立于不败之地的思想基础。

2、学习并独立判断新技术的价值。

许多唯利益论者认为,微软公司之所以每隔几年就推出一套操作系统,无非是为了赚钱;现有系统已经完全够用,没有升级的必要。

在我看来,“赚钱”的前提是“有没有带来价值”,这恰恰是很多人忽略的重点。电脑病毒和外在威胁不断推陈出新,如果我们依然抱着偏见和旧观念,不在学习和认知新形势的基础上作出独立判断,必然会受到伤害,这次肆虐全球的“永恒之蓝”事件就给我们敲响了警钟。

事实上,开启了windows10自动更新的电脑,可以对“永恒之蓝”免疫,而用户从旧系统升级到windows10,微软公司是给过一年免费升级期的。操作系统在目前微软的营收总占比已低于10%,对于微软来说,云生态才是未来盈利的方向。掌握这些IT信息,对管理者作出正确决策至关重要。

3、永远把“安全”放在保存管理文件的第一位。

我们平日常见的系统安全防卫手段,如杀毒软件、防火墙、安全补丁等其实是一种被动防护。

我们永远不知道下一个IT威胁会发生在哪里,所以只能尽可能封堵风险系数高的漏洞,或者加快应急响应速度。

但对企业来说,一味加强正面安全防卫并不能预防所有威胁,我们也需要一个危机预案,一个兜底的方案去保障文件安全。它的重点在于,哪怕事故发生了,我们也能掌握控制权。对“永恒之蓝”事件来说,将文件进行妥善的保管和备份就是一个兜底方案。它可以做到就算文件被黑客恶意加密了,我们还有一套完整的数据可供使用。

对企业的商业机密和个人保密文件来说,若不想在互联网上有任何文件存留痕迹,我更推荐使用私有云的方式进行保存和备份。

最后我给企业一个小贴士:基于Linux系统的技术原理和其在服务器领域的良好口碑,使用基于Linux系统的私有云要比使用基于windows系统的私有云要更安全。

 

▌延伸阅读

黑客(Hacker)和骇客(Cracker)的区别

黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。但在媒体报导中,黑客一词往往指那些“软件骇客”(software cracker)。

黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。 但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。

黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。

黑客一词一般有以下四种意义:

  1. 对(某领域内的)编程语言有足够了解,可以不经长时间思考就能创造出有用的软件的人。
  2. 恶意(一般是非法地)试图破解或破坏某个程序、系统及网络安全的人。这个意义常常对那些符合条件1的黑客造成严重困扰,他们建议媒体将这群人称为“骇客”(cracker)。有时这群人也被叫做“黑帽黑客”。
  3. 试图破解某系统或网络以提醒该系统所有者的系统安全漏洞的人。这群人往往被称做“白帽黑客”或“匿名客”(sneaker)或红客。许多这样的人是电脑安全公司的雇员,并在完全合法的情况下攻击某系统。
  4. 通过知识或猜测而对某段程序做出(往往是好的)修改,并改变(或增强)该程序用途的人。

有疑问?欢迎与我微信直连 微信号:qyc515