引起全球恐慌的比特币勒索病毒WannaCry是怎么回事?如何防御

专家们警告说,继全球范围的网络攻击后,本周有可能出现进一步的勒索病毒案件。那么,这场病毒攻击究竟是怎么回事?群体和个人该如何自我保护,免受这样的攻击?

何种程度的袭击?

勒索软件是一种恶意程序,会锁定计算机里的文件直到收到赎金为止。勒索软件已经算不上什么新事物,但此次WannaCry病毒的攻击程度据欧洲刑警组织称,乃是“前所未有的”。

据报道,截止到上周日,已有超过150个国家的20余万受害者受到攻击。然而,随着人们在周一打开电脑,如果在周末期间IT部门没有更新电脑,安全系统的补丁没有安装,这一数字还可能会继续增长。

网络安全专家们表示,许多其他勒索软件也将蠢蠢欲动。

引起全球恐慌的勒索病毒WannaCry到底是怎么回事?如何防御?

在英国,NHS(英国国家医疗服务体系)遭受到重创。但截止到周六上午,英格兰48家受影响的健康基金会的电脑已恢复正常工作。

这一恶意软件目前为止并未给其制造者带来太多收益。每台被感染的电脑会被要求支付相当于300美元的比特币赎金,而据BBC报道,目前为止赎金总计约为3万美元。这表明绝大多数受害者并未付款。

我的电脑有危险吗?

WannaCry病毒只会感染运行Windows操作系统的电脑。如果你的Windows系统没有更新,在打开和阅读Email时不加小心,那么你的电脑就可能遇到危险。

然而,在此次病毒袭击中,家庭用户通常被认为是低风险的。

引起全球恐慌的勒索病毒WannaCry到底是怎么回事?如何防御?

你可以通过更新系统、使用防火墙和防病毒软件并在阅读Email时提高警惕来进行自我保护。

鉴于目前并没有证据表明交付了赎金就一定可以解锁文件,因此,请定期备份数据,这样一旦被感染就可以恢复文件而不必遭受损失。

病毒何以传播得如此之快?

名为WannaCry的恶意软件是以蠕虫的计算机病毒形式传播开来的。

与其他许多恶意软件不同,这一恶意程序可以自行在网络上传播。而其他大多数恶意程序则需要诱导人类点击含有攻击代码的附件才能进行传播。

引起全球恐慌的勒索病毒WannaCry到底是怎么回事?如何防御?

一旦WannaCry侵入某个组织,它就将捕捉到那些有漏洞的电脑进而感染它们。许多受害组织的大量机器都是这样被侵蚀的。更多病毒解读:www.yangfenzi.com/tag/bingdu

这种传播方式被描述为类似感染人类的诺如病毒的传播方式。

人们为什么没有得到保护?

今年三月时,微软曾发布了一个针对勒索软件的免费补丁。WannaCry疑似是利用了美国国家安全局发现的一个bug。

当这一bug的细节被泄露后,许多安全研究人员都曾预言这将导致自启动勒索软件蠕虫的产生。恶意黑客或许仅仅用了两个月就使这一预言成真了。

引起全球恐慌的勒索病毒WannaCry到底是怎么回事?如何防御?

起初,专家认为大量受害者都是使用的Windows XP操作系统,这一系统因为太老已经不被微软所支持了。然而,英国萨里大学的网络安全专家Alan Woodward称, 最新的统计数据结果表明这类受害者只占很小一部分。

大型组织在安装安全补丁之前,必须测试电脑操作系统供应商发布的补丁是否会干扰其网络运作,而这就会延迟补丁的安装,使电脑无法尽快得到保护。

袭击的幕后黑手是谁?

目前对此还不清楚。但部分安全专家称WannaCry作为恶意软件,其设计并非十分精巧。由一位安全研究人员无意中发现的、可以阻止其传播的“死亡开关”(kill switch)或许是有意设计的,原意是使该病毒在被捕获且放入“沙盒”后可以停止传播,但应用不当,因此导致了此次病毒的爆发。

引起全球恐慌的勒索病毒WannaCry到底是怎么回事?如何防御?

长久以来,勒索软件因为在获利上立竿见影,因此一直颇受网络不法分子们的青睐。鉴于比特币这一虚拟货币的特殊性,网络窃贼们可以轻易将赎金兑现,而不用担心被警方追查到。

然而对于专业的犯罪团伙来说,像本次袭击这样,只用如此少的比特币钱包来搜集赎金颇不寻常。因为按照常理来说,使用的比特币钱包越多,身份就越不容易被揭露。

【来源:BBC、The Telegraph 编译:未来论坛 商白】

——————— 氧分子网www.yangfenzi.com)延伸阅读 ———————

应对新型勒索软件“wannacry”  防御阻止办法

目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。网络安全专家建议,用户要断网开机,即先拔掉网线再开机,这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁,或安装各家网络安全公司针对此事推出的防御工具,才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘,备份完后脱机保存该磁盘,同时对于不明链接、文件和邮件要提高警惕,加强防范。

临时解决方案
开启系统防火墙
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)
打开系统自动更新,并检测更新进行安装

Win7、Win8、Win10的处理流程
1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙。
2、选择启动防火墙,并点击确定
3、点击高级设置
4、点击入站规则,新建规则
5、选择端口,下一步
6、特定本地端口,输入445,下一步
7、选择阻止连接,下一步
8、配置文件,全选,下一步
9、名称,可以任意输入,完成即可。

XP系统的处理流程:
1、依次打开控制面板,安全中心,Windows防火墙,选择启用
2、点击开始,运行,输入cmd,确定执行下面三条命令:net stop rdr 、net stop srv 、net stop netbt

社会影响

2017年5月12日晚,中国大陆部分高校学生反映电脑被病毒攻击,文档被加密。病毒疑似通过校园网传播。随后,山东大学、南昌大学、广西师范大学、桂林电子科技大学、大连海事大学、东北财经大学等十几家高校发布通知,提醒师生注意防范。除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等公安网和政企专网也遭遇了病毒袭击,许多公安机关和政府部门由于勒索软件的影响被迫停止工作。中国国家互联网应急中心发布关于防范WannaCry的情况通报,称全球约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址数量9300余个。由于中国大陆个人网络用户的445网络端口大多已被网络运营商屏蔽,故该病毒对一般家庭用户影响不大。

一些人士批评与此事件有关联的美国国家安全局(NSA)。棱镜计划告密人爱德华·斯诺登称,如果NSA“在发现用于此次对医院进行攻击的缺陷时就进行私下披露,而不是等到丢失时才说,(此次攻击)就可能不会发生”。微软总裁布拉德·史密斯则表示:“政府手中的漏洞利用程序一次又一次地泄露到公共领域,造成广泛破坏。如果用常规武器来说,这种情况等同于美军的战斧导弹发生失窃。”也有人士聚焦于网络安全意识方面。德国联邦信息安全办公室主任Arne Schönbohm声明道:“现在发生的攻击突显出我们的数字社会是多么脆弱。这对公司是一次警醒,是时候认真考虑IT安全了。”美国外交关系协会数字和网络政策项目负责人亚当·谢加尔认为政府和私营部门的补丁和更新系统运转不正常,不是所有人都会在第一时间为系统漏洞打上补丁;半岛电视台在文章中引述观点称,许多企业的员工缺乏网络安全方面的训练。《福布斯》网站上的一篇专栏文章则认为,该攻击生动地证明了安全备份和良好安全习惯的重要性,包括及时安装最新的安全更新。英国首相特雷莎·梅也就此次攻击发表讲话,称英国国家网络安全中心正在与所有受攻击的机构合作调查。特雷莎·梅还表示:“这不是针对国民保健署的攻击,这是国际性的攻击,全世界数以千计的国家和组织都受到了影响。”

病毒功能

以下以2017年5月第一次大规模传播的病毒版本为主;该病毒早前的一个版本曾于4月通过电子邮件和有害Dropbox链接传播,但没有利用Windows漏洞进行主动传播的能力。简而言之,程序在加载完成后会调用Windows的CryptoAPI,新生成一对2048位的RSA密钥。密钥对包括私钥和公钥,它们会被存储至被感染计算机;但解密时需要的私钥在存储前会使用程序自带的另一RSA公钥加密,该公钥对应的私钥由攻击者持有。

随后程序会遍历存储设备(部分系统文件夹等除外),加密特定扩展名的文件;程序在加密文件时使用AES算法,会为每一个文件随机生成一个128位AES密钥,密钥随后会被程序加载完后生成的RSA公钥加密,并在当前文件加密完后存储在该文件的头部。程序还会调用命令提示符删除设备上的卷影副本(Shadow copy)备份,这一操作可能会引起UAC弹框而被用户注意到。如果用户此时拒绝UAC请求,则清除病毒后仍可能通过Windows备份功能恢复部分文件。

加密过程结束后,病毒会把系统壁纸替换成英语告示,并显示一封提供28种语言版本的勒索信,其中部分可能使用了机器翻译。程序要求用户支付与300至600美元等值的比特币,并在勒索信中给予被感染者3天期限,如若超过赎金会翻倍,超过一周仍未付款则会“撕票”。在勒索信中,病毒还声称今后可能举行免费恢复活动,对象是运气好且“半年以上没钱付款的穷人”。

程序通过Tor匿名网络与攻击者的服务器连接。此外,程序还会在计算机所属局域网内,随机连接其他电脑SMB使用的TCP/UDP 445与139等端口以自我传播,并尝试用同样方式随机感染互联网上的其他计算机。

据思科分析,病毒在感染其他计算机时会尝试通过DoublePulsar后门安装。而根据《连线》的报道,此病毒也会同时在计算机上安装该后门,现已有脚本可检测并移除。

攻击者在程序中硬编码了至少3个比特币地址(或称“钱包”),以接收受害者的赎金,这些钱包的真实拥有者身份不明,但交易情况和余额是公开的。有人在Twitter上设置了一个机器人,实时追踪这三个钱包收到转账的情况。截至2017年5月14日,攻击者已获得相当于约3.2万美元的比特币。

·氧分子网http://www.yangfenzi.com)综合整理

氧分子网(www.yangfenzi.com)是关注互联网生态圈的科技新媒体

·氧分子网http://www.yangfenzi.com)延伸阅读:

➤ 网络安全顾问:未来人们使用的互联网将很不安全

➤ 网络诈骗研究:知己知彼 百骗不侵,六招KO网络诈骗

➤ 百度搜索官方客服电话,记得认准这几个百度认证标志

➤ 防止被盗号、骗钱:行走网络江湖的防骗唯一判断法之URL标识法

➤ 冯大辉:被骗并不都是因为傻 贪小便宜、贪婪想发财都可能被骗

您可能还喜欢…

4 Responses

  1. 华夏时报:勒索全球的病毒,为何赎金指明只收比特币?说道:

    道高一尺,魔高一丈,有散播病毒的,就有杀病毒的,有黑客,就有治黑客的。惊扰了我们一段时间的勒索病毒,最近已经找到解决的途径。

    我们感兴趣的是勒索的货币计算单位,不是美元,不是人民币,而是比特币。

    比特币是什么?

    比特币是什么呢?我们以前节目里也说过,比特币实际是中本聪在2009年发明的一款网络游戏编程产生的结果。由于是一套编程,比特币的总量也相对固定。

    那么有多少呢?2100万,一枚比特币大约是1803美元,按照现在的估值,大约是400亿左右。

    比特币的底层技术是区块链,而区块链技术是通过建立一组互联网上的公共账本,由网络中所有的用户共同在账本上记账与核账,来保证信息的真实性和不可篡改性。它的方式是雁过留痕。你很难改变从哪里来,到哪里去。

    另外,它具有多中心,很难受一个中心的控制,这样保证了它的增值性和可持续性,这也是为什么现在区块链技术非常吸引金融机构关注的重要原因。

    正因为比特币有如此的优势,此次勒索病毒就看上了比特币。

    比特币面临的问题?

    问题在于,比特币究竟算不算是货币,这是全世界都在关注的问题。

    4月1日,日本日内阁就签署承认比特币等虚拟货币支付手段的合法性文件,在日本将有26万家商店接受比特币支付。此外美国证券交易委员会于5月10日重审比特币ETF日期也有密切关系:如果比特币ETF被美国证劵交易委员会审核通过上市,比特币在全球的投资地位将迈进历史新阶段。

    中国在此之前也不认可比特币,2013年还专门布置过打击比特币,导致比特币的交易从1000元美金,被腰斩。

    因此,从这次勒索病毒事件来看:我国对于比特币的监管还存在一大片空白和模糊性。

    如果你不认可比特币的货币属性,,那么拿很难把此次勒索事件认定为勒索事件。因为既然不是货币,那么就谈不上在勒索。

    另外如果你认可你特币的货币么我们之前对于比特币的界定,就需要做重新的修正,这是网络时代带来的一个新的问题。

    我们不能视而不见,也不能做鸵鸟,我们必须研究它的市场前景和应用前景。

    总之,法律法规要跟上现在的技术的一个发展,要适度地监管,同时未雨绸缪,才能解决比特币包括以后有其他多种多样的电子货币带给我们的困扰。

  2. 傅盛:勒索病毒席卷全球,给大家三个解决办法说道:

    这几天,相信很多童鞋都在被勒索病毒困扰。

    2017年5月12日晚20点左右,国内部分高校学生发现电脑被病毒攻击,中毒的同学电脑上所有word、excel、PDF、图片和视频等各类有用的文件会全部被加密。攻击者称需支付最多3个比特币才能解锁,且病毒使用RSA非对称算法,没有私钥就无法解密文件。

    这次病毒攻击是全球性的,在国内疑似主要通过高校校园网传播,目前正在快速扩张。病毒大肆感染的原因在于其利用了前段时间泄露的NSA黑客工具包中的“永恒之蓝”0day漏洞(微软漏洞编号:MS17-101),蠕虫主要通过445端口进行传播。

    针对这次全球性的勒索病毒事件,我给各位盛盛GO的童鞋三个解决办法:

    一、已中毒的用户可使用免费数据恢复工具

    当然,欢迎大家下载金山毒霸,使用数据恢复功能。病毒加密后会删除源文件,有机会恢复部分或全部被删除的源文件。建议电脑中毒后,尽量少操作,且及时恢复,恢复概率比较高。

    而对于那些没有安装金山毒霸的用户也不用担心,目前我们已经推出一个新工具,不用下载金山毒霸就可免费使用,直接进行数据恢复操作。

    下面我就附上猎豹移动“勒索病毒文件恢复方法”操作指南:

    1.下载金山数据恢复。

    vipzone.c.duba.net/kdatarecovery/kavdrsetup91_1.exe

    2.安装完成后打开择数据恢复,点击右上角头像登录。(金山数据恢复免费账号:ksda679795862密码:kingsoft,再点击删除文件恢复)

    3.选择扫描对象:在界面中选择文件丢失前所在的磁盘或文件夹,然后点击“开始扫描”。

    4.扫描过程:文件数量越多,扫描时间越长,请耐心等待。(一般扫描速度2分钟3G)

    5.扫描完结果预览:点击文件可进行预览(可预览的就是可有机会成功恢复的),勾选需要恢复文件(夹),点击开始恢复即可恢复文件。(如没有找到您的文件,可再尝试万能恢复)

    6.选择恢复路径:恢复的文件将保存再您选择的文件夹路径,请选择您要恢复到哪个文件夹。(强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上)

    7.恢复结果:恢复的文件夹将保存在您选择的文件夹路径,打开目录可检查恢复的文件。

    二、未中毒的用户尽快安装免疫工具

    未中毒的Windows 用户请尽快下载免疫工具,保护自己电脑免受攻击。比特币勒索病毒免疫工具下载方式如下:

    cd002.www.duba.net/duba/install/2011/ever/knsatool_20170514.exe

    1.检测当前电脑是否有免疫比特币勒索病毒攻击,建议安装金山毒霸,下载地址如下:

    cd002.www.duba.net/duba/install/2011/ever/kinst_150_1_20170329.exe

    2.点击一键免疫,同时可点击获取提供恢复丢失文件的方法。

    同时,建议局域网用户暂时关闭445端口。

    三、安装金山毒霸有效拦截远程攻击

    各位童鞋,目前勒索病毒仍在持续攻击,存在漏洞的机器,如开机联网,会面临着资料被强行加密锁死的危险。如果你的电脑已经安装金山毒霸,我们会竭诚为你有效拦截勒索病毒远程攻击,避免个人数据遭遇损失。

  3. 葛甲:在WannaCry横扫全球风暴中,微软表现出应有担当说道:

    从5月12日开始在全球范围内大规模爆发的WannaCry病毒,目前已造成多个国家的医疗、银行、学校等机构的重大损失。病毒通过伪装成邮件附件进行传播,用户无需打开邮件或下载就有可能感染病毒,并导致电脑中文件被加密,用户必须购买300-600美元等价的比特币给攻击者才能恢复文件,否则文件将被删除。

    此波病毒攻击开始时,一位来自欧洲Kryptos Logic 安全公司的研究员经过代码分析发现了病毒中藏有的一个网站域名,将其以硬编码的方式写进这个勒索软件内,这一看似不经意的举动阻止了 WannaCry 更大规模的扩散,但之前已被感染的电脑目前却仍无法可救。最新的坏消息是,WannaCry又出现了新的2.0变种,之前黑客留在病毒中的退出开关已被取消,这意味着全球网络又将遭受一波更为猛烈的攻击。

    WannaCry病毒的厉害之处在于,黑客在获得了一个属于美国国家安全局(NSA)的Windows 系统攻击工具 EternalBlue(永恒之蓝)之后,在这款攻击工具上添加了自我复制机制,这极大提升了病毒的传播速度。被感染的电脑本身就是个感染源,可以基于自身向外进行快速扩散。在当前的安全技术条件下,还没有办法挽救已感染电脑,用户除了支付赎金换取文件恢复别无他法,但在阻止病毒的进一步扩散方面,显然还是可以做一些事的。

    5月12日在病毒全球爆发后,微软在第一时间给出了处理措施指导,值得庆幸的是,使用了最新版windows 10操作系统并开启windows自动更新的电脑,在此次攻击中不会受到影响。因为微软已在3月份就发布了MS17-010 安全更新,windows defender更是在5月12日早些时候发布了更新,能够检测到恶意软件 Ransom:Win32/WannaCrypt 的威胁。微软还为此在windows官方安全播客上频繁更新信息公布事件进展,并呼吁用户在打开不信任和未知来源文件时保持警惕。

    最新版本的windows操作系统由于更新及时,对于此波WannaCry的攻击是有把握的,但一些早期windows版本却仍处于危险之中,如在全球仍有650万台电脑运行的windows xp,微软早已在2014年4月8日停止了对该系统的安全支持,这部分用户在安全上基本处于裸奔的状态。按惯例,已停止安全支持的系统是无法获得更新的,但在此次全球性病毒攻击爆发之后,微软还是为Windows XP、Windows 8 和 Windows Server 2003 等早已停止安全更新的早期软件系统提供了紧急更新,这一举动史无前例。

    微软作为全球个人桌面系统的主导者,拥有PC操作系统的绝大部分份额,因此微软出手对于防止局势进一步恶化是起决定性作用的。在出现严重安全威胁时,不计较成本支出等因素果断出手支持,尤其是对一款已使用了长达16年之久,已超出商业契约责任范围的操作系统进行安全更新,切实体现出将用户利益放在首位的理念。

    Windows xp发布于2001年,是历史上最受欢迎的一款操作系统,但从2007年windows vista发布之后,微软于第二年就停止了xp的发售。原本xp也可以像win95、win98和win2000一样,在停止发售后一两年内完全停止更新并退出历史舞台,但问题在于windows xp实在是太受欢迎了,即便在停止发售后仍保持50%以上的市场份额。

    微软本可强制停止更新迫使用户转移到win7、win8和win10等新操作系统上去,但鉴于用户对这款系统的喜爱程度太过强烈,直到2014年才完全停止对这款系统的更新。再此次WannaCry病毒爆发之后,微软又紧急推出了对xp等早期系统的支持。所谓能力越大责任越大,该出手时就出手,微软在此次全球安全威胁中表现出了应有的担当。

    自2002年启动“可信任计算计划”以来,微软在全球40多个国家和地区建立了100多个数据中心和超过百万台服务器,在全球设立了网络防护运营中心,集中了一大批顶级专家专门去发现潜在的网络威胁,并在2015年成立全新的“网络防御运维中心”(Cyber Defense Operations Center),配备24小时待命的专职小组,确保即时相应并解决安全威胁。

    比尔盖茨在这个问题上十分坚决,他曾在备忘录中表示:“可信任计算(的实现)比我们任何其他工作都重要。”当前微软的掌舵人萨提亚•纳德拉也在2015年宣布今后每年将投入10亿美元用于安全技术和安全实践,加强包括Windows、Azure和Office 365等在内的所有平台的安全建设。事实上以微软的市场地位而言,全球计算安全领域发生的大事小情,或多或少都与其有直接或间接关系,微软可以根据商业契约推卸其中的某些责任,但在这一次的安全威胁中,微软选择了用户至上,展现出了极大的责任感。

    在本次还未谢幕的全球性WannaCry安全事件继续肆虐之际,应该考虑的一件事是如何应对越来越严峻的网络安全挑战。随着运算设备、运算能力和数据的几何式扩张,安全前景堪忧,现在去看微软在十几年前就已启动的可信任计算计划,才知真是未雨绸缪之举。作为技术领先企业,微软即便想置身事外也不太可能了,因为微软是全球计算安全不可或缺的重要一环,决定这一点的并非是其桌面市场份额,而是其技术实力。好在微软是个有着维护用户利益传统的企业,对于用户利益有着独特的理解和担当,而这正是微软得以立足的根本。

  4. 勒索病毒,下一场世界大战的新武器?说道:

    来源|冰川思享库(ID:ibingchuansxk)原创

    我一直觉得,神盾局的前任局长尼克·弗瑞(Nick Fury),是个大傻X。

    弗瑞除了耍酷、装死,就没有什么别的本事。而他治下最大的败笔,就是让九头蛇从内部瓦解了神盾局,造反、杀人,然后,打劫了神盾局的武器库。

    在神盾局的武器库里,有被雪藏的大规模杀伤性武器、各种异能人士,于是,世界又陷入一片混乱,科尔森又有了各种打怪升级的新题材,显示“伟光正”的新战场。

    1

    现实中的世界和现实中的美国,并没有什么异能人士,也就没有神盾局。不过,在美国却也有一个像神盾局这样神秘的组织,就是美国国家安全局,简称NSA。美国国家宇航局简称是NASA,总之是高大上的神秘组织。

    去年,这个美国现实版的“神盾局”也遭遇了一次“武器库”失窃事件,结果到最近,导致很多中国大学生、研究生因为勒索病毒泛滥而难以毕业,很多人在中石油没法用加油卡,昨天很多中国警界自媒体集体沉默一天,一些英国医院网络瘫痪,病人没法解救,只好等死。

    ▲勒索病毒

    美剧总是有惊人的预言能力。这也是我比较喜欢看美剧的原因之一。比如,这次现实版的美国国家安全局武器库失窃事件,就可以在神盾局中找到故事模型。

    这次全球肆虐的蠕虫病毒WannaCry,很多人翻译成“想哭”病毒。其实,我觉得,更牛逼的中文译名应该是“蓝瘦香菇”病毒。叫“蓝瘦香菇”病毒,意思更贴切——看到那么多文件被加密打不开,人肯定难受,而且还非得要用比特币赎回,很多人就“想哭”了。

    只有如此郎朗上口的“蓝瘦香菇”,才配得上当年的“熊猫烧香”。

    2

    “蓝瘦香菇”病毒发作,美国国家安全局逃不脱干系。事情的经过是这样的。

    1952年,杜鲁门总统下达了一项命令,一个情报部门从当时的军事部门中独立了出来,成立了美国国家安全局。这简直就是神盾局的翻版。

    资料显示,现在的美国国家安全局,是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料,可以说是美国情报机构的中枢。

    NSA总部的建筑面积为15公顷,位于华盛顿以北的马里兰州米德堡,在距巴尔的摩市华盛顿公园几百米远的森林中,其规模比中央情报局总部还大,号称“神秘迷宫”。

    资料再显示,NSA是全世界单独雇佣数学博士、计算机博士和语言学家最多的机构,也是美国最神秘的情报机构,由于过于神秘,甚至完全不为美国政府的其他部门所了解,所以它的缩写NSA经常被戏称为“No Such Agency(没有这个局)”。

    这家机构有16万工作人员,此外还有 1600多家外部服务商。在这些合作企业中,曾经有一名不起眼的雇员叫斯诺登。

    后来,很多人还发现,美国国家安全局旗下还有个“方程式黑客组织”。目前,还不确定这是NSA自己组织的还是外包的。但是,很多人发现,这个组织不一般。这个组织的代码更新神马的都很有规律,严格按照上班族周一到周五的作息时间表。

    这完全不符合黑客精神。于是,有人就对“方程式黑客组织”下手了。

    据报道,去年8月,有个名叫“影子经纪人”(ShadowBroker)的黑客组织攻入了“方程式黑客组织”的病毒武器库,偷了一部分网络病毒武器。得手后,“影子经纪人”声称,如果收到100万个比特币(时值约5.68亿美元),他们就会罢手。

    估计是基于不和犯罪分子谈判的原则,“影子经纪人”的诉求没有得到满足。今年4月,“影子经纪人”公布了部分偷来的病毒武器。于是,从上周六开始,“蓝瘦香菇”病毒在全球发作。

    3

    “蓝瘦香菇”病毒是在偷来的“永恒之蓝”之上,搭载了一个勒索程序。如果,蓝瘦香菇的制作者搭载的不是勒索病毒,而是情报搜集或者其他更有想象力的病毒,或许,很多电脑中毒也不知道。

    永恒之蓝并不是NSA唯一的病毒武器。除了永恒之蓝,被曝光的还有9款,分别是永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。这些病毒都能利用Windows系统的漏洞,对用户进行攻击。

    另据相关媒体的报道,这次被偷的,总共只有300多M,而这次的“永恒之蓝”,也只不过3M多。

    现在,哪怕是最低配置的智能手机都有几个G的内存,这300多M不到1G的病毒被盗,相对于美国国家安全局庞大的病毒库,可能真算不上什么。

    俄罗斯卡巴斯基实验室的研究人员声称,“这些文件都至少有3年的历史了,最新的时间戳所标的时间点是在2013年10月。”

    也就是说, “永恒之蓝”或许是美国国家安全局的“过时武器”。

    4

    不管这些武器是否过时,这次“蓝瘦香菇”病毒的爆发,让世界看到了,网络战争真实的效果。

    有的人认为,这算不上网络战争。因为,缺乏战争发动的主体,不是一个国家对另一个国家发动的攻击。但是,讨论这个并没有意义,更重要的是在这场网络攻击中使用了战场级别的武器。

    而此前,一个国家基本有很多超级武器,也不会公然对全世界发动网络攻击。

    网络战争本质上是一种超限战。在很多人看不见的地方,网络战早就已经爆发,并且一直在持续不断地进行着。只是,发动攻击或者被攻击的双方,都心知肚明,也就心照不宣。

    就拿这次的永恒之蓝说,其可以搭载勒索程序,也可以搭载情报监控程序,也可以搭载其他病毒,而不令人发现。中国此前公开出来的网络泄密情报案件,斯诺登公布的棱镜计划等等,背后都是网络战存在的证明。

    不管怎么说,这次“蓝瘦香菇”事件,用的还是国家之间发动网络战争的武器。这样的武器也显然具有大规模的杀伤能力。而且,其攻击对象,也多是政府、公共部门的内部网。这让公众构建起了关于网络战争的清晰场景。

    当年,美国在广岛和长崎扔下两枚核武器之后,这个世界上就再也没有在战争中使用过核武器。后来,各个核大国都相继研究出更厉害的核武器,但是,都一直没有机会使用。所以,最近美军在阿富汗投下“战争之母”炸弹,就有助于大家恢复对核武器巨大破坏力的想象,并建立核威慑的场景。

    如果,没有这次事件,对大家乃至对很多政府来说,恐怕也都不知道什么叫网络战,也不知道网络战武器有多厉害,网络战争居然离我们每个人都这么近。

    ▲网络战会是未来战争的趋势吗

    事实上,目前还没有任何证据证明,“蓝瘦香菇”病毒事件背后是美国国家安全局指使,而且美国也是受害者。

    但在美剧的故事中,神盾局武器库被盗,则是弗瑞局长大人周密部署的一部分。所以,我也只能按照正常人的逻辑去理解现实发生的一切。我们不要阴谋论,也不能轻易相信美剧。总之,弗瑞局长下场也挺凄惨的,科尔森当了局长之后,神盾局的编辑和导演们也就把他给忘了。

    而你还能坚持看完这篇文章,说明你还是这场小规模网络战争的幸存者,还不必“蓝瘦香菇”。

发表评论

邮箱地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>