这次勒索病毒“WannaCry”(永恒之蓝)在全球范围内的爆发,让众多单位业务停滞、遭受不同程度的损失。
WannaCry为何突然来袭?
Windows的构成动辄几亿行代码,之间的逻辑关系不可能一个人说了算,因此出现漏洞是很难消除的。
勒索病毒是2013年开始出现的一种新型病毒模式。从2016年起,这种病毒进入爆发期,到现在,已经有超过100种勒索病毒通过这一行为模式获利。比如去年,CryptoWall病毒家族的一个变种就收到23亿美元赎金,近几年,苹果电脑、安卓手机和iPhone也出现过不同类型的勒索病毒。
虽然下黑手者目前还找不到,但其所用的工具,却明确无误地指向了一个机构——NSA(National Security Agency),美国国家安全局。这一机构又称美国国家保密局,隶属于美国国防部,是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通信资料。黑客所使用的“永恒之蓝”,就是NSA针对微软MS17-010漏洞所开发的网络武器。
事情是这样的:NSA本身手里握有大量开发好的网络武器,但在2013年6月,“永恒之蓝”等十几个武器被黑客组织“影子经纪人”(ShadowBreakers)窃取。
今年3月,微软已经放出针对这一漏洞的补丁,但是,一是由于一些用户没有及时打补丁的习惯,二是全球仍然有许多用户在使用已经停止更新服务的WindowsXP等较低版本,无法获取补丁,因此在全球造成大范围传播。加上“蠕虫”不断扫描的特点,很容易在国际互联网和校园、企业、政府机构的内网不间断进行重复感染。
实事求是地说,作为操作系统之一,Windows的构成动辄几亿行代码,之间的逻辑关系不可能一个人说了算,因此出现漏洞是很难消除的。而Windows又是世界上使用最普遍的操作系统,因此被黑客看中而研究漏洞并攻击获利,是很“正常”的事情。
但作为美国国家安全局,盯着这个系统的漏洞也就罢了,还专门搞武器,这是什么道理?
事实上,在黑客组织曝光这一漏洞之前,微软自己也不知道漏洞的存在。也就是说,只有NSA知道漏洞存在,至于知道了多久,也只有他们自己知道。在侠客岛上的网络安全专家看来,很可能的情况是,NSA早就知道这个漏洞,并且利用这一漏洞很久了,只不过这次被犯罪团队使用了,才造成如此大的危害。从这一点我们可以看出,美国的技术确实很强,在网络安全领域独步全球;同时,“漏洞”已经成为兵家必争的宝贵战略资源。
NSA现在手中握有多少网络武器,当然是美国的机密。但根据维基解密的说法,不仅NSA手里有,CIA手里也有,他们的网络情报中心创造了超过1000种电脑病毒和黑客系统——这还是斯诺登2013年确认的数量。
因此,在此次“永恒之蓝”爆发之后,《纽约时报》的报道就称,“如果确认这次事件是由国安局(NSA)泄漏的网络武器而引起的,那政府应该被指责,因为美国政府让很多医院、企业和他国政府都易受感染”。
按照NSA的说法,自己的职责应该是“保护美国公民不受攻击”;他们也曾指责很多国家对美国实施网络攻击。但事实恰恰相反,被他们指责的国家都是此次病毒的受害国,他们自己用来“防御”的网络武器,则成了黑客手中攻击美国公民的武器。
用美国全国公共广播电台(NPR)的话说就是,“这次攻击指出了一个安全领域根本性问题,也就是国安局的监控是在保护人民还是制造了更多不可期的损害,甚至超出了其好处”。
NSA当然应该反思,虽然他们到现在都没有出来表态回应。但更值得反思的是一个本质性话题:网络安全,到底掌握在谁的手里?
关于本次Wannacry病毒的爆发原理,简言之,这一“蠕虫”勒索病毒,通过针对Windows中的一个漏洞攻击用户,对计算机内的文档、图片等实施高强度加密,并向用户索取以比特币支付的赎金,否则七天后“撕票”,即使支付赎金亦无法恢复数据。其加密方式非常复杂,且每台计算机都有不同加密序列号,以目前的技术手段,解密几乎“束手无策”。
事后补救用好这三招
遭受病毒攻击的单位手忙脚乱,开始紧急补救,无非三个步骤,但这个过程实在影响太大。
遭受病毒攻击的单位手忙脚乱,开始紧急补救。无非几个步骤:
一是断网,防止病毒通过445端口快速在局域网内蔓延。
二是打补丁,补丁为MS17-010,该补丁修复了“永恒之蓝”攻击的系统漏洞。
三是重新联网,开展业务。
从遭受病毒攻击,到开始大面积影响工作,到全面断网无法开展业务,然后再全面打补丁,最后恢复正常办公,这个过程显然不得已而为之,而这个过程中中断业务办理几个小时甚至几天,实在影响太大,特别是一些公共事业的单位,会影响大量民众的生活、生命安全。比如大量的医院、公安、加油站等单位由于中断办公大大影响民众的正常生活。
更有甚者,重灾区之一的学校,由于大量论文、学术资料中毒,而永远找不回来,使得很多学生甚至推延了答辩时间,影响了正常毕业,惨不忍睹。
事前防御是最优选择
针对这种未知、突发性的病毒可以采取事前防御的办法,通过“恢复软件”来恢复数据到正常的状态。
那么,针对这种未知、突发性的病毒有没有主动防御和事前防御的办法?能否做好预防工作?这是值得大家,特别是信息安全领域的人士思考的事情。
答案应该是有的,勒索病毒的主要目的是破坏文件的可用性,中毒的用户如果急于恢复数据,就得缴纳比特币作为“恢复费”。那么我们就可以通过“恢复软件”来恢复数据到正常的状态,但是普通的恢复软件做不到,比如Ghost、Windows自带的还原软件等也无法做到,因为这两个产品,只有还原系统的可用性,而对非系统盘上的数据是无法修复的。并且这两个产品的还原过程需要花比较长的时间,一般在几分钟到十几分钟时间,在还原过程中机器不能断电,否则系统再也启动不了。
目前国内有一种终端虚拟机产品,经过详细的测试和用户的反馈能够完美解决勒索病毒等未知病毒的攻击。其基本原理如下:
第一,实现多个虚拟机,将办公资料、重要资料保护起来。
该产品利用终端虚拟机技术,在操作系统下层运行远为终端虚拟机管理器,用户操作系统运行在虚拟机管理器之上,将用户的电脑虚拟成两台,一台是办公虚拟机,一台是上互联网的虚拟机。办公虚拟机和互联网完全隔离,封闭各种外设访问接口和不常使用的网络端口,只能访问内网业务系统。因此办公虚拟机不会遭受勒索病毒的攻击,保存在办公虚拟机的办公数据和重要数据不会被勒索病毒感染。
第二,该产品可以快速修复中毒的文件,保证文件的可用性,防止数据丢失。
因为该产品运行在操作系统下层,所以不管操作系统中了任何病毒,都可以秒级无损修复的。比如互联网虚拟机被勒索病毒感染,那么使用多网隔离的快速修复功能,可以在几秒钟内恢复系统,把病毒清理干净,并且所有数据恢复正常,不会丢失任何数据文件。
第三,该产品可以实现所有未知病毒的事前防御。
所有病毒感染的是操作系统中的文件,不管是通过加密手段,还是植入病毒程序的方法,不管是针对系统文件,还是用户数据文件,都是对计算机里面的文件进行非法修改,导致文件的不可用性或非正常性。由于该产品能够对计算机建立时间轴,对所有文件的写操作进行记录和控制,所以不管什么病毒对文件修改后,该产品能够将这个文件修复到病毒修改之前的状态。特别是,当计算机恢复到中毒之前的某个时间点后,病毒也会随之被清理干净。
本文转自d1net(转载)