查看原文
其他

老旧勒索病毒,配上美国政府核弹级网络武器...然而,一个英国小哥却意外拯救了世界..

2017-05-13 英国那些事儿 英国那些事儿

(这原本应该是一篇技术性很强的文章...  事儿君已经尽所能,把这解释的尽可能的通俗和不那么“技术”...  希望大家能够看懂,明白这其中是怎么回事)



昨天,

一场网络风暴席卷全球.... 


“你的电脑已经被锁,文件已经全部被加密,除非你支付等额价值300美元的比特币,否则你的文件将会被永久删除" 


而舆论上大规模的爆发,发生在国内时间昨天晚上10点半,英国时间下午3点半.... 


英国全国上下的16家医院首先报道同时遭到网络攻击.... 



这些医院的网络被攻陷,电脑被锁定..... 黑客要求每台电脑支付等额价值300美元的比特币,否则将删除电脑所有资料... (事情刚发生时英国上下一片慌乱,媒体曾误传要300比特币)


一瞬之间,医院里的电脑一台接一台的被感染... 医院的IT部门也马上响应,要求关停所有没被感染的电脑... 


攻击爆发之后,医院内部的医疗系统几乎停止运转.... 


没有了系统记录,医生不知道他即将要处置的病人有何种病史是和过敏史...


没有了电脑的内部病例沟通系统,医生不能给病人做X光,CT,核磁共振检查...   因为这些系统已经全部数码化,本应直接在电脑上把图像传给医生...


一个病人,在NHS医院排了10个月的队等待做一台心脏手术,却在手术即将开始的最后关头遇上网络攻击,手术被紧急取消..... 


约克郡的一名药剂师表示.... 没有了电子处方,他只能重新开始使用纸笔... 找不到病人的历史记录, 感觉回到了石器时代..... 


很快,更多的医院被攻击.... 

16家,18家,20家...... 

全英国上下越来越多的医院汇报自己的电脑收到攻击.... 


而所有被攻击的电脑,

显示的都是这么一个电脑被锁定的红框..... 


正当所有人都觉得这是一场针对英国医院的网络袭击的时候.... 


更多消息传来..... 


不只是英国,这一场网络攻击,几乎席卷全球!! 


中国: 校园网受灾严重... 

此时正值毕业季,不少同学的毕业设计,中招严重... 


:表示已经中招,所有文件全部破损,作业,画的图,一张一张收集了2年的素材资料,全没了        


:就这么说吧,现在毕业季,我隔壁寝室就有妹子中招了,我们是动画专业,如果我们专业没提前备份的话,她的所有图片,视频都打不开了,那我们的毕设基本就废了,因为AE之类的工程文件是认导入的路径的,一旦源文件打不开,毕设基本上就算没了(PS:我们毕设给的时间是一年。如果没了那就是一年白画了)   


不少学校发出提醒...       


西班牙: 电信公司Telefonica电脑系统被攻击.... 


意大利:大学机房中招.... 


德国: 火车车站系统中招...


俄罗斯: 政府内政部超过1000台电脑收到攻击瘫痪..... 


昨天一晚至今,安全专家统计.... 


整个攻击遍布全世界超过99个国家.... 

那些幸免的国家里,要么几乎没有电脑,要么几乎没有网络... 



这次为什么会发展成这样? 


总的来说.... 

一个本已被玩滥的攻击手法,被人整合上了一个美国国家安全局的核弹级的网络攻击工具!


而这一切,让事儿君慢慢说起...... 



勒索病毒,这,其实已经是一个很多年以前的东西了..... 


总的来说,这就是一个病毒程序,只要你不小心运行了这个病毒之后,它就会锁定你的各种重要文件... 只有交赎金才能帮你解密.... 

而赎金,通常都是以比特币的形式支付.... 


比特币我们很多人都已经知道了,是一种网络虚拟货币... 然而他最大的特点,就是分散在整个网络上,完全匿名,完全不受各种金融限制.... 几乎很难从一个比特币账户追查到个人..... 

于是,这成了黑客索要赎金的最佳支付手段... 



在过去的几年里,这样的勒索病毒出现过很多... 

有类似这样的.... 



又或者是这样的..... 


用勒索病毒针对各种个人,公司和机构的公司其实每年都有不少... 

但是大多数都是一些零星事件,很少有像这次一样的大规模爆发.... 


为什么之前很难大规模爆发?


因为要中这样的勒索病毒,大多有一个前提条件... 

你必须先得运行这个病毒程序,病毒程序才能把你的电脑锁了.... 



怎么才能让运行呢?

之前,他们很多都是采用钓鱼邮件的方式... 

比如 ”HI, 附件是我的照片,你要不要打开看看呀~~~”

打开,你就中招了..... 


也有的通过U盘的形式.... 

插入U盘,自动运行,然后中招.... 


要么通过网页骗你... 

比如“下载我们的播放器,就可以看羞羞的小电影哦” 

又或者是浏览网页的时候跳出这么一个页面

“你的电脑已经被感染恶意软件,赶紧下载我们的查毒软件查杀!” 

如果你不懂真的下载运行了,你就真的中招了.... 



总之一个字,大多数靠骗..... 

“相信我,我不是病毒....  我只是一只海豚....” 

(你,敢点么?)




正因为之前都是要靠骗,所以想要大规模的爆发,不容易.... 

因为这年头被病毒吓怕了,我们很多人都已经有了相当的安全意识... 


邮件里的莫名奇妙附件不会去打开..


网页上的连接不会去乱点.... 


一些大的邮件提供商也在帮忙过滤这些含有病毒的邮件.... 



所以很多年来,中招的大多都是一些不太懂电脑,或者安全意识不太强的人...... 



然而这一次,

这种传统的勒索病毒,被人绑上了一颗核弹.... 

这颗核弹的名字....   

永恒之蓝

Eternalblue


而永恒之蓝的来源,跟一个美国政府机构有关,NSA, 美国国家安全局..... 


美国国家安全局NSA是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料,属于美国国防部...  

而NSA就有跟各种黑客组织合作,专门研究入侵各类电脑网络系统.... 


还记得各种美剧和电影里,那些政府的神人级电脑高手,想要入侵啥就入侵啥么? 这一切,虽然没有电影里那么快那么深, 然而跟NSA合作的这些黑客组织,还真的有这个入侵各种电脑的能力.... 


最近,一个帮美国国家安全局开发网络武器的黑客部门,被另一个黑客组织,入侵和曝光了..... 




这就要说说上个月,网络安全界爆发一件大事..... 

一个叫影子经纪的黑客组织,声称攻破了为NSA开发网络武器的美国黑客团队“方程式组织”的计算机系统,并下载了他们开发大量的攻击工具。


这些工具里包含了大量各种入侵工具和恶意软件.... 

这其中,就包括了可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝。



也就是说,美国政府国家级别的网络入侵武器,被另一伙黑客,偷到了! 


被偷到也就算了,

更关键的是,

他们还把这其中各种工具,传到了网上,提供给全世界网友和黑客同行下载..... 

这些公布的工具里,几乎可以攻击全球 70% 的 Windows 服务器.... 


一夜之间,各种没有打补丁的windows电脑几乎全线暴露在危险之中,任何网友都可以直接下载并远程攻击利用....


当时甚至有业内人士表示,这些工具刚开始几乎“指哪打哪”.... 


这些工具,原本都是为美国国家安全局开发,专门给NSA入侵目标电脑,进行情报搜集使用.... 


然而,这些堪称网络大杀器的攻击工具,就这样在上个月,被人公之于众..... 




那么,永恒之蓝究竟能干什么? 

总的来说,它可以不经过你的同意,远程入侵,让你执行任何程序..... 



那勒索病毒 加上 永恒之蓝呢? 

这也就成了,可以不经过你同意,直接让你执行勒索病毒,锁定你的电脑,并开始连串攻击跟你同一个联网里的任何其他电脑.... 



这下,意识到把这样的勒索病毒 配上 这样的NSA大杀器之后的可怕之处了么? 


一个学校,一个公司,网络里成百上千的电脑.... 


可能99%的人都不会去点击陌生的邮件附件,


又或者99%的恶意网页,恶意邮件,都会被系统过滤...... 


然而,


在这一个学校或者一个公司成百上千人里,


只要有一个人,


一个人.... 


无论是因为那个人不小心发傻,或是真的不懂,点击了含有这样勒索病毒的邮件或者网络..... 


那么他的电脑就会被勒索病毒感染,勒索病毒就会启动NSA大杀器永恒之蓝,入侵跟他联网的所有电脑,并给网络里入侵成功的所有的电脑启动勒索病毒.... 


你就算自己再小心也没用,只要你隔壁联网的有一个不小心的哥们,如果你的系统没有打上最新的补丁,那你也跟着完蛋......


 而一整个公司或者学校里,出现这么一个不小心的几率,相当大....... 


又因为美国安全局的这个永恒之蓝的漏洞足够牛... 从windows xp 到2003,到windows vista, 7, 8......  除了windows10之外的其他系统几乎无一幸免.... 



然而,

在施虐一波后,

英国事件昨天半夜,国内时间今天一大早....

这波攻击,突然减弱消退了! 


这,就不能不说一个人....



当这次攻击大规模爆发后....  

世界各国的安全人员,立马开始了对病毒样本的分析.... 


这其中,就有一个英国安全人员,他分析了病毒的代码,发现在代码的一开始,有一个特殊的域名地址..... 


www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com


对,就这么一个看似手滚键盘打出来的,死长死长的域名地址....


同时,地球另一端思科的网络安全人员也发现了这个域名


通过分析,他们发现,在昨天之前,网络上完全没有针对这个域名的访问。 

而昨天开始,这个域名的访问量激增... 

峰值达到了每小时1400多次... 


发现这个域名之后,

那个英国网络安全小哥照例搜索了一下,

发现那个域名地址并没有被注册... 


出于职业习惯,他花了几十块钱,干脆顺手把那个域名注册了一下.... 

注册成功后,

一瞬之间,他发现....

这个域名接到了几乎全世界各个国家的电脑的连接..... 


当时,

他自己不知道发生了什么,只知道,这个域名,不简单.... 


事后才发现,他当时这随手的一注册,简直立了大功!!! 



因为后来,随着对病毒代码的进一步分析,

安全人员发现,这个域名,看起来像是病毒作者给自己留的一个紧急停止开关.... 防止事情失去他自己的控制...


在代码里,安全人员找到了这样的语句.. 

这个代码的逻辑是这么写的


访问这个域名

如果  这个域名存在

      那么  退出一切

反之如果这个域名不存在

      那么  开始继续攻击...


也就是说,每一个感染了病毒的机器,在发作之前都会事先访问一下这个域名,如果这个域名依旧不存在,那就继续传播..  如果已经被人注册了,无论是被病毒作者本身还是被其他人,那就停止传播.... 



就这么一个简单的域名,

那个网络安全小哥无意间的一注册,

万万没想到 ,

触发了病毒作者留给自己的紧急停止的开关..... 



事后,小哥自己在twitter上自嘲道... 

“我坦白,在我注册这个域名之前,完全不知道他能停止这次病毒的传播...  这发现完全意外...”


“所以以后我简历上大概可以加一句 ‘ 一不小心阻止了一场全球性的网络攻击...' "


后来,小哥根据此开发出了这么一个攻击地图.... 

现在我们知道,地图上的每一个蓝点,不止代表着一台被感染了病毒的机器..... 

还代表着,

这是一台访问了小哥设立的这个域名,决定停止继续攻击的其他电脑的机器.... 



如果不是安全人员发现了这么一个紧急停止的开关...

这其中的每一个蓝点,都有可能继续攻击同一个网络里的其他电脑,

每一个蓝点,都有可能成为更多机器被入侵的来源....    

后果不堪设想.... 



虽然已经被感染的机器无能为力...

但是发现这么一个紧急停止开关,已经阻止了进一步大范围爆发的可能...


虽然可能很快这个病毒就会推出变种,绕过这么一个域名,或者采用别的域名... 这个紧急停止开关可能会失效.. 

但是那会大家安全意识都已经普遍提高,打上补丁, 造成的影响,不会有这次更强烈了.... 



就这样,一个古老的勒索病毒 配上了一个NSA的传播入侵大杀器永恒之蓝... 


造成了这次席卷全球的网络风暴.... 


然而,这么大的一场风暴,又被无数幕后紧急响应的安全小哥们扑灭..... 



感谢他们,

如果不是他们连夜通宵奋战,

今天一天下来,这世界可能会更惨....... 





最后的最后,一些补充后记.... 


为什么这次英国医院受灾严重?

因为英国医院的IT系统老旧落后,一直没有及时更新系统...

早在去年12月就有新闻曝光,英国医院IT系统及其危险,依旧在使用Windows XP系统....

而windows xp系统早在2014年4月就已经被微软停止支持...  不会发布更新的安全补丁....  也就会暴露在一切2014年之后的系统漏洞之下... 

然而时至今日,英国医院依旧没有升级系统....  


所以,这是一次不只针对英国医院的无差别攻击,只不过英国医院的系统升级做的最差,所以受灾最严重... 


怎么解决?

这里我就不详说了,大家可以看其他相关安全相关人士的建议... 

总之有几点原则

1 勤备份.. 而且备份盘不要一直插在电脑上... 

2 莫名邮件附件不要点,莫名网页不要点...

3 随时保持系统安全更新.. (这次漏洞的布丁其实微软在3月份就已经紧急发布,如果当时更新及时的话,就算4月大杀器被公布,也依旧不会受到影响)


-------------------


_子非yu__:请大家该打的补丁还是要打,因为这个病毒源代码肯定被分享了,那么也就代表着只要把这个判断条件换一换,或者干脆就不要判断条件,就是无条件攻击的话,那么悲剧还会发生。所以大家补丁还是要打的。


@yclss_m:我们学校在一个月前就封了端口……就是因为那些攻击程序被公布……今天同学们翻出来当时没人注意到的通知觉得学校真是未雨绸缪……


抱着你好吗:攻击医院和学校这一点真的不可原谅


一片雪宝的叶子:昨晚看到新闻吓一跳,突然清醒准备备份东西,翻了一会电脑才发觉我没啥值得备份的


在下吴彦祖有何贵干:心疼毕业论文没写完就被攻击的小伙伴


我鱼鱼坚强:美国国家安全局是一个源头啊、这表示美国确实在窃取全球各个国家的数据隐私啊


hitlergao:一直觉得win10不好用,没想到一夜之间成为最大赢家?第一次想抱紧win10


他们都叫我帅比我好累:我记得上次这样的病毒叫什么熊猫烧香,还是一个中专毕业的武汉小伙子弄的 ,后来进去了 就没什么消息了。那时候玩卡丁车,电脑上出现一个熊猫,我tm以为官方送了我一个熊猫宝宝


ECO中文网:有评论认为,此次事件也再次暴露了比特币这类以反监管为目的开发的网络电子货币的负面作用。有人说工具是中性的,但一个一开始就为了潜在犯罪便利开发的工具就不一定了。比特币组织的反监管和无政府主义倾向工具化,一定程度上激发了黑客的犯罪热情


野猫和树:会不会是微软想要全世界的人都升级到win 10所以这么干?[并不简单]


蓝蓝徐的大壳:怪不得评论里都说win10很稳 哈哈哈哈 但我还是断网把端口都给关了才敢联网, 毕业期间 受不了一点风险 不然我宁愿一周不开电脑


-------------------

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存