每经记者 苏杰德 每经编辑 王嘉琦
医院瘫痪、加油站断网、毕业论文被篡改……
就当巴菲特刚刚说出了“网络攻击比核武器还可怕”之后没多久,黑客就在全世界面前秀了一次肌肉。
近日,全球上百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击,被攻击者被要求支付比特币才能解锁。5月14日,据BBC最新报道,全球已有150个国家,超过20万台计算机遭到感染。
最近几天,因为勒索病毒在全球扩散,各国很多机构的正常办公受到影响,但目前情况似乎有所好转。5月14日,每日经济新闻(微信号:nbdnews)记者独家获悉,中石油超八成加油站已重新连网,第三方支付也正陆续恢复之中。
在这次全球的网络危机中,一位22岁的英国人立下了大功,他/她仅仅用10美元,就阻止了病毒的扩散。可是,就在国外各大媒体开始以“英雄”来称呼这位神秘人之时,勒索病毒却出现了变种!
中石油超八成加油站已重新连网
5月13日上午,每日经济新闻(微信号:nbdnews)记者独家报道,全国包括北京、上海、重庆、成都等多个城市的部分中国石油旗下加油站在当日凌晨突然出现断网,而因断网一时无法使用支付宝、微信、银联卡等联网支付方式,只能使用现金支付,不过,加油站加油业务可正常运行。
▲5月13日上午,成都一家加油站贴出充值业务暂定办理的通知。每经记者 朱万平 摄
5月14日午间,中国石油相关负责人向每日经济新闻(微信号:nbdnews)记者回应称,中国石油紧急应对比特币勒索病毒影响。5月12日22:30左右,因全球比特币勒索病毒爆发,该公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用,加油及销售等基本业务运行正常,加油卡账户资金安全不受影响。
5月13日1:00,为确保用户数据安全和防止病毒扩散,中国石油紧急中断所有加油站上连网络端口,并会同有关网络安全专家连夜开展处置工作,全面排查风险,制定技术解决方案。5月13日13:00,根据现场验证过的技术解决方案,开始逐站实施恢复工作。
中国石油方面称,截至5月14日12:00,中国石油80%以上加油站已经恢复网络连接,受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。14日13:00左右,记者从北京中国石油华威路加油站了解到,该站已经恢复了第三方支付。
值得注意的是,加油站外部支付需使用外网,而加油业务在内网运行。有网络安全专家分析称,从理论上,这次攻击只针对windows系统,石油系统及工业互联网不会被波及,除非有专门的针对这一系统的病毒被开发。
阻止病毒扩散,神秘“英雄”只花了10美元
虽然这次勒索病毒波及范围很广,但暂时还没有泛滥。这得感谢一位神秘的英国研究员。
当地时间周六(5月13日)早上,一个网名为MalwareTech的网友在自己的同名网站MalwareTech上发布了一篇文章,讲述了自己如何“一不小心”就防止了勒索病毒的扩散。
13日,MalwareTech接受了国内外媒体的邮件采访,但没有透露自己的真实身份和性别。
根据红星新闻和CNN等媒体报道,MalwareTech表示,其实在这场全球“浩劫”刚开始时,他就已经从英国的一个论坛上得到了消息。但不巧的是,他当时正在外面。
等我回家后,我在WannaCry病毒中发现了一个未注册的域名,并因此决定注册该域名,以便追踪这一病毒。
其实,这个域名就是该病毒的“删除开关”。为此,MalwareTech花了10.69美元的费用注册购买了这一域名。
事实上,MalwareTech找到的,就是该病毒中隐藏的“删除开关”。
后来在一些分析员的帮助下,我们终于确认,在注册了这一域名后,这一感染停止了。
MalwareTech解释说,通常情况下,在注册该域名后,他将拥有WannaCry病毒的运行权,他们经常采用这种方式来追踪恶意病毒软件,“或者用来阻止犯罪分子控制该病毒”。
这一“开关”被编码隐藏在恶意软件中,如果恶意软件的制造者希望停止该病毒的传播,那么只要激活这一开关即可。这里的开关机制为,该恶意软件将会向任何网站,包括这个非常长的毫无感官意义的域名网站发送请求,而一旦该请求得到回应,就意味着该域名上线,“删除开关”就会生效,恶意软件也会停止传播。
别大意,病毒已出现变体!
虽然外国媒体纷纷将这位神秘的研究员奉为英雄,可是,MalwareTech发现的的“删除开关”只针对一个版本的WannaCry勒索病毒。事实上,还有很多版本的勒索病毒存在,只有找到各个版本的“开关”,才能彻底防止扩散。
更恐怖的事,就在MalwareTech找到遏制勒索病毒扩散的方法后第二天,WannaCry勒索病毒就出现了变体,“删除开关”已经不起作用了!
千龙网5月14日报道,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry勒索蠕虫出现了变种:WannaCry2.0,与之前版本的不同是,这个变种取消了所谓的KillSwitch(删除开关),不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
《通知》还给出了相关的处置建议:
一、请立即组织内网检测,查找所有开放445SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
三、一旦发现中毒机器,立即断网。
四、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口,关闭网络文件共享。
五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
六、尽快备份自己电脑中的重要文件资料到存储设备上。
七、及时更新操作系统和应用程序到最新的版本。
八、加强电子邮件安全,有效地阻拦掉钓鱼邮件,可以消除很多隐患。
九、安装正版操作系统、Office软件等。