全球多个国家12日遭受一种勒索软件的攻击,受害者包括中国一些高校和英国多家医院。据了解,这种勒索软件是不法分子利用了美国国家安全局网络武器库中泄漏出的黑客工具。
据新华社报道,中国网络安全公司360首席安全工程师郑文彬称,电脑被这种勒索软件感染后,其中文件会被加密锁住,支付黑客所要求赎金后才能解密恢复。据悉,勒索金额最高达5个比特币,目前价值人民币5万多元。
据郑文彬介绍,中国此次遭受攻击的主要是教育网用户。这种勒索软件利用微软“视窗”操作系统445端口的漏洞,国内一些网络运营商此前已封掉了该端口,但教育网并未设限。微软此前已发布相关漏洞补丁,但一些没来得及更新的电脑就会被攻击。郑文彬说,此次传播的病毒以代号ONION和WINCRY的两个家族为主,监测显示国内首先出现前者,后者在12日下午出现并在校园网中迅速扩散。
英国多家医院的网络当天也受到攻击,有医院因此取消手术,用救护车将病人紧急转往其他地方。英方称罪魁祸首是恶意软件“想解密”(又称“想哭”)。英国首相特雷莎·梅就此表示,这次袭击不是专门针对英国,而是一场波及整个世界的网络袭击的一部分。
西班牙国家情报中心12日证实,西班牙多家公司遭受了“大规模”的网络黑客攻击。该国电信业巨头西班牙电信总部的多台电脑陷入瘫痪。
俄罗斯网络安全企业卡巴斯基实验室12日发布一份报告说,当时已发现全球74个国家和地区遭受了此次攻击,实际范围可能更广。该机构说,在受攻击最多的20个国家和地区中,俄罗斯所受攻击远远超过其他受害者,中国大陆排在第五。
卡巴斯基强调,这次网络攻击所用的黑客工具“永恒之蓝”,来源于美国国家安全局的网络武器库。今年4月,黑客组织“影子经纪人”在网上披露一批美国国安局的黑客工具,其中就包括这个漏洞工具。
美国国土安全部12日发表声明称,已获悉上述勒索软件影响全球多个实体。但是,声明除介绍勒索软件的定义、微软已针对这个漏洞发布补盯提醒用户应安装补丁外,没有说明更多情况。
今年3月,“维基揭秘”网站披露了一批据称是来自美国中情局的黑客工具,批评中情局对其黑客武器库已经失控,其中大部分工具“似乎正在前美国政府的黑客与承包商中未被授权地传播”,存在“极大的扩散风险”。
中国国家互联网应急中心主办的国家信息安全漏洞共享平台(CNVD)曾在4月16日发布公告,对国外黑客组织--影子纪经人(Shadow Brokers)披露的多款攻击工具进行了通报和预警。而此次爆发的勒索病毒“永恒之蓝”仅仅是其中一种,针对445端口的漏洞攻击工具,还有“永恒浪漫”(ETERNALROMANCE)“翡翠纤维”(EMERALDTHREAD)“永恒冠军”(ETERNALCHAMPION)等总共7个。安全工程师郑文彬解释,简单来说这些攻击工具就是黑客组织将美国安全局的网络攻击武器给披露出来了,它本来是针对特定目标的武器,但上个月国外的黑客组织就把这个武器给披露出来了,这样所有人都可以去看和用这个武器。
原本被当做武器的工具遭遇泄露,然后制作成蠕虫病毒,威力可想而知。但是专家分析此次国内高校校园网、教育网成为主要攻击目标,445端口未封闭也成为主要原因之一。有分析指出,微软视窗系统的445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们制作的各种病毒也有了快速传播的机会。
公开资料显示,2004年出名的“震荡波”病毒及后续变种就曾利用445端口进行过大面积攻击,传播速度甚至超过了2003年肆虐全球的“冲击波”病毒。为了在最短时间内把免费的病毒专杀工具送到用户手中,当时北京市公安局等还联合安全公司发放50万张免费的应急救援光盘。2006年肆虐全国的熊猫烧香蠕虫病毒,也是通过攻击445端口在局域网内疯狂传播。
根据国家信息安全漏洞共享平台(CNVD)秘书处普查的结果,互联网上共有900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。
中国国家互联网应急中心表示,目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。