從5月12日晚開始唆鸡,陸續(xù)發(fā)現(xiàn)互聯(lián)網(wǎng)爆發(fā)大規(guī)模比特幣敲詐病毒(WannaCry),讓整個互聯(lián)網(wǎng)重新開始燃起對互聯(lián)網(wǎng)安全的關(guān)注秸歧。
究竟什么是比特幣敲詐病毒呢巡扇?就是一名俄羅斯黑客編寫的對中毒計算機對常見jpg谷醉,doc等常用的文件進行加密然后向用戶敲詐比特幣别智,來解密自己文件的病毒一睁。
關(guān)于什么是比特幣敲詐病毒說清楚了钻弄,現(xiàn)在就要說一下這個病毒為什么會引起全世界的恐慌和重視,首先這個病毒具備兩個要素:
一者吁、破壞性:
正如我們知道的一樣窘俺,這個敲詐病毒是2015年就出來的一個病毒,一直潛伏在互聯(lián)網(wǎng)當中复凳,并沒有引起大家的特別關(guān)注瘤泪,知道12日晚,集中式爆發(fā)染坯,以非常忽然的方式均芽,在感染病毒的計算機所有照片和文檔進行128位加密,這對于我們習(xí)慣性把資料保存在自己的電腦里单鹿,并日常依賴電腦的我們掀宋,忽然發(fā)覺我們什么都沒有了,工作文檔仲锄,收集的高保真音樂劲妙,甚至是珍貴的照片,和公司維護的數(shù)據(jù)庫儒喊,都無一幸免镣奋。并且無法暴力破解,此加密按照暴力破解的運算速度怀愧,我們現(xiàn)在計算機運算能力這么強侨颈,也需要兩百多年的運算余赢,才能針對此電腦的加密進行破解。毫不夸張的說哈垢,針對我們沒有得到key的情況下妻柒,可以說資料恢復(fù)的肯能行為零。
第一例爆發(fā)的英國耘分,讓一個要依靠機器進行醫(yī)療救助病人的大醫(yī)院都陷入癱瘓举塔,辛苦四年準備的畢業(yè)論文也不能幸免。航班停止求泰,簽證擱淺央渣。
在剛起床的我也被一個電話召喚,去公司對每臺電腦進行緊急的處理渴频,及時的關(guān)閉了每個房間可以打開電腦的被利用445端口芽丹。才后知后覺的認識到問題的嚴重。
按理說具有破壞性的病毒并不少見枉氮,曾經(jīng)的熊貓病毒志衍,就是一個很好的例子,但也沒有這個病毒這么引起恐慌聊替,這是什么原因呢?這就是要談到第三個要素此病毒的傳播特點培廓。
二惹悄、傳播性:
我們知道熊貓病毒的病毒破壞性也很大,但是熊貓病毒是利用U盤進行傳播肩钠,對于我們稍微有點安全意識的情況下泣港,不主動進行操作,目標計算機是感染不了病毒的价匠。也就是說当纱,對于以往的病毒,沒有接觸就沒有傷害踩窖。保持不手賤坡氯,保持不瀏覽不正常網(wǎng)站就可以保證我們的計算機的安全。
但是洋腮,但是箫柳,但是,敲詐病毒能夠在你不知不覺啥供,不用接觸的情況下悯恍,潛入到目標計算機。這得益于美國國家安全局開發(fā)的黑客工具“永恒之藍”伙狐。前期我們一直說美國監(jiān)控全球的每臺電腦涮毫,就是利用這個永恒之藍入侵到每臺可以入侵的計算機瞬欧,只是這個工具只是收集信息,并沒有破壞的屬性罢防。
永恒之藍利用win系統(tǒng)445端口漏洞黍判,可以在不接觸的情況下,遠程執(zhí)行代碼篙梢,進行病毒的植入顷帖,然后潛伏其中。黑客就是利用這個原理渤滞,先通過郵件進行傳播贬墩,只要其中有一個電腦運行了此病毒,就會對其可訪問的電腦進行445端口掃描妄呕,然后入侵陶舞,如此的鏈鎖反應(yīng)席卷而來,再配合u盤等存儲工具绪励,對非聯(lián)公網(wǎng)的計算機也進行類似的傳播肿孵。這就是此病毒波及范圍之廣,無孔不入的原因所在疏魏。
三停做、顛覆性:
我們以往認為,我們的計算機不聯(lián)公網(wǎng)將更安全大莫,所以公安蛉腌,政府,醫(yī)療只厘,學(xué)校烙丛,軍事等重要網(wǎng)絡(luò)嚴禁連接公網(wǎng),以避免病毒入侵羔味,但勒索軟件目標好像就是瞄準這些目標河咽,其中一個插曲就是安全專家通過反向工程發(fā)現(xiàn)這個病毒建立一個邏輯,就是會在運行破壞前進行一個好像隨機的一個域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com進行g(shù)et或post請求赋元。如果請求不到就進行破壞忘蟹,如果檢測到就停止運行。現(xiàn)在此域名進行注冊并在互聯(lián)網(wǎng)上架設(shè)服務(wù)使軟件能夠請求到數(shù)據(jù)们陆,聯(lián)網(wǎng)的計算機范圍開始安全寒瓦,因為私網(wǎng)的計算機因為請求不到范圍得不到制止。
畫外音:有人解釋這個域名其實是作者為了控制病毒傳播的一個手段坪仇,其實也有另外的一種說法杂腰,就是這個域名其實是躲避被查的手段。當安全專家分析病毒的時候椅文,慣用的手段就是模擬黑箱場景喂很,就是讓感染的計算機所有的請求進行分析誘導(dǎo)回應(yīng)惜颇,看看病毒都有什么請求,以達到分析病毒的目的少辣,作者為了讓病毒躲避這樣的分析凌摄,就隨機找一個不可能被注冊的域名,進行測試漓帅,如果有回應(yīng)說明是在安全專家的黑箱分析場景锨亏,就隱藏自己,不再運行忙干。
有一個好消息:
慶幸的是天才不只壞人器予,其實好人更多,這些天才在拿到病毒樣本進行分析的時候發(fā)現(xiàn)捐迫,原來作者在加密的時候用的key并不是隨機產(chǎn)生乾翔,而是利用一個固定的key進行加密。在通過逆向工程把程序還原就可以分析出加密所用key施戴,從而恢復(fù)被感染的文件反浓。希望這些天才們有最新的進展吧
