May 15, 2017 | by: Yuri & 特倫蘇
写在前面
有个世界顶级的黑客组织 EquationGroup,这个团体可以看作是附属于 NSF 美国国家安全局的一个组织,技术还是不错的,开发出了一堆厉害的工具,行事也比较低调,其中手上就有这次的 WNCRY。一个名为 Shadow broker 影子经纪人的组织窃取了他们的一些黑客工具,这个性质有点类似于黑吃黑。然后 shadow broker 在网上公开出售这些工具,标价 100 万比特币,当然没人愿意花几亿元买这个工具,一共只收到 10 个比特币,于是半年以后,shadow broker 把这些工具扔到了网上,免费下载。想像一下,如果把核按钮分给全人类那么总会有一些疯子非要做死试一试的。微软并非不知道他们的系统存在漏洞,事实上微软在三月就已经发布了补丁,并且给所有系统安装上了,我的意思是如果你的电脑如果是正版 win10 或者 win7 可能就不会受到这种病毒的感染。但前提是只有正版系统才能自动打上补丁,这就是为什么需要你们关闭 445 端口。
那問题來了:什么是端口呢?
端口是什么
计算机上每个端口对应着一种服务,比如 80 端口就是浏览网页时候会使用的,如果你关闭了 80 端口 这意味着你将不能使用互联网 web 服务。这次病毒影响到的是 445 号端口,这个端口据说是分享文件的功能, 虽然一般我们不会使用到它,但是这个端口默认是打开的。病毒将利用你的这个端口攻击你的计算机,锁定你的文件。
80 端口是为 HTTP(HyperText Transport Protocol)即超文本传输协议开放的,445 端口有局域网中访问各种共享文件夹的功能。
阴谋论
目前互联网安全业内内存在一种声音,认为这是某个网络安全公司与境外黑客组织勾结的行动。
证据一,时机,这次的攻击在中国通过校园网扩散,受众主要是学生以及老师,学生的毕业论文被锁定,至少说明攻击者对攻击对象群体做过有意识的充分研究。
第二,语言,很明显这封警告的中文极为口语化,下意识的把“您”和“你”使用的极为准确,语言上甚至有一点幽默,很难想像一个不以中文为母语的制作者能写出这种提示。
第三,发生方式,与其他扩散的病毒不同,这种病毒在各地几乎是同时发生,并且截至目前没有查到源头,很难想像一个中等规模,甚至普通的大型组织能做到这点。
第四,掩人耳目混淆视听,在攻击发生后不久马上传出各种不实言论,比较有煽动力的主要有当检测到某个域名存在之后病毒会停止攻击,但根据本人亲测,这是无效的,这个新闻的发布者可能只是想让更多人听到有解决方法后不要关闭端口,以使多目标能受感染;还有传说中的二次加密法,用另外一种格式强行加密受感染文件再解锁可以恢复,虽然没实验,但是我感觉这并不可行。
第五,营销的疑点,病毒发生后不久,某个安全网络公司马上推出了应对措施,当然这是合理的,但是发布这个病毒的人想造成全球同时发生攻击需要消耗大量人力物力财力,实际上这个组织所收到的钱事实上少得可怜,也许病毒传播者并不直接以求财为目的。
截至 14 号下午 13 点,不吹不黑一共 17 个比特币,搞出个大新闻自然是要跑路的,折合人民币 17 万,估计足够头目绕地球一圈了,最可能为其买单的中国大学生并不能在大陆使用支付比特币的 Tor(某高度匿名)网络。
病毒评测
说起来,这个环节的出现是个意外。我在大约半个月前就堵上了 445 端口,研究这个病毒的使用,没想到我也有成为被攻击目标的一天(笑)。由于一次误操作,我从网上下载的病毒样本攻击了我的电脑,损失惨重,除了一点点必要的文件有潜在的抢救价值之外我把系统重装了一遍。凌晨 3 点我靠在椅子上感叹自己的论文综述和统计 project 交的多么及时,虽然我在图书馆憋了一下午的 Ecological report 再也回不来了,国文 DV 的素材也都是美好的回忆。
她干了什么:
- 它把我一些桌面文件夹的文件统统倒了出来,而且丝毫没有任何美感
- 它把我的壁纸改的很丑
- 它加密了我电脑中 99% 的 mp3,mp4,ppt,doc,pdf,txt 文件
- 除非你进入了安全模式,不然你别想把你的文件从 U 盘里拷出来
- 它可能会威胁到你的宿舍网络安全,我并不推荐你们现在使用学校的 WIFI 好消息也不是没有,这个病毒似乎只想干扰学习,中病毒后几乎所有 txt,doc,excel,ppt 都无法运行,但是我下载的盗版《 使命召唤 8 》还挺流畅的,在系统重装之前把拖了两个月的战役玩通关了
结语
信息世界并没有绝对的安全,也许我应该建议你们多备份文件,但是世界上没有万全之策。人类在科技上的进步总会付出一些代价,最近的病毒攻击事件波及范围之广,影响之大足以载入信息安全史,但是这种警觉又能持续多久,随着信息化网络化的提高,我们对电脑的依赖会不断加大,下一次世界范围的攻击会变得更加严峻。这次的病毒事件极为严峻,许多公共设施遭到入侵暴露出重大的安全隐患,加油站,医院这类与人民安全息息相关的设施能够被黑客入侵损坏说明对网络安全的忽视是普遍的。
积极去了解那些与你密切相关的知识,至少你能够判断哪些是说法是完全荒诞的。碰到重大问题应该去相信专业人士而不是某些媒体,我也替某些吃瓜群众拙计啊。最后,不要去下载这个样本,你控制不住的。
Reference
- 《价值 100 万比特币的美国网战武器》(这个资料发布于病毒爆发前一个月) http://www.leiphone.com/news/201704/pjxVLriMlKZ80UE4.html
- 比特币赃款统计(这个资料发布于 5 月 14 日 13:44) http://mp.weixin.qq.com/s/pJMWozvjV5EnmSVzQW2Rog
- 关于域名与病毒(这个资料发布于 5 月 14 日) https://rc.mbd.baidu.com/2ch8snm