勒索病毒大范圍傳播，信息安全專家紛紛發(fā)出警告

騰訊科技訊 據(jù)《連線》雜志報(bào)道，新一波勒索軟件攻擊正在全球范圍內(nèi)迅速傳播，導(dǎo)致了英國(guó)國(guó)家醫(yī)療服務(wù)體系（NHS）多家醫(yī)院的危機(jī)，并在西班牙造成大范圍影響。西班牙電信、天然氣公司Gas Natural，以及電力公司Iberdrola均未能幸免。

這一勒索軟件被稱作WannaCry（也被稱作WanaCrypt0r或WCry），似乎是3月底時(shí)曾經(jīng)出現(xiàn)過(guò)的勒索軟件的變種。截至本文發(fā)稿時(shí)，新版本勒索軟件已波及了至少74個(gè)國(guó)家的數(shù)萬(wàn)臺(tái)計(jì)算機(jī)。受影響地區(qū)包括俄羅斯、中國(guó)、法國(guó)和日本等。

WannaCry的爆發(fā)為何如此猛烈？這一惡意軟件似乎利用了Windows中被稱作“EternalBlue”（永恒之藍(lán)）的漏洞，而該漏洞的發(fā)現(xiàn)者據(jù)稱是美國(guó)國(guó)家安全局（NSA）。一家名為Shadow Brokers的組織上月發(fā)布了多款來(lái)自NSA的黑客工具，其中就包含針對(duì)該漏洞的工具。微軟已于今年3月通過(guò)MS17-010補(bǔ)丁修復(fù)了該漏洞。不過(guò)很明顯，許多組織并未及時(shí)安裝補(bǔ)丁。

作為最初版本W(wǎng)annaCry的發(fā)現(xiàn)方，Malwarebytes惡意軟件情報(bào)總監(jiān)亞當(dāng)·庫(kù)加瓦（Adam Kujawa）表示：“傳播非常猛烈。我從未見過(guò)這樣的傳播?！?/p>

醫(yī)院成為攻擊目標(biāo)

勒索軟件會(huì)感染用戶的計(jì)算機(jī)、鎖定系統(tǒng)（通常會(huì)給硬盤數(shù)據(jù)加密），隨后要求用戶支付贖金換取解密密鑰，而贖金通常會(huì)要求通過(guò)比特幣形式來(lái)支付。在此次攻擊事件中，NHS的計(jì)算機(jī)和電話系統(tǒng)遭遇了大規(guī)模攻擊，系統(tǒng)出現(xiàn)故障，多家醫(yī)院的計(jì)算機(jī)都彈出消息，要求用戶支付300美元比特幣的贖金來(lái)解鎖計(jì)算機(jī)。

由于周五的攻擊事件，倫敦和英格蘭北部的多家醫(yī)院、診所和醫(yī)療機(jī)構(gòu)都取消了非急診服務(wù)，切換至備份流程。英格蘭多家醫(yī)院的急診室都發(fā)出通知，希望病人在非必要情況下不要前來(lái)就診。不過(guò)到目前為止，攻擊尚未造成病人數(shù)據(jù)的泄露。

在英格蘭，NHS表示，正在對(duì)這起攻擊事件進(jìn)行調(diào)查，并采取應(yīng)對(duì)措施。英國(guó)媒體報(bào)道稱，醫(yī)院工作人員被告知關(guān)閉計(jì)算機(jī)和IT網(wǎng)絡(luò)服務(wù)。另一些受害者，例如西班牙電信，也在采取類似的防范措施，包括告知員工關(guān)閉受感染的計(jì)算機(jī)。

醫(yī)院常常會(huì)成為勒索軟件攻擊的目標(biāo)，因?yàn)獒t(yī)院必須盡快為病人恢復(fù)服務(wù)。因此，醫(yī)院也更有可能向犯罪分子支付贖金，使系統(tǒng)盡快恢復(fù)正常。此外，醫(yī)院的系統(tǒng)在攻擊時(shí)往往也更簡(jiǎn)單。

醫(yī)療信息管理系統(tǒng)協(xié)會(huì)隱私和信息安全負(fù)責(zé)人李·金（Lee Kim）表示：“在醫(yī)療和相關(guān)行業(yè)，我們?cè)诮鉀Q這些漏洞時(shí)動(dòng)作非常慢。”

WannaCry并非僅僅瞄準(zhǔn)NHS。NHS在聲明中表示：“此次攻擊并非特別瞄準(zhǔn)NHS，而是影響了多個(gè)行業(yè)的許多機(jī)構(gòu)。我們專注于為受影響機(jī)構(gòu)提供支持，迅速而果斷地管理好這起事故?！?/p>

從某種方式來(lái)看，這導(dǎo)致情況更糟糕。WannaCry并非僅僅瞄準(zhǔn)醫(yī)院，而是瞄準(zhǔn)了所有一切可能的計(jì)算機(jī)。這意味著，在好轉(zhuǎn)之前，情況還會(huì)進(jìn)一步惡化。

波及更多行業(yè)

NHS遭到的攻擊最引人關(guān)注，因?yàn)檫@導(dǎo)致了病人的生命安全面臨風(fēng)險(xiǎn)。不過(guò)，WannaCry可能會(huì)繼續(xù)擴(kuò)大攻擊范圍，因?yàn)檫@利用了許多計(jì)算機(jī)系統(tǒng)中的漏洞。微軟于兩個(gè)月前發(fā)布了該漏洞的補(bǔ)丁，但很多計(jì)算機(jī)尚未安裝。消費(fèi)級(jí)設(shè)備安裝補(bǔ)丁的情況可能較好，因此Malwarebytes的庫(kù)加瓦表示，WannaCry主要將給企業(yè)基礎(chǔ)設(shè)施帶來(lái)危險(xiǎn)。

WannaCry的開發(fā)者似乎希望這款惡意軟件能廣泛傳播。MalwarebytesHunterTeam組織研究員MalwareHunter表示，除了利用來(lái)自Shadow Borkers的Windows漏洞之外，這一勒索軟件還可能使用了更多的漏洞。該組織發(fā)現(xiàn)了第二代的WannaCry。此外，軟件可以支持27種語(yǔ)言。如果攻擊者只希望瞄準(zhǔn)某家醫(yī)院或銀行，或是某個(gè)單一國(guó)家，那么原本不必如此麻煩。

從微觀角度來(lái)看，情況同樣糟糕。在WannaCry進(jìn)入某一網(wǎng)絡(luò)后，可以迅速傳播至同一網(wǎng)絡(luò)的其他計(jì)算機(jī)。最大化給企業(yè)和其他機(jī)構(gòu)造成破壞，這是勒索軟件通常的特征之一。到目前為止，尚不清楚此次攻擊發(fā)源于何處，因此在更大范圍內(nèi)應(yīng)對(duì)攻擊也變得更難。信息安全分析師將利用受害者信息，判斷攻擊者最初從何處下手（例如釣魚、惡意廣告，或是更個(gè)性化的有目標(biāo)攻擊），從而追蹤惡意軟件的起源。

對(duì)于已受影響的計(jì)算機(jī)用戶來(lái)說(shuō)，各種保護(hù)措施為時(shí)已晚（對(duì)他們來(lái)說(shuō)，問(wèn)題是是否要支付贖金）。不過(guò)，對(duì)于尚未遭到攻擊的用戶來(lái)說(shuō)，至少可以采取一項(xiàng)措施：盡快安裝微軟的補(bǔ)丁。由于這是服務(wù)器級(jí)別的補(bǔ)丁，因此用戶也可以求助最近的系統(tǒng)管理員。

MalwareHunter表示：“我會(huì)說(shuō)，此次攻擊非常成功，因?yàn)橛脩艉推髽I(yè)沒(méi)有及時(shí)給系統(tǒng)打補(bǔ)丁?！?/p>

在補(bǔ)丁全面安裝之前，預(yù)計(jì)WannaCry還將繼續(xù)傳播。（編譯/昱燁）