WannaCry的第二輪網路攻擊，欲哭無淚

WannaCry 勒索病毒於上周五爆發，已經影響了超過 150 個國家的至少 20 萬台計算機。據俄國卡巴斯基軟體安全公司的研究員證實，已經發現了 WannaCry 2.0 勒索病毒，這個變種取消了Kill Switch，不能通過註冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

屆時因今日工作日，全球各地企業、學校、醫院、政府機構等還有許多電腦尚未更新，而這些可能受影響計算機將在上班日集體開機，造成集體中毒，引發更大一波災情。

自上周日起，不少網路安全公司已發現全球多個國家的機構及個人電腦均遭受名為「WanaCrypt0r 2.0」的勒索軟體攻擊感染，除Windows 10及Server 2016外，近乎所有Windows系統及其伺服器版本均受威脅，安全專家呼籲用戶儘快更新安裝官方的安全性更新版本，避免系統遭受災難。

勒索病毒的已知和未知

勒索病毒，原名WannaCry（想哭），後又升級Wanna Crypt0r 2.0。該勒索蠕蟲會掃描內網和公網的ip，若被掃描到的ip打開了445埠，則會使用「EternalBlue」（藍之永恆）漏洞安裝後門，釋放一個名為Wana Crypt0r敲詐者病毒。

當受害者的電腦遭受感染後，所有檔案均被加密成名為 .WNCRY 格式的副件，並無法正常開啟讀取資料。檔案被加密後還是會彈出相同的界面，要求受害者在三天之內交付價值300美元的比特幣贖金，逾期加倍，若未能在7天之內交付則永遠無法恢復其檔案。該提示界面共提供包括中文在內的28種不同語言。

目前國內近3萬機構感染勒索病毒， 幾乎覆蓋所有地區。截至5月13日20點國內有29372家機構組織的數十萬台機器感染，有教育科研機構4341家中招；公安系統幾乎癱瘓，另包括北京、上海、重慶、四川等多個城市的中國石油加油站斷網（今日已逐步修復）是此次事件的重災區。

汽車行業也深受其害，雷諾汽車公司表示將暫停全球多個地域的汽車生產工作，以組織該病毒透過公司內部網路傳播。同期，日產、FedEx以歐洲多家大型電信公司也遭受攻擊。勒索蠕蟲已攻擊了近百個國家的超過10萬家企業和公共組織，其中包括1600家美國組織，11200家俄羅斯組織。

IBM根據100個國家的數據分析，認為以下五個行業遭受最容易受到網路犯罪的攻擊：

醫療保健：研究表明，網路攻擊對醫院、醫生和診所的攻擊，會造成美國醫療行業每年高達60億美元的損失。醫療行業的網路犯罪，特別是勒索的首要目標。此次WannaCry病毒最先在英國大規模爆發，病毒入侵英國國家衛生署，一些手術被迫中止。

製造行業：製造業的知識產權和商業秘密是網路犯罪的主要攻擊對象之一。此次WannaCry爆發期間，國內還有大量政企機構網路節點尚在關機狀態，目前影響尚未統計。

金融服務：90%在金融服務行業的IT安全專業人士認為，他們的組織很容易受到數據泄露。

政府及其他公共服務：公共部門現在與私人部門一樣是黑客攻擊的目標，此次WannaCry入侵的政府機構目前有美國聯邦政府和俄羅斯內政部。

運輸業：運輸業，特別是物流業是競爭激烈的行業，每天都會產生大量有價值的隱私信息資料，這將成為網路犯罪最容易盯上的行業。

根據統計，國內包括校園網用戶、機場、銀行、加油站、醫院、警察、出入境等事業單位都受到了攻擊並且中毒。騰訊安全團隊在溯源中發現，病毒爆發是在校園網用戶里，但從哪開始不詳。獵豹移動安全專家李鐵軍(微博)則表示，病毒的來源和傳播路徑目前沒有結論，什麼時間潛伏進內網的，都需要更多研究來分析。

WannaCry的傳播路徑是個謎團，互聯網安全廠商們仍無法確切還原。

勒索行為成迷

根據騰訊安全團隊提供的數據，截至5月13日晚間，全球共有90人交了贖金，總計13.895比特幣，價值超過14萬，到了5月14日下午四點半，繳納贖金的人數增長至116人。

儘管目前安全專家們仍未找到解密病毒感染文件的方法，但互聯網安全專家們堅持建議受感染用戶不要繳納贖金。原因在於，「WannaCry的勒索行為似乎無法構成一個完整的業務迴路」。

反病毒引擎和解決方案廠商安天實驗室創始人、首席技術架構師肖新光介紹，在繳納贖金解密文件這個問題上，「我們的判斷和網上的傳聞（繳納贖金成功解密）有出入，即支付了贖金也無法解密。因為每個用戶都是個性化的密鑰，意味著受害人需要向攻擊者提供標識身份的信息。」而實際上受害者在繳納贖金的過程中無法提供標識身份的信息，因此，這意味著即使受害者交了贖金，依然無法獲得解密。

騰訊安全團隊得出了同樣的結論：經驗證，交錢的過程，作者並沒有核實受害者的邏輯，只是收了錢，並沒有幫忙解密。

這顯然並非巧合。肖新光給出另外兩種可能的推測：「或者可能是作者根本就沒有想解密；還有一種可能是，這是事件本身不是以勒索為目的，而是以勒索者的表現達到其他目的。」

這樣使得WannaCry的勒索行為又成了另一個成迷。

騰訊安全反病毒實驗室負責人馬勁松表示，雖然目前監控到的數據並沒有完全證實WannaCry 2.0勒索病毒已經來襲，但出現新變種的可能性非常大，廣大用戶務必強化網路安全意識，陌生鏈接不點擊，陌生文件不要下載，陌生郵件不要打開，電腦安裝並開啟殺毒軟體。

對於勒索病毒的模式。IBM曾對1,000名商業專業人士的調查發現，60％的受害者願意支付贖金來安全獲取數據。

微軟總裁指責美國政府私藏漏洞信息

微軟指責美國政府部門私藏大量有關計算機系統的漏洞信息，而 WannaCry 勒索病毒事件「敲響了警鐘」。

微軟總裁布拉德·史密斯（Brad Smith）周日在博客中表示：

「此次攻擊再次表明，為何政府部門私藏漏洞信息會是個問題。我們看見，維基解密上出現了美國中央情報局（CIA）保存的漏洞，而目前來自 NSA 的這一漏洞影響了全球的用戶。已有多起事件表明，政府部門掌握的漏洞信息會流向公眾，進而造成廣泛的破壞。」

史密斯在博文回擊了對微軟的指控，稱微軟今年早些時候已經發布了針對該漏洞的補丁。同時警告稱，如果政府部門不停止私藏漏洞信息的做法，那麼同樣的攻擊還會發生。

「全球各國政府應當將此次攻擊當作警鐘。它們需要採取不同的做法，在信息安全領域遵循同一規則，就像在現實世界中使用武器的方式一樣。政府應當思考，這些漏洞信息在泄露並被利用後給平民造成的破壞。因此今年 2 月，我們呼籲制定新的『數字日內瓦條約』對這些問題進行監督，這其中包括要求政府部門向相關供應商報告漏洞，而不是私藏、銷售或利用這些漏洞。」

根據全球知名安全公司賽門鐵克公司的安全專家表示，在修復該漏洞中，最昂貴的代價就是除了清除受到攻擊的電腦或伺服器病毒之外，還要將資料重新修復加密。預估每個國家單單在此項工作上就將花費高達數千萬美元，而全球的損失則不可估計。

新的危險正在步步逼近，而人們目前對WannaCry病毒本身所知依然有限。

由於不少機構及個人用戶未有定期更新安裝Windows系統的習慣，助長了今次「WanaCrypt0r 2.0」能快速感染多個國家的電腦。安全專家亦呼籲機構和個人用戶儘快安裝微軟官方推出的MS17-010安全更新，確保修補今次攻擊中使用到的SMB伺服器漏洞。

不過，許多機構並未及時給較老的計算機打補丁。但由於於微軟早已停止Windows XP系統的技術支持，因此相關更新未有提供，若還有較舊版本的系統受害，將是個比較頭疼的事情。

但微軟已表示，微軟正在「爭分奪秒地」協助受影響的客戶，甚至為已經停止技術支持的老版本操作系統提供支持。

歡迎關注微信公眾號：【IT戰略家】，這裡是IT界和金融圈交集的風眼。切記勿用戰術上的勤快來掩蓋戰略上的懶惰。歡迎爭議，擁抱您獨特的觀點！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！