勒索病毒來襲?「黑客一定會黑掉你、病毒隨時可能入侵」是真的
「大事不好,中勒索病毒了!」
NGA玩家社區(國內專業的遊戲玩家社區)昨天一大早就列出了這樣的帖子。隨附圖片上全英文「YOUR FILES ARE ENCRYPTED!」的警告醒目刺眼。「無解,只有防範措施沒有破解辦法。給錢也不一定給解。」帖子發出沒三分鐘,網友就跟了這個「熱乎乎」的評論。
「年前我幾個朋友的伺服器中毒了,勒索10個比特幣……後來數據不要了,太貴了。」
最近的一波攻擊就在這幾天。GrandCrab、GlobeImposter被認定為勒索病毒或其變種,出現在企事業單位的內部群「緊急通知」或警告中。實際上,GandCrab是國內目前最活躍的勒索病毒之一,僅過去一年即經過5次大版本更新,一直和安全廠商、執法部門鬥智斗勇。
漏洞銀行聯合創始人和技術負責人張雪松觀察此次病毒,認為它們的技術含量不高,傳播方式較為傳統,因加密方式升級變種而引起較大後果。年前的WannaCry(勒索病毒,加密文件,比特幣贖回)早已激起大部分人士的神經緊繃,「這次較大的反應,是此前病毒風波的餘波」。
現實問題是,如果不小心「中毒」,我們該怎麼辦?身處技術大爆發的時代,技術紅利與「技術黑洞」其實是並行的,我們有哪些應對措施?
病毒想要比特幣
「你必須在3月11日下午3點向警察局報到!」
這句話像一個天外來音一樣,回蕩在被入侵的各種系統中。而幾乎所有人都知道,其實這只是某個黑客(組織)在發笑。它在勒索比特幣,這堪稱最為先進的人類對人類的敲詐勒索新形式。NGA貼吧的「中毒」帖子的主角,是裝了用友財務軟體的電腦,「ALL YOUR IMPORTANT DATA HAS BEEN EN ENCRYPTED!」財務數據被加密了。
問題可能出在密碼太弱了。這意味著,如果可以用毫無規律、雜亂無章的「W3RB!#5V%$」類型的密碼,則堅決不要用「1234567ABC」類型的密碼。GrandCrab擅長使用弱口令爆破、掛馬、垃圾郵件傳播。一旦密碼被爆破,病毒將像癌細胞一樣蔓延。
GandCrab勒索病毒運行後,將對用戶主機硬碟數據全盤加密,並讓受害用戶訪問特定網址,下載Tor瀏覽器,隨後通過Tor瀏覽器登錄攻擊者的數字貨幣支付窗口,要求受害用戶繳納贖金。受害用戶拿不到私鑰的話,無法解密。無法解密,又想拿回數據文件,就需要付出金錢。
NGA玩家社區曝「中毒貼」
「少則一萬,多則三五萬(人民幣),這是行情。」張雪松說。勒索病毒往往會有一個界面,說明詳細的比特幣支付流程。「虛擬貨幣無法追查交易記錄,可以兌換成法幣,隱匿性成了勒索病毒和黑客們天然的屏障。」帖子下面一位中了ETH後綴病毒的網友回應,「解毒需要6萬,直接格式化了,MMP」。
通過郵件傳播(點開郵件、解壓運行)、蠕蟲傳播(遠程連接、密碼拆解)兩種方式擴散的病毒,在張雪松看來,在現在的網路和安全管理下,危害性不是特別大。「不像去年爆發的WannaCry,利用操作系統漏洞,不需要密碼就可以感染其他電腦,橫向傳播、自動傳播。」
但此次勒索病毒還是引發了一定的反響,特別是核心爆發的重災區,安全意識比較薄弱、安全管理比較缺位的機構或個人操作者。加密演算法、密碼強度升級了,用了特殊加密方式(RSA+Salsa20、SA4096位)。「沒有密鑰不能拆解;即便是安全公司,破譯也有相當困難。」張雪松說。
黑客大多無信譽勒索病毒和黑客大多不講究「盜亦有道」。
「業內說法,只要中了勒索病毒,基本上就完了。解密過程、分析成本比較高。」 張雪松接觸的企業客戶中,約20%願意支付勒索的錢財。但這是不對等的交易,去年處理WannaCry的幾個案子時,客戶太著急,核心的數據、內部管理數據太重要。確實會支付錢財,但並不是所有支付都換來密鑰。
「病毒使本機加密後,信息發回到黑客伺服器,建立賬本,待受害用戶匯款後密鑰發回中毒電腦。」但張雪松強調,這只是「有信譽的黑客」的正常操作流程。「實際上70-80%的病毒並沒有做到這一步。」這相當於黑客沒有信譽,訛了你一筆錢,直接撕票。或者就為了賺錢,從未打算還原。
如果勒索病毒源於國外,國外伺服器和國內網路本來就有連通問題,國家本身有防火牆,可能有信號阻礙、丟棄。「不健康的數據包會直接被防火牆屏蔽掉,受害用戶沒辦法如實地收到密鑰。」錢財自然只能打水漂。
2017年5月,勒索病毒「想哭」襲擊了全球150多個國家和地區,政府部門、醫療服務、公共交通、郵政、通信和汽車製造業均受影響。2018年12月,以微信為支付手段的勒索病毒在全國爆發,幾日內至少感染了10萬台電腦。或顯或隱,類似事件還在不斷發生。
這類事件為何頻繁發生?「事件的原罪在於黑產的發展。」張雪松認為,黑色產業鏈的發展是勒索病毒(黑客)的動力。根據每年黑產的分析報告,基本是幾百、幾千億的規模。這是動力之源。「這樣的環境下,有此等發家致富的機會,黑客永遠專註、不遺餘力地、沒日沒夜的去鑽研攻擊技術,鑽研破壞技術,包括病毒。」他補充道。
騰訊安全聯合實驗室發布的一項《2018上半年互聯網黑產研究報告》顯示,持續多年的暗扣費黑產、惡意移動廣告黑產、手機應用分發黑產、App推廣刷量黑產,給用戶和軟體開發者帶來了巨大的經濟損失。區塊鏈迅速發展, 2017年下半年至報告發布前,互聯網病毒木馬的主流皆圍繞區塊鏈、比特幣、以太坊、門羅幣。在中國裁判文書網上,輸入「黑客」,可以找到1778個搜索結果;輸入黑產,能夠得到8條記錄。這是技術的背面,為了進步與創新而付出的必要代價。
黑客和白帽,一直在對攻。「道高一尺魔高一丈」的魔咒也一直存在。利益驅動下龐大且完善的產業鏈自成生態,網路實名難以全覆蓋,對於黑產的打擊、管控也很難去追蹤。這就造成了「魔」比「道」長得快的傾向。
張雪松認為,銀行等金融系統的防範還是跑贏黑客的,「只是推廣開來,成本比較高」。
「黑客一定會黑掉你、病毒隨時可能入侵」比急救知識的傳播範圍有限更甚,遭遇勒索病毒的應急措施處於更加尷尬的盲區。
傳統網路安全停留在「建牆」的思想上。這一堵牆非常宏大,可以擋住洪水猛獸。現實往往是傳統的安全思想不能解決安全問題。「我裝了殺毒軟體了,但可能我還是會被病毒勒索。用戶會依賴於安全產品,就導致自己很沒有安全能力。」
張雪松本人更強調開放安全,一種開放的心態,接受風險,不要去考慮一點風險都沒有。「不要想怎樣去建一堵不受風險的牆。不可能的。我們需要建立的是反脆弱的能力或者免疫能力。我可以遭受打擊,但我一定是健壯的,不能被打擊死。」
企業遭遇勒索,一般是向網路安全部門報案,網路安全警察會開展一些排查、事件分析。「企業為公眾提供第三方支付等服務,涉及到更多的公眾利益,則更容易引起政府和公眾的重視。事無巨細地調查、追蹤,也是為下一次病毒攻擊做準備。」
個體就相對無力。遭遇勒索病毒,有些人甚至會委託安全公司去購買比特幣,對於沒有接觸過數字貨幣、對勒索病毒知之甚少的個人,應對這種勒索,確實存在某種鴻溝。Facebook數據泄露等事件做出一種提醒,學會反抗;《網路安全法》的實施是一種保障,大廠商要承擔起更多的責任。向支付寶盜刷追回、向微信支付投訴,成為當下可行的手段。
不可忽略的事實是,部分損失是無法追償的。「有意識地為我們的數字資產管理做一些投入,比如保險投入,信息安全保險正在逐步成熟。」此外,自身數字資產管理投入也有必要。張雪松認為,這是這個時代需要我們大家做的。
長期關注安全領域,張雪松有著一套自己的「安全守則」。對於身份信息和不可信來源有著潔癖式的隔離操作。他的手機有小號,用來接外賣、快遞電話,註冊網站。隨時申請、隨時刪除。「除了微信、支付寶等需要實名認證的重大應用,其他全部採用虛擬身份,能做隔離就做隔離。」
此外,他對於不明來源的事物非常敏感。微信好友、陌生郵件,從來不會打開。不明人發送的信息不會看。信息會做「二次確認」。即便如此,信息的泄露還是防不勝防。工作之餘,他監控黑產上泄露的信息,「或多或少還是會有我自己的一些信息」。
基於以上種種,黑客一定會黑掉你、病毒隨時可能入侵的心態彌足珍貴。掌握安全本質,多做備份,提升自身的恢復能力、風險管控能力。在張雪松看來,這些越來越成為未來公民、機構必備的基礎素質。
