淘新聞

勒索病毒並非“病毒”,而是一種商業模式

“勒索病毒並非是一種病毒,而是一種商業模式,只要網路環境中有財產可被獲取,就會出現無盡的變種”,360安全技術負責人鄭文彬告訴36氪。

// 勒索病毒最新“戰況”

自12日WannaCrypt(永恆之藍)勒索蠕蟲突然爆發以來至今,影響已經遍及近百國家,包括英國醫療系統、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害者,中國校園網和多家能源企業、政府機構也中招,被勒索支付高額贖金才能解密恢復檔,對重要資料造成嚴重損失,全球至少有10萬台機器被感染。

在中國,經過72小時全國動員和應急回應,感染和影響得到了基本控制,總體態勢平穩,但這種病毒的傳播情況至今仍然無法徹底遏制。

首先,來回望下這次勒索病毒的起源。

根據多家官方權威介紹,本次勒索病毒發行者是利用了去年被盜的美國國家安全局(NSA)自主設計的Windows系統駭客工具Eternal Blue“永恆之藍”,將2017年2月的一款病毒升級所致。WannaCrypt(永恆之藍)勒索蠕蟲是NSA網路軍火民用化的全球第一例。

一個月前,第四批NSA相關網路攻擊工具及文檔被Shadow Brokers組織公佈,包含了涉及多個Windows系統服務(SMB、RDP、IIS)的遠端命令執行工具,其中就包括“永恆之藍”攻擊程式。

勒索者使用病毒的方式也很簡單,瞄準機構和個人重要檔,直接“放毒”,加密用戶電腦文件並勒索300美元贖金,3天后不交贖金就漲價到600美元,7天后不交贖金就撕票,被鎖的重要文件將被永久銷毀。

// 一個很現實的問題:勒索病毒為何就沒辦法徹底遏制?

一方面因為WannaCrypt利用公開的“永恆之藍”武器製作的蠕蟲型勒索病毒,一台電腦感染後,會繼續掃描內網和互聯網上其他未免疫的系統,繼續感染這些系統,連鎖反應導致大規模感染爆發。

△勒索病毒傳播圖。

另一個關鍵因素是勒索病毒使用的是可匿名比特幣支付,壓根追蹤不到病毒來源和背後勒索者。

事實上,根據比特幣交易平臺的公開資料顯示,截至5月15日晨,已經有136人交了贖金,總價值約3.6萬美元。

有人可能要問了,有比特幣的可以快速支付並解鎖,但沒有比特幣的人怎麼辦?

別著急,勒索者都已經幫你想好了,這個病毒製造者可謂很貼心,在勒索頁面附有教程,直接可以通過網銀從分銷商那裡購買比特幣,並且它支援十幾種語言,根據每個國家的國情不一樣,做非常完整的提示。

△很貼心的支援多國語言,以及比特幣購買流程。

怎麼樣,是不是很貼心?事實上,勒索者還設置了一個更貼心的服務,那就是對半年沒付款的搞抽獎活動,抽中就可以免費給你解除,但沒有抽中就是運氣不好了。

這儼然就是一種商品的售賣和行銷模式啊,也恰恰驗證了鄭文彬所說的一整套勒索“商業模式”。

當然,這一次也並非勒索病毒首次爆發,2013年勒索病毒就出現了,只不過當時是通過郵件、掛馬傳播,2015年開始進入爆發期,目前已經有超過100種勒索病毒家族存在。有資料顯示,僅其中一個勒索病毒CryptoWall家族的一 個變種就收到23億贖金。

那麼,問題來了,多年前已經得知的“商業模式”,為什麼如今還會呈現大爆發態勢?

“可以說,目前對勒索病毒還沒有一個特別好的解決的方法,只能說是防禦,但中了以後並沒有什麼好的方法,這種情況下它還會發展出更多的變種,包括在不同的平臺,移動平臺、IoT,甚至是關鍵基礎資訊設施上”,鄭文彬如是說。

除此之外,如前文所說,勒索病毒溯源一直是比較困難的問題,FBI曾經懸賞300萬美元找勒索病毒的作者,都沒有結果。因為它的整個操作體系非常成熟,完全是用比特幣和匿名網路,目前全球都沒有發現作者是哪個國家的,它的目的是什麼,沒有一個明確的消息。

// 這次中槍最多的為何是機構?

如果在以前,勒索病毒的人群多集中在個人,但這次不然,傷害最大的卻是大型機構,為什麼?

比如,《每日郵報》的報導病毒爆發當天就表示,至少19家位於英格蘭和蘇格蘭的NHS所屬醫療機構遭到網路攻擊,這些機構包括醫院和全科醫生診所。

病毒製造者為了謀取高額利潤,首選機構無可厚非,畢竟機構更具有支付的財力。

但另一個不可忽視的因素是機構安全市場的投入嚴重不足,一個資料顯示,中國整個安全市場占整個中國IT市場的投入是2%,而全球尤其是美國安全市場,占整個美國IT市場的也不過9%,兩個超級大國的投入已經如此,更不用提其他國家了。

這導致病毒來襲之後,安全系統弱的機構手足無措,漏洞更新也頗為困難,因為這可能牽涉到整個機構系統的大變動,這也是為何企業客戶明顯比互聯網個人用戶反應慢的原因所在。

除此之外,很多機構即便上線了最新的安全產品,但缺乏運營,因為如果沒有人經常檢查有沒有效果、漏洞有沒有被修復,445埠有沒有被非法的開放,安全產品也沒有用。

正如安全行業傳播很廣的一句話:重視運營,就是安全產品上線的第一天也是失效的第一天。

針對此次勒索病毒,網路很多人認為應該NSA背鍋,但是你有沒有想過,如果NSA不用這個武器,這些漏洞就不存在嗎?

其實這些漏洞還是會存在,總有人會利用它,只不過這件事情被曝光出來,造成了極大的影響。

事實上,我們也無法否認,只要駭客找到一種攻擊方式,它就可以拿來作為一個勒索的工具和勒索的蠕蟲,下次它可能能攻擊你的手機,攻擊你的IoT連接設備,所以它並不是某一種病毒,早已經變成一種黑產的商業模式。

(文/宋長樂)