“WannaCry”病毒的肆虐引起全球恐慌�����,截止今日�����,勒索病毒已感染150個(gè)國(guó)家30多萬(wàn)臺(tái)電腦�����。
實(shí)際上����,此類蠕蟲(chóng)病毒出現(xiàn)已早���,每每造成重大損失���。2000年出現(xiàn)的ILOVEYOU造成150億美元損失,2004年出現(xiàn)的MyDoom更是在全球造成380億美元損失��。到了2013年�����,勒索病毒CryptoWall家族的一個(gè)變種就收到23億贖金��。硅谷專家認(rèn)為�,此次“WannaCry”病毒造成的損失已高達(dá)80億美元。
某IT公司技術(shù)負(fù)責(zé)人鄭文彬向表示��,“勒索病毒并非是一種病毒,而是一種商業(yè)模式�。”正如鄭文彬所言,“WannaCry”病毒的商業(yè)模式錯(cuò)綜復(fù)雜��。在供應(yīng)鏈上����,有黑客“軍火販子”供貨;傳播方式上��,病毒有的放矢�����、連鎖感染��;在勒索模式上����,晚點(diǎn)付錢贖金會(huì)加倍,還有抽獎(jiǎng)活動(dòng)��。
供應(yīng)鏈模式:有黑客“軍火販子”供貨
此次勒索病毒從哪里來(lái)的�����?據(jù)《華盛頓郵報(bào)》消息,“WannaCry”病毒被廣泛認(rèn)定為是根據(jù)美國(guó)國(guó)家安全局(NSA)此前泄露的黑客滲透工具之一——永恒之藍(lán)(Eternal Blue)升級(jí)而來(lái)���。網(wǎng)絡(luò)專家稱��,這份文件被叫做影子經(jīng)紀(jì)人(Shadow Brokers)的犯罪團(tuán)伙偷走�,并于今年4月公布于眾���。
2016年8月��,影子經(jīng)紀(jì)人組織宣布攻破了NSA的防火墻���,獲得了另一黑客團(tuán)隊(duì)“方程式組織”的攻擊武器����。“方程式組織”隸屬于NSA,被稱為NSA的網(wǎng)絡(luò)“武器庫(kù)”�����。有業(yè)內(nèi)人士表示�����,“方程式組織”是全球最頂尖的黑客團(tuán)隊(duì),加密程度無(wú)人能及����。
在聲稱盜取了“方程式組織”的武器后,影子經(jīng)紀(jì)人開(kāi)始在網(wǎng)上拍賣這些文件����。最初,他們表示����。如果收到超過(guò)100萬(wàn)比特幣,就釋放更多黑客工具�����。但拍賣最終只獲得了價(jià)值25美元的比特幣�。2016年10月,影子經(jīng)紀(jì)人又開(kāi)通類似眾籌的活動(dòng)�,他們表示,如果最終完成10000比特幣的眾籌目標(biāo)�,將提供給參與者一份黑客工具。此次眾籌嘗試再度失敗�。
但到了今年1月���,該組織以750比特幣的價(jià)格成功出售了一批能繞過(guò)殺毒軟件的Windows黑客工具。4月8日����,影子經(jīng)紀(jì)人在medium.com博客上發(fā)文,公開(kāi)了曾多次拍賣失敗的方程式組織Equation Group(為NSA提供服務(wù)專門對(duì)國(guó)外進(jìn)行間諜活動(dòng)的組織的黑客工具包——EQGRP-Auction-Files)?�,F(xiàn)在任何人都可以去解密這個(gè)文件�����,獲取其中有價(jià)值的東西����。
澎湃新聞援引媒體消息稱,“影子經(jīng)紀(jì)人”好像黑客中的軍火商��。他們時(shí)常會(huì)販賣高級(jí)的攻擊武器��,喜歡在競(jìng)爭(zhēng)對(duì)手之間販賣武器�,客戶在發(fā)現(xiàn)對(duì)手的攻擊能力和本人一樣后��,很自然就會(huì)成為“影子經(jīng)紀(jì)人”的回頭客����,以求購(gòu)更新的“武器”配備��。
傳播模式:“有的放矢�、連鎖反應(yīng)”
此次勒索病毒為何傳播速度極快�、范圍極廣?這得益于其傳播模式�����。
36氪援引網(wǎng)絡(luò)安全專家觀點(diǎn)稱���,此次勒索者使用病毒的方式很簡(jiǎn)單����,瞄準(zhǔn)機(jī)構(gòu)和個(gè)人重要文件��,直接“放毒”�����,加密用戶電腦文件并勒索贖金�。更可怕的是,一臺(tái)電腦感染后�����,會(huì)繼續(xù)掃描內(nèi)網(wǎng)和互聯(lián)網(wǎng)上其他未免疫的系統(tǒng),繼續(xù)感染這些系統(tǒng)����,連鎖反應(yīng)導(dǎo)致大規(guī)模感染爆發(fā)。
此外�,黑客還精準(zhǔn)抓住了微軟操作系統(tǒng)的“軟肋”。其一����,要保證操作系統(tǒng)長(zhǎng)期安全,微軟需支持多套不同的代碼庫(kù)��,代價(jià)高昂���,卻拿不到任何財(cái)務(wù)激勵(lì)�����,因此微軟已終止對(duì)Win XP系統(tǒng)升級(jí)支持����;其二���,即便微軟為Win XP����、Win 7�、Win 10等系統(tǒng)推出的安全升級(jí)服務(wù)可以避免受攻擊,但用戶往往將持續(xù)的安全升級(jí)認(rèn)為是額外成本�����,所以放棄安全升級(jí)�。
據(jù)白宮統(tǒng)計(jì)數(shù)據(jù),12日WannaCry勒索蠕蟲(chóng)爆發(fā)至今�����,影響已經(jīng)遍及150多個(gè)國(guó)家����,全球至少30萬(wàn)臺(tái)機(jī)器被感染。包括英國(guó)醫(yī)療系統(tǒng)����、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害者���。據(jù)第一財(cái)經(jīng)消息��,中國(guó)境內(nèi)多所高校和部分企事業(yè)單位的網(wǎng)絡(luò)系統(tǒng)也遭受到勒索病毒的攻擊�。在5月12日~13日,國(guó)內(nèi)就已有超過(guò)2.9萬(wàn)個(gè)IP受到了該勒索病毒的感染��。
勒索模式:晚點(diǎn)付錢贖金加倍�����,還有抽獎(jiǎng)活動(dòng)
另外��,值得關(guān)注的是此次病毒的勒索模式�,儼然是一種商品的售賣和營(yíng)銷模式。
黑客在病毒軟件界面上要求用戶支付價(jià)值300美元的比特幣來(lái)解鎖文件���。如果72小時(shí)后未支付�����,勒索金額將翻倍至600美元��,七天后�����,這些文件將被永久鎖定���。
如何支付比特幣?黑客想的很周到��,在勒索頁(yè)面附有教程����,直接可以通過(guò)網(wǎng)銀從分銷商那里購(gòu)買比特幣,并且它支持十幾種語(yǔ)言�����,根據(jù)每個(gè)國(guó)家的國(guó)情不一樣����,做非常完整的提示。
勒索者甚至還設(shè)置了一個(gè)更貼心的服務(wù)�����,對(duì)半年沒(méi)付款的搞抽獎(jiǎng)活動(dòng)�,抽中就可以免費(fèi)給你解除,但沒(méi)有抽中就是運(yùn)氣不好了。
雖然比特幣匿名交易��、去中心化等特點(diǎn)方便黑客勒索����,但這可能正是此次病毒勒索金額不多的原因。第一財(cái)經(jīng)消息顯示�,“WannaCry”病毒目前只勒索到7萬(wàn)美金?����?芍^“成也比特幣�����,敗也比特幣”����。
華爾街見(jiàn)聞此前文章提到,有專家認(rèn)為��,受害者付款緩慢的主要原因可能是不知道如何獲取�、支付比特幣。如果一家企業(yè)被告知需要支付這個(gè)數(shù)量的比特幣��,大多數(shù)公司會(huì)問(wèn)什么比特幣?這并不方便�����。獲取密碼貨幣需要一定時(shí)間��,建立比特幣賬戶����、交易也是一個(gè)長(zhǎng)時(shí)間的過(guò)程�����。
