近日,全球範圍內爆發了基於 Windows 網絡共享協議進行攻擊傳播的 蠕蟲惡意代碼。襲擊系統的勒索病毒叫做 WannaCry(想哭)或 WannaDecryptor(想解鎖),包括美國、俄羅斯、整個歐洲以及中國在內的 150 多個國家迅速中招,我國眾多的高校內網、大型企業內網和政府機構專網相繼受到感染。電腦被感染後需向黑客支付高額贖金,才能解鎖計算機中的文件。
病毒肆虐兩天後,伴隨著各國政府和各類安全軟件的阻擊,傳播速度已明顯放緩,但國家網絡與信息安全信息通報中心也發佈了緊急通知,WannaCry 勒索病毒出現了變種:WannaCry2.0,而且該變種傳播速度可能會更快。
勒索病毒背後的黑客清楚表明了自己只收比特幣,但讓人感到滑稽的是,雖然聲勢造得很大,但目前有消息稱,勒索方只收到了 17.309 比特幣,也就是大約 3.16 萬美元,這收益與其影響力比起來,遠算不上理想。
相比之下,倒是 A 股網絡安全板塊的市值猛漲上百億,15 日,藍盾股份、拓爾思、任子行、啟明星辰、數字認證、美亞柏科、北信源、飛天誠信、綠盟科技等 9 只個股漲停。然而一度猛漲的比特幣,卻在病毒爆發的當日(5 月 12 日)下跌 6.42%,收報 1735 美元,隨後又震盪回升,截至發稿時,1 個比特幣的國內價格為 9689.99 元人民幣。
殺毒軟件躺贏,比特幣躺槍,全球幾十萬臺電腦癱瘓,黑了全世界電腦的黑客也沒賺到什麼錢,整個過程看起來像一場荒誕劇。
然而有趣的是,5 月 12 日病毒爆發,5 月 15 日(美國時間)比特幣將向美國證券交易委員會(SEC)發起再一次上市比特幣交易所交易基金(ETF)的衝刺。自年初以來一路暴漲的比特幣因為這事兒來了個急剎車,關鍵時刻險些滑倒,到底是巧合還是陰謀?
比特幣 ETF 的上市之路可謂是一波三折,今年 3 月,SEC 先後駁回了 Winklevoss Bitcoin Trust 和區塊鏈科技公司 Solidx 公司上市比特幣 ETF 的申請,比特幣價格應聲而跌。4 月,Bats BZX 證券交易所提交了一份請願書,要求 SEC 重審這一決定。
SEC 在 3 月的兩份拒絕通知中寫道:“委員會認為,為了達到這一標準,上市和交易商品信託交易所交易產品(ETPs)的一家交易所,必須要滿足兩個決定性的要求。首先,交易所在進行基礎商品或衍生品交易時,必須與重要市場簽署監控共享協議。其次,這些市場必須受到監管。”
雖然剛剛發起上市請求就連遭兩次拒絕,但好在 SEC 批准了 BZX 交易所 4 月提出的重審提議。消息傳來,比特幣價格出現了小幅反彈,基本可以說明市場期望。SEC 表示,允許任何人在 5 月 15 日或之前提交文件來支持或反對授權機構的決定。
然而快到節骨眼兒上了,突然出現了一群聲稱只收比特幣作為贖金的黑客,還把全世界的電腦都黑了。
黑客為什麼偏愛比特幣?動點科技與一位比特幣的資深玩家聊了聊。周子程從 2013 年開始持有比特幣,正趕上當年比特幣被劃為“網絡資產”,一天之內暴漲十倍,給他留下了很深的震撼。他自稱“對比特幣有挺深的感情”,但同時也承認它的某些屬性使它容易成為犯罪分子的交易貨幣。
開源性、匿名性、流動性、全球化、漲勢好,比特幣的這些特性讓它逐漸從暗網走向明網,但也容易被別有用心的人利用。
“比特幣就像黃金一樣,開礦所得,沒有標記,全球通用。”周子程說,現金不方便兌換且有號碼標記,電子貨幣需要登記銀行賬戶且在平臺上留有記錄。而比特幣不同於我們日常生活中的銀行系統採用的中央結算體系(需要一個有信譽的第三方來管理整個體系),比特幣通過公開分佈式賬本的方法來避免重複支付,所有的歷史交易都通過塊(blocks)的方式記錄進賬本,這個賬本並不保存在某個中央服務器中,而是全網公開,保存在每個接入比特幣網絡的計算機上。
雖然目前在火幣網等比特幣交易平臺上利用法定貨幣買賣比特幣,平臺都會要求每個用戶實名制,也就是說,通過正規渠道“購買”或者“兌換”比特幣,基本上是實名、可追蹤的。但此次發放病毒的黑客,僅僅把幾個自己的比特幣地址發到用戶電腦上進行勒索,我們是無法追查其姓名的。
比特幣這一次能不能得到 SEC 的同意,順利上市 ETF?目前看來仍是未知。周子程估計,如果能順利通過,比特幣在短期內價格一定會再一次暴漲。但它是否真的有利於比特幣的發展,目前來看只能是利害參半。比特幣 ETF 在推動比特幣普及的情況下,也可能會導致比特幣泡沫。
病毒蔓延後,有聲音甚至懷疑這場災難可能是某些比特幣機構的一種“惡意營銷”,懷疑始作俑者就是持有大量比特幣的炒幣者,但在筆者看來,這種觀念實在有些可笑。畢竟無論如何,目前看來,比特幣才是“躺槍躺成篩子”的那一個。穩穩地通過 SEC 的審核,悶聲發大財恐怕才是最大多數持幣者的想法。
然而就目前黑客稀少的“收入”來看,持幣者畢竟是少數,對於其餘幾十萬的“病毒難民”來說,最糟心的事情可能就是怎麼才能趕緊把自己的電腦拯救過來了。互聯網安全測試平臺 漏洞盒子CEO袁勁鬆在接受動點科技的採訪時,從“未感染預防”和“已感染補救”的兩個方面,給個人用戶和企業用戶提出了一些建議。
未感染及時預防:
- 個人用戶:如果不是使用的盜版 Windows 操作系統,建議開啟自動更新,並安裝 ms17-010 補丁。如果使用盜版操作系統的用戶,建議開啟防火牆,並將 445 端口添加進 Windows 防火牆入站規則,阻止外界訪問。如果用戶不使用 SMB 功能,建議直接關掉 SMB 服務。
- IT 管理員、安全人員、運維:可以使用 ms17-010 漏洞掃描工具發現存在漏洞的主機(包含公網設備、內網設備及虛擬機設備等),也可以使用 網藤風險感知對內網資產進行掃描,以便發現問題並及時修補。
感染後及時響應:
- 個人用戶:一旦發現中毒機器,立即斷網。並禁止在中毒機器使用 U 盤、移動硬盤等設備,防止移動傳染。對於已被加密的計算機目前暫時沒有實質的解決方案。但可以通過專業數據恢復軟件進行被刪除文件的恢復。以下是部分廠商或組織提供的工具,可進行部分文件恢復:
1) https://www.nomoreransom.org/
2) https://github.com/QuantumLiu/antiBTCHack
3) http://dl.360safe.com/recovery/RansomRecovery.exe
4) http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
- IT 管理員、安全人員、運維:立即對感染主機進行隔離,組織內網檢測,查找所有開放 445 SMB 服務端口的終端和服務器,一旦發現中毒機器,立即斷網處置,並不要在已經中毒的設備之上連接移動設備和驅動器。對未打補丁的設備安裝補丁,配置防火牆或者關閉 SMB 服務。
此次病毒利用 Windows 系統漏洞進行傳播,其實在歷史上早有先例。袁勁鬆回憶說,此前有利用 RPC 漏洞傳播的“衝擊波”,也有利用系統弱點在局域網傳播的“熊貓燒香”等。但這次的 WannaCry 雖同樣具有傳播性和危害性,但卻與先例多有不同。
這次病毒使用的是一個月前 Shadow Brokers 洩露的 NSA 漏洞利用框架(FuzzBunch)中的“ETERNALBLUE(永恆之藍)”漏洞,該漏洞危害巨大,微軟定義該漏洞級別為 Critical(緊急),本次受影響的操作系統版本也是眾多(winXP、Vista、Win7、Win8、Win2003、Win2008、Win10 等)。另外與歷史情況不同的是,WannaCry 病毒使用勒索軟件形式,會對幾十種類型的文件進行加密 (RSA+AES 算法)。“單純的清除掉病毒並不能完全解決病毒造成的影響。”袁勁鬆說。
目前,漏洞盒子已經完成了對病毒行為的分析,並提供了完整的預防和解決方案以及專用的檢測工具如下:
Wannacry 蠕蟲勒索軟件處置流程及方案
Wannacry 蠕蟲勒索軟件處置流程及工具包(含離線補丁)
忙活了一場,只賺了 17 個比特幣的黑客離被揪出來還遠嗎?畢竟如履薄冰,緊密關注著大局的人永遠是沉默而隱忍的,偶爾跳出來的幾個“壞孩子”卻總有可能攪亂全世界的池水。上市 ETC 的申請如果真的被通過,比特幣再來一波猛漲,電腦被黑了的幾十萬人可能就更沒勇氣去花錢買幣繳贖金了。玩一場全球病毒戰,黑客能收滿 20 個比特幣不?
下次再來黑人家的電腦勒索前,自己先去交點智商稅吧。
本文 全球勒索病毒爆發撞上比特幣 ETF 重審,是巧合還是陰謀?來自動點科技.