勒索病毒大范围传播, 安全专家发出警告

据《连线》杂志报道,新一波勒索软件攻击正在全球范围内迅速传播,导致了英国国家医疗服务体系(NHS)多家医院的危机,并在西班牙造成大范围影响。西班牙电信、天然气公司Gas Natural,以及电力公司Iberdrola均未能幸免。

这一勒索软件被称作WannaCry(也被称作WanaCrypt0r或WCry),似乎是3月底时曾经出现过的勒索软件的变种。截至本文发稿时,新版本勒索软件已波及了至少74个国家的数万台计算机。受影响地区包括俄罗斯、中国、法国和日本等。

WannaCry的爆发为何如此猛烈?这一恶意软件似乎利用了Windows中被称作“EternalBlue”(永恒之蓝)的漏洞,而该漏洞的发现者据称是美国国家安全局(NSA)。一家名为Shadow Brokers的组织上月发布了多款来自NSA的黑客工具,其中就包含针对该漏洞的工具。微软已于今年3月通过MS17-010补丁修复了该漏洞。不过很明显,许多组织并未及时安装补丁。

作为最初版本WannaCry的发现方,Malwarebytes恶意软件情报总监亚当·库加瓦(Adam Kujawa)表示:“传播非常猛烈。我从未见过这样的传播。”

医院成为攻击目标

勒索软件会感染用户的计算机、锁定系统(通常会给硬盘数据加密),随后要求用户支付赎金换取解密密钥,而赎金通常会要求通过比特币形式来支付。在此次攻击事件中,NHS的计算机和电话系统遭遇了大规模攻击,系统出现故障,多家医院的计算机都弹出消息,要求用户支付300美元比特币的赎金来解锁计算机。

由于周五的攻击事件,伦敦和英格兰北部的多家医院、诊所和医疗机构都取消了非急诊服务,切换至备份流程。英格兰多家医院的急诊室都发出通知,希望病人在非必要情况下不要前来就诊。不过到目前为止,攻击尚未造成病人数据的泄露。

在英格兰,NHS表示,正在对这起攻击事件进行调查,并采取应对措施。英国媒体报道称,医院工作人员被告知关闭计算机和IT网络服务。另一些受害者,例如西班牙电信,也在采取类似的防范措施,包括告知员工关闭受感染的计算机。

医院常常会成为勒索软件攻击的目标,因为医院必须尽快为病人恢复服务。因此,医院也更有可能向犯罪分子支付赎金,使系统尽快恢复正常。此外,医院的系统在攻击时往往也更简单。

医疗信息管理系统协会隐私和信息安全负责人李·金(Lee Kim)表示:“在医疗和相关行业,我们在解决这些漏洞时动作非常慢。”

WannaCry并非仅仅瞄准NHS。NHS在声明中表示:“此次攻击并非特别瞄准NHS,而是影响了多个行业的许多机构。我们专注于为受影响机构提供支持,迅速而果断地管理好这起事故。”

从某种方式来看,这导致情况更糟糕。WannaCry并非仅仅瞄准医院,而是瞄准了所有一切可能的计算机。这意味着,在好转之前,情况还会进一步恶化。

波及更多行业

NHS遭到的攻击最引人关注,因为这导致了病人的生命安全面临风险。不过,WannaCry可能会继续扩大攻击范围,因为这利用了许多计算机系统中的漏洞。微软于两个月前发布了该漏洞的补丁,但很多计算机尚未安装。消费级设备安装补丁的情况可能较好,因此Malwarebytes的库加瓦表示,WannaCry主要将给企业基础设施带来危险。

WannaCry的开发者似乎希望这款恶意软件能广泛传播。MalwarebytesHunterTeam组织研究员MalwareHunter表示,除了利用来自Shadow Borkers的Windows漏洞之外,这一勒索软件还可能使用了更多的漏洞。该组织发现了第二代的WannaCry。此外,软件可以支持27种语言。如果攻击者只希望瞄准某家医院或银行,或是某个单一国家,那么原本不必如此麻烦。

从微观角度来看,情况同样糟糕。在WannaCry进入某一网络后,可以迅速传播至同一网络的其他计算机。最大化给企业和其他机构造成破坏,这是勒索软件通常的特征之一。到目前为止,尚不清楚此次攻击发源于何处,因此在更大范围内应对攻击也变得更难。信息安全分析师将利用受害者信息,判断攻击者最初从何处下手(例如钓鱼、恶意广告,或是更个性化的有目标攻击),从而追踪恶意软件的起源。

对于已受影响的计算机用户来说,各种保护措施为时已晚(对他们来说,问题是是否要支付赎金)。不过,对于尚未遭到攻击的用户来说,至少可以采取一项措施:尽快安装微软的补丁。由于这是服务器级别的补丁,因此用户也可以求助最近的系统管理员。

MalwareHunter表示:“我会说,此次攻击非常成功,因为用户和企业没有及时给系统打补丁。”

相关推荐