报道在5月12日星期五早上迅速发布,我首先看到的是英国数十家医院受到勒索软件的影响,医生无法查看病人的医疗记录,导致手术和其他治疗延迟。英国广播公司(BBC)说:
该恶意软件在周五迅速传播,据报道,英国的医务人员看到电脑“一个接一个”瘫痪。
NHS的工作人员分享了“想哭”(WannaCry)程序的截图,要求用虚拟货币比特币支付300美元(230英镑)解锁每台计算机的文件。
这一天其他国家,主要是欧洲国家,都报告了感染病例。
一些报道称,俄罗斯的感染病例比其他任何一个国家都要多。据报道,国内银行、内政部和卫生部、国有的俄罗斯铁路公司和第二大移动电话网络都受到了影响。
感染迅速蔓延,据报道多达100个国家受到影响,其中俄罗斯系统受到的影响明显超过其他国家。发生了什么事?细节很快就被披露了:这是一种相对不为人知的勒索软件变种,被称为WannaCry或WCry。“想哭”被窃取美国国家安全局信息的黑客“发现”;受影响的电脑是没有安装最新安全补丁的Windows台式机、笔记本和服务器。
最令人担忧的是,想哭病毒并没有以人们点击电子邮件附件的惯常方式在网络上传播。相反,一旦Windows网络上的一个Windows系统受到影响,WannaCry就会设法自我传播,在没有任何人类交互的情况下感染其他未打补丁的机器。这种超级强大的勒索软件的行业术语是:勒索蠕虫。
Ransomworms迅速蔓延
我知道这是一种勒索病毒,而不是普通的勒索软件,于是我求助于一位研究可以在Windows网络上传播的恶意软件的专家,Roi Abutbul。他曾是以色列空军著名的OFEK部队的网络安全研究员,也是Javelin Networks安全公司的创始人和首席执行官,该公司使用人工智能来对抗恶意软件。
Abutbul告诉我,“WannaCry/Wcry勒索软件——历史上最大的勒索病毒感染——是下一代勒索软件。与只加密本地机器的普通勒索软件不同,这种类型的勒索软件从内部传播到该组织的整个网络,用户无需打开电子邮件或恶意附件。这就是为什么他们叫它勒索虫。”
他继续说,“这种勒索蠕虫在网络内部横向移动,对每台电脑和服务器加密,包括该组织的备份。”
Abutbul解释说,好消息是Javelin的软件能够防止想要病毒在客户电脑上传播。
他说:“Javelin的解决方案是专门设计来实时自动检测、响应和遏制企业网络中的此类传播。”“这条勒索蠕虫专门利用微软的SMB漏洞MS17-010在内部传播,”美国国家安全局使用了同样的漏洞几年,最近也通过该漏洞被曝光一月份美国国家安全局工具泄露事件。
“想哭”利用了一个Windows漏洞,美国国家安全局对此知情,并在2017年1月披露了该漏洞。微软和其他供应商一样,迅速核实了漏洞并提供了补丁。问题是并不是所有的客户都安装了这个补丁。
微软安全公告MS17-010,发表于2017年3月14日,描述如下:
此安全更新解决了microsoftwindows中的漏洞。最严重的漏洞可能允许远程执行代码,如果攻击者向Microsoft Server Message Block 1.0 (SMBv1)服务器发送特制的消息。
公告还说,
一个信息泄露漏洞存在于Microsoft Server Message Block 1.0 (SMBv1)服务器处理某些请求的方式中。成功利用该漏洞的攻击者可以创建一个特殊的包,从而导致服务器的信息泄露。
为了利用这个漏洞,在大多数情况下,未经身份验证的攻击者可以向目标SMBv1服务器发送一个特制的包。
受影响的Windows系统包括Windows Vista, Windows Server 2008, Windows 7, Windows 8。x, Windows Server 2012, Windows 10和Windows Server 2016。
现在是安全的,但可能不会太久
好消息是,到周一早上,WannaCry已经是一个已知的数量,并且已经不再是一个严重的威胁,尽管中国似乎真的很混乱,因为有那么多的Windows拷贝据说是盗版的,而且微软的补丁不会安装没有有效Windows许可证的系统。尽管如此,除了盗版问题,我们毫无疑问会在数周内听到想哭病毒感染的消息,因为一些组织安装补丁会很慢。
然而,其他类似的勒索病毒很可能已经存在,而且我们已经看到了想哭病毒的变种,它们可以逃避基于签名的检测系统,尽管还不清楚它们是否能在受到微软补丁保护的系统上工作。
Roi Abutbul警告我说:“这次,攻击者使用了一个未打补丁的罕见漏洞,但还有许多其他方式可以横向移动并在网络内部传播。Javelin特别关注恶意横向移动在其早期阶段,并有能力阻止每一次传播尝试,无论采用何种方法,并帮助组织自动恢复。”
我的建议:
首先,更新Windows和所有其他平台的补丁。太多的组织,特别是那些在公共部门或有有限的IT资源,如医院,推迟安装补丁。
第二,使用最先进的工具来保护网络免受已知和未知的恶意软件和攻击。
第三,不要对恶意软件的常见传播方式沾沾自喜。正如我们在想哭软件中看到的,勒索软件(和其他恶意软件)可以在没有用户交互的情况下病毒式传播。这意味着你无法通过训练摆脱困境。
如果您没有打补丁,如果您没有使用这样的工具,如果您没有多疑,那么毫无疑问:您是脆弱的。