從5月12日晚開始,陸續發現互聯網爆發大規模比特幣敲詐病毒(WannaCry),讓整個互聯網重新開始燃起對互聯網安全的關注。

究竟什麼是比特幣敲詐病毒呢?就是一名俄羅斯黑客編寫的對中毒計算機對常見jpg,doc等常用的文件進行加密然後向用戶敲詐比特幣,來解密自己文件的病毒。

關於什麼是比特幣敲詐病毒說清楚了,現在就要說一下這個病毒為什麼會引起全世界的恐慌和重視,首先這個病毒具備兩個要素:

一、破壞性:

正如我們知道的一樣,這個敲詐病毒是2015年就出來的一個病毒,一直潛伏在互聯網當中,並沒有引起大家的特別關注,知道12日晚,集中式爆發,以非常忽然的方式,在感染病毒的計算機所有照片和文檔進行128位加密,這對於我們習慣性把資料保存在自己的電腦里,並日常依賴電腦的我們,忽然發覺我們什麼都沒有了,工作文檔,收集的高保真音樂,甚至是珍貴的照片,和公司維護的數據庫,都無一倖免。並且無法暴力破解,此加密按照暴力破解的運算速度,我們現在計算機運算能力這麼強,也需要兩百多年的運算,才能針對此電腦的加密進行破解。毫不誇張的說,針對我們沒有得到key的情況下,可以說資料恢復的肯能行為零。

第一例爆發的英國,讓一個要依靠機器進行醫療救助病人的大醫院都陷入癱瘓,辛苦四年準備的畢業論文也不能倖免。航班停止,簽證擱淺。

在剛起床的我也被一個電話召喚,去公司對每台電腦進行緊急的處理,及時的關閉了每個房間可以打開電腦的被利用445端口。才後知后覺的認識到問題的嚴重。

按理說具有破壞性的病毒並不少見,曾經的熊貓病毒,就是一個很好的例子,但也沒有這個病毒這麼引起恐慌,這是什麼原因呢?這就是要談到第三個要素此病毒的傳播特點。

二、傳播性:

我們知道熊貓病毒的病毒破壞性也很大,但是熊貓病毒是利用U盤進行傳播,對於我們稍微有點安全意識的情況下,不主動進行操作,目標計算機是感染不了病毒的。也就是說,對於以往的病毒,沒有接觸就沒有傷害。保持不手賤,保持不瀏覽不正常網站就可以保證我們的計算機的安全。

但是,但是,但是,敲詐病毒能夠在你不知不覺,不用接觸的情況下,潛入到目標計算機。這得益於美國國家安全局開發的黑客工具“永恆之藍”。前期我們一直說美國監控全球的每台電腦,就是利用這個永恆之藍入侵到每台可以入侵的計算機,只是這個工具只是收集信息,並沒有破壞的屬性。

永恆之藍利用win系統445端口漏洞,可以在不接觸的情況下,遠程執行代碼,進行病毒的植入,然後潛伏其中。黑客就是利用這個原理,先通過郵件進行傳播,只要其中有一個電腦運行了此病毒,就會對其可訪問的電腦進行445端口掃描,然後入侵,如此的鏈鎖反應席捲而來,再配合u盤等存儲工具,對非聯公網的計算機也進行類似的傳播。這就是此病毒波及範圍之廣,無孔不入的原因所在。

三、顛覆性:

我們以往認為,我們的計算機不聯公網將更安全,所以公安,政府,醫療,學校,軍事等重要網絡嚴禁連接公網,以避免病毒入侵,但勒索軟件目標好像就是瞄準這些目標,其中一個插曲就是安全專家通過反向工程發現這個病毒建立一個邏輯,就是會在運行破壞前進行一個好像隨機的一個域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com進行get或post請求。如果請求不到就進行破壞,如果檢測到就停止運行。現在此域名進行註冊並在互聯網上架設服務使軟件能夠請求到數據,聯網的計算機範圍開始安全,因為私網的計算機因為請求不到範圍得不到制止。

畫外音:有人解釋這個域名其實是作者為了控制病毒傳播的一個手段,其實也有另外的一種說法,就是這個域名其實是躲避被查的手段。當安全專家分析病毒的時候,慣用的手段就是模擬黑箱場景,就是讓感染的計算機所有的請求進行分析誘導回應,看看病毒都有什麼請求,以達到分析病毒的目的,作者為了讓病毒躲避這樣的分析,就隨機找一個不可能被註冊的域名,進行測試,如果有回應說明是在安全專家的黑箱分析場景,就隱藏自己,不再運行。

有一個好消息:

慶幸的是天才不只壞人,其實好人更多,這些天才在拿到病毒樣本進行分析的時候發現,原來作者在加密的時候用的key並不是隨機產生,而是利用一個固定的key進行加密。在通過逆向工程把程序還原就可以分析出加密所用key,從而恢復被感染的文件。希望這些天才們有最新的進展吧