600_130

近日,全球范围内爆发了基于 Windows 网络共享协议进行攻击传播的蠕虫恶意代码。袭击系统的勒索病毒叫做 WannaCry(想哭)或 WannaDecryptor(想解锁),包括美国、俄罗斯、整个欧洲以及中国在内的 150 多个国家迅速中招,我国众多的高校内网、大型企业内网和政府机构专网相继受到感染。电脑被感染后需向黑客支付高额赎金,才能解锁计算机中的文件。

病毒肆虐两天后,伴随着各国政府和各类安全软件的阻击,传播速度已明显放缓,但国家网络与信息安全信息通报中心也发布了紧急通知,WannaCry 勒索病毒出现了变种:WannaCry2.0,而且该变种传播速度可能会更快。

勒索病毒背后的黑客清楚表明了自己只收比特币,但让人感到滑稽的是,虽然声势造得很大,但目前有消息称,勒索方只收到了 17.309 比特币,也就是大约 3.16 万美元,这收益与其影响力比起来,远算不上理想。

相比之下,倒是 A 股网络安全板块的市值猛涨上百亿,15 日,蓝盾股份、拓尔思、任子行、启明星辰、数字认证、美亚柏科、北信源、飞天诚信、绿盟科技等 9 只个股涨停。然而一度猛涨的比特币,却在病毒爆发的当日(5 月 12 日)下跌 6.42%,收报 1735 美元,随后又震荡回升,截至发稿时,1 个比特币的国内价格为 9689.99 元人民币

杀毒软件躺赢,比特币躺枪,全球几十万台电脑瘫痪,黑了全世界电脑的黑客也没赚到什么钱,整个过程看起来像一场荒诞剧。

e39924f8d7efc55

然而有趣的是,5 月 12 日病毒爆发,5 月 15 日(美国时间)比特币将向美国证券交易委员会(SEC)发起再一次上市比特币交易所交易基金(ETF)的冲刺。自年初以来一路暴涨的比特币因为这事儿来了个急刹车,关键时刻险些滑倒,到底是巧合还是阴谋?

比特币 ETF 的上市之路可谓是一波三折,今年 3 月,SEC 先后驳回了 Winklevoss Bitcoin Trust 和区块链科技公司 Solidx 公司上市比特币 ETF 的申请,比特币价格应声而跌。4 月,Bats BZX 证券交易所提交了一份请愿书,要求 SEC 重审这一决定。

SEC 在 3 月的两份拒绝通知中写道:“委员会认为,为了达到这一标准,上市和交易商品信托交易所交易产品(ETPs)的一家交易所,必须要满足两个决定性的要求。首先,交易所在进行基础商品或衍生品交易时,必须与重要市场签署监控共享协议。其次,这些市场必须受到监管。”

虽然刚刚发起上市请求就连遭两次拒绝,但好在 SEC 批准了 BZX 交易所 4 月提出的重审提议。消息传来,比特币价格出现了小幅反弹,基本可以说明市场期望。SEC 表示,允许任何人在 5 月 15 日或之前提交文件来支持或反对授权机构的决定。

然而快到节骨眼儿上了,突然出现了一群声称只收比特币作为赎金的黑客,还把全世界的电脑都黑了。

黑客为什么偏爱比特币?动点科技与一位比特币的资深玩家聊了聊。周子程从 2013 年开始持有比特币,正赶上当年比特币被划为 “网络资产”,一天之内暴涨十倍,给他留下了很深的震撼。他自称 “对比特币有挺深的感情”,但同时也承认它的某些属性使它容易成为犯罪分子的交易货币。

开源性、匿名性、流动性、全球化、涨势好,比特币的这些特性让它逐渐从暗网走向明网,但也容易被别有用心的人利用。

A bitcoin stands in front of a U.S. one dollar bill in this arranged photograph in London, U.K., on Friday, Jan. 29, 2016. The International Monetary Fund extolled the potential benefits of virtual currencies and said they warrant a more nuanced regulatory approach, at a time when the future of bitcoin, the most well-known example, is in doubt's. Bitcoin traded at about $379 on Jan. 20, about a third of its peak in 2013. Photographer: Chris Ratcliffe/Bloomberg via Getty Images

“比特币就像黄金一样,开矿所得,没有标记,全球通用。” 周子程说,现金不方便兑换且有号码标记,电子货币需要登记银行账户且在平台上留有记录。而比特币不同于我们日常生活中的银行系统采用的中央结算体系(需要一个有信誉的第三方来管理整个体系),比特币通过公开分布式账本的方法来避免重复支付,所有的历史交易都通过块(blocks)的方式记录进账本,这个账本并不保存在某个中央服务器中,而是全网公开,保存在每个接入比特币网络的计算机上。

虽然目前在火币网等比特币交易平台上利用法定货币买卖比特币,平台都会要求每个用户实名制,也就是说,通过正规渠道 “购买” 或者 “兑换” 比特币,基本上是实名、可追踪的。但此次发放病毒的黑客,仅仅把几个自己的比特币地址发到用户电脑上进行勒索,我们是无法追查其姓名的。

比特币这一次能不能得到 SEC 的同意,顺利上市 ETF?目前看来仍是未知。周子程估计,如果能顺利通过,比特币在短期内价格一定会再一次暴涨。但它是否真的有利于比特币的发展,目前来看只能是利害参半。比特币 ETF 在推动比特币普及的情况下,也可能会导致比特币泡沫。

病毒蔓延后,有声音甚至怀疑这场灾难可能是某些比特币机构的一种 “恶意营销”,怀疑始作俑者就是持有大量比特币的炒币者,但在笔者看来,这种观念实在有些可笑。毕竟无论如何,目前看来,比特币才是 “躺枪躺成筛子” 的那一个。稳稳地通过 SEC 的审核,闷声发大财恐怕才是最大多数持币者的想法。

然而就目前黑客稀少的 “收入” 来看,持币者毕竟是少数,对于其余几十万的 “病毒难民” 来说,最糟心的事情可能就是怎么才能赶紧把自己的电脑拯救过来了。互联网安全测试平台漏洞盒子 CEO 袁劲松在接受动点科技的采访时,从 “未感染预防” 和 “已感染补救” 的两个方面,给个人用户和企业用户提出了一些建议。

未感染及时预防:

  • 个人用户:如果不是使用的盗版 Windows 操作系统,建议开启自动更新,并安装 ms17-010 补丁。如果使用盗版操作系统的用户,建议开启防火墙,并将 445 端口添加进 Windows 防火墙入站规则,阻止外界访问。如果用户不使用 SMB 功能,建议直接关掉 SMB 服务。
  • IT 管理员、安全人员、运维:可以使用 ms17-010 漏洞扫描工具发现存在漏洞的主机(包含公网设备、内网设备及虚拟机设备等),也可以使用网藤风险感知对内网资产进行扫描,以便发现问题并及时修补。

感染后及时响应:

  • 个人用户:一旦发现中毒机器,立即断网。并禁止在中毒机器使用 U 盘、移动硬盘等设备,防止移动传染。对于已被加密的计算机目前暂时没有实质的解决方案。但可以通过专业数据恢复软件进行被删除文件的恢复。以下是部分厂商或组织提供的工具,可进行部分文件恢复:

1) https://www.nomoreransom.org/

2) https://github.com/QuantumLiu/antiBTCHack

3) http://dl.360safe.com/recovery/RansomRecovery.exe

4) http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

  • IT 管理员、安全人员、运维:立即对感染主机进行隔离,组织内网检测,查找所有开放 445 SMB 服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,并不要在已经中毒的设备之上连接移动设备和驱动器。对未打补丁的设备安装补丁,配置防火墙或者关闭 SMB 服务。

此次病毒利用 Windows 系统漏洞进行传播,其实在历史上早有先例。袁劲松回忆说,此前有利用 RPC 漏洞传播的 “冲击波”,也有利用系统弱点在局域网传播的 “熊猫烧香” 等。但这次的 WannaCry 虽同样具有传播性和危害性,但却与先例多有不同。

这次病毒使用的是一个月前 Shadow Brokers 泄露的 NSA 漏洞利用框架(FuzzBunch)中的 “ETERNALBLUE(永恒之蓝)” 漏洞,该漏洞危害巨大,微软定义该漏洞级别为 Critical(紧急),本次受影响的操作系统版本也是众多(winXP、Vista、Win7、Win8、Win2003、Win2008、Win10 等)。另外与历史情况不同的是,WannaCry 病毒使用勒索软件形式,会对几十种类型的文件进行加密 (RSA+AES 算法)。“单纯的清除掉病毒并不能完全解决病毒造成的影响。” 袁劲松说。

目前,漏洞盒子已经完成了对病毒行为的分析,并提供了完整的预防和解决方案以及专用的检测工具如下:

Wannacry 蠕虫勒索软件处置流程及方案

Wannacry 蠕虫勒索软件处置流程及工具包(含离线补丁)

忙活了一场,只赚了 17 个比特币的黑客离被揪出来还远吗?毕竟如履薄冰,紧密关注着大局的人永远是沉默而隐忍的,偶尔跳出来的几个 “坏孩子” 却总有可能搅乱全世界的池水。上市 ETC 的申请如果真的被通过,比特币再来一波猛涨,电脑被黑了的几十万人可能就更没勇气去花钱买币缴赎金了。玩一场全球病毒战,黑客能收满 20 个比特币不?

下次再来黑人家的电脑勒索前,自己先去交点智商税吧。

150312xjj33pu080pzsjl3