一种名为「永恒之蓝」的蠕虫病毒忽然在全球网络肆虐,让数不清的电脑用户损失惨重。 2017 年 5 月 12 日起,网络中杀出的蠕虫病毒「永恒之蓝」,像是电脑绑架者,不断侵入电脑加密文件,然后讨要解密赎金,所以「永恒之蓝」又被称为勒索病毒,与现实中的绑架者可谓行径相似。这种电脑绑架行为,造成了巨大损失,有关机构一时也不能算出经济损失的总量。 这种贫富皆绑的勒索病毒是谁制造的?它源于美国网络武器库,因为网络武器库管理不严密,导致一些本由军方施用的攻击程序流落民间,最终成为黑客谋财的工具。 事件时间轴 在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美元)。而“Shadow Brokers” 的工具一直没卖出去。 北京时间 2017 年 4 月 8 日,“Shadow Brokers” 公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。3. 北京时间 2017 年 4 月 14 日晚,继上一次公开解压密码后,“Shadow Brokers” ,在推特上放出了第二波保留的部分文件,下载地址为https://yadi.sk/d/NJqzpqo_3GxZA4,解压密码是 “Reeeeeeeeeeeeeee”。 此次发现其中包括新的23个黑客工具。具体请参考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing 这些黑客工具被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar, EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。 事实上,最早受到「永恒之蓝」病毒攻击的是英国的许多医院。黑客成功侵入医院电脑,植入「永恒之蓝」,然后病毒开始读取医院电脑里的重要文件,继而把这些重要文件加密锁死。当医生试图打开文件时,发现需要密码钥匙,而密码钥匙掌握在黑客手里。黑客在被攻击的电脑上留下弹出窗口,告诉用户:「你的文件是我加密的,想打开,请付价值 300 美元的比特币。如果三天之内不把比特币转到指定名下的账户,再想打开加密文件,所付赎金则要加倍!」 医生们打不开文件,傻眼了。他们没有比特币作为赎金转给黑客,只能眼睁睁看着电脑被「绑架」而无能为力。打不开文件,新病人就无法登记就诊,原来的病人也无法通过电脑跟踪病情,手术室里的仪器无法正常工作,就连各部门之间的电话也中断了。电脑中了「永恒之蓝」病毒,许多英国医院工作陷入瘫痪,医生们只好向没有中毒的医院转移大量病人。 除了英国的许多医院被「永恒之蓝」攻击之外,当天全世界共有七十多个国家报告有数不清楚的电脑受到「永恒之蓝」攻击,其中西班牙电信局的电脑中招、俄罗斯内务部的上千台电脑中招、中国一些大学的电脑中招。中毒电脑无一例外都通过黑客留下的弹出窗口告诉用户:「文件被加密,想打开,汇比特币来!」 修复建议 其实微软在当年3月已经上传了相关的解决措施,问题在于当时国内不够重视,导致学校局域网被攻击,大量毕业生电脑遭到入侵。 升级到微软提供支持的Windows版本,并安装补丁:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/ 安装相关的防护措施,如缓冲区溢出防御软件,杀毒软件。 无补丁的Windows版本,临时关闭135、137、445端口和3389远程登录。
