近日,大规模网络勒索袭击迅速波及全球百余国家和地区,病毒锁死用户数据和电脑文件,需要用户支付价值300-600美元的比特币赎金。新华网特此邀请360安全卫士产品负责人孙晓骏做客访谈间,为网民解读如何防控“勒索病毒”等话题。
精彩观点
1
随着周一开机率的提高,以及病毒木马的变异,勒索病毒下一步的态势会如何?
2
勒索病毒疫情已得到有效控制
经过72小时全国动员和应急响应,勒索病毒的威胁已经得到控制,感染态势明显降低。
之前业界广泛担忧会出现“黑色星期一”,主要是基于大型机构和企业会迎来电脑开机高峰,而勒索病毒蠕虫的主要特点是能够在内网自动传播,一台中招,一片遭殃。
所幸在中央网信办、公安部、工信部的领导下,360等互联网安全公司积极提供离线救灾版解决方案,本周一国内并未出现病毒大规模感染的情况,勒索病毒疫情得到有效控制。
从360安全中心目前捕获的勒索病毒蠕虫最新变种来看,不同变种的区别是病毒启动开关的域名在变化,但病毒主要的传播方式和危害并没有明显变异。
经过此次勒索病毒的攻击,网络安全获得社会的广泛关注,很多国内主机进行了应急加固,提升了对已知高危漏洞的风险控制能力。但是勒索病毒作为一个已经出现4年的网络犯罪产业,仍然会通过电子邮件、网页挂马、网络资源下载等各种形式进行攻击,无论企业还是个人都应该提升网络安全意识,积极使用专业安全软件对病毒进行实时防护,以免遭遇数据资产的重大损失。
之前业界广泛担忧会出现“黑色星期一”,主要是基于大型机构和企业会迎来电脑开机高峰,而勒索病毒蠕虫的主要特点是能够在内网自动传播,一台中招,一片遭殃。
所幸在中央网信办、公安部、工信部的领导下,360等互联网安全公司积极提供离线救灾版解决方案,本周一国内并未出现病毒大规模感染的情况,勒索病毒疫情得到有效控制。
从360安全中心目前捕获的勒索病毒蠕虫最新变种来看,不同变种的区别是病毒启动开关的域名在变化,但病毒主要的传播方式和危害并没有明显变异。
经过此次勒索病毒的攻击,网络安全获得社会的广泛关注,很多国内主机进行了应急加固,提升了对已知高危漏洞的风险控制能力。但是勒索病毒作为一个已经出现4年的网络犯罪产业,仍然会通过电子邮件、网页挂马、网络资源下载等各种形式进行攻击,无论企业还是个人都应该提升网络安全意识,积极使用专业安全软件对病毒进行实时防护,以免遭遇数据资产的重大损失。
1
“勒索病毒”为什么能短时间大规模爆发,背后有什么原因?关于病毒的出处现在外媒流传一些说法,咱们是怎么判断的?
2
NSA的“永恒之蓝”网络武器是枪,勒索病毒是子弹
勒索病毒的制作门槛是比较低的,网上有很多病毒开源代码,病毒使用的加密算法也有很多公共库,不法分子只要稍微改造就可以使用。
此次WannaCrypt勒索病毒之所以造成巨大影响,最重要的并不是病毒本身,而是它使用了NSA(美国国家安全局)“永恒之蓝”进行远程攻击。通俗的说,NSA的“永恒之蓝”网络武器是枪,勒索病毒是子弹。如果没有“永恒之蓝”的发射,勒索病毒也不会有超强的传播能力。
NSA“永恒之蓝”能够远程攻击Windows系统,以系统最高权限执行任意代码,整个攻击过程不需要用户任何操作(常见的软件漏洞需要用户浏览网页或者打开文档等操作才会中招),电脑只要联网就可能被攻击。
永恒之蓝攻击的445文件共享端口在企业内网一般是开放的,否则无法使用打印机等办公应用,因此特别适合互联网、局域网的蠕虫式自动传播——只要一台机器感染,它就会成为攻击源自动扫描攻击其他有漏洞的机器。
这类无需用户交互就能远程攻击的系统级漏洞非常稀缺和罕见,上一次出现大规模利用还是在2008年,conficker蠕虫利用MS08-067漏洞在全球范围内进行传播。能够挖掘出一个这种级别的神洞是非常难的。
永恒之蓝的攻击代码水平极高,漏洞利用成熟、稳定。如果“永恒之蓝”武器发射的不是勒索病毒,而是其他更隐蔽的病毒,一般人根本无法察觉电脑已经被“永恒之蓝”攻击入侵过。
简单总结永恒之蓝的技术难点:漏洞挖掘难度极高、漏洞利用水平极高、漏洞武器化水平极高,只有高水平团队投入大量资源才有可能实现。可以说,NSA的网络武器泄漏公开在此次病毒爆发事件中起到了关键作用。
关于外媒流传的病毒出处的说法,以同源代码关联分析的方式并无法准确地追溯源头,只能猜测这是一种可能性,但无法确认病毒作者的真实身份。
此次WannaCrypt勒索病毒之所以造成巨大影响,最重要的并不是病毒本身,而是它使用了NSA(美国国家安全局)“永恒之蓝”进行远程攻击。通俗的说,NSA的“永恒之蓝”网络武器是枪,勒索病毒是子弹。如果没有“永恒之蓝”的发射,勒索病毒也不会有超强的传播能力。
NSA“永恒之蓝”能够远程攻击Windows系统,以系统最高权限执行任意代码,整个攻击过程不需要用户任何操作(常见的软件漏洞需要用户浏览网页或者打开文档等操作才会中招),电脑只要联网就可能被攻击。
永恒之蓝攻击的445文件共享端口在企业内网一般是开放的,否则无法使用打印机等办公应用,因此特别适合互联网、局域网的蠕虫式自动传播——只要一台机器感染,它就会成为攻击源自动扫描攻击其他有漏洞的机器。
这类无需用户交互就能远程攻击的系统级漏洞非常稀缺和罕见,上一次出现大规模利用还是在2008年,conficker蠕虫利用MS08-067漏洞在全球范围内进行传播。能够挖掘出一个这种级别的神洞是非常难的。
永恒之蓝的攻击代码水平极高,漏洞利用成熟、稳定。如果“永恒之蓝”武器发射的不是勒索病毒,而是其他更隐蔽的病毒,一般人根本无法察觉电脑已经被“永恒之蓝”攻击入侵过。
简单总结永恒之蓝的技术难点:漏洞挖掘难度极高、漏洞利用水平极高、漏洞武器化水平极高,只有高水平团队投入大量资源才有可能实现。可以说,NSA的网络武器泄漏公开在此次病毒爆发事件中起到了关键作用。
关于外媒流传的病毒出处的说法,以同源代码关联分析的方式并无法准确地追溯源头,只能猜测这是一种可能性,但无法确认病毒作者的真实身份。
1
现在关于这个病毒的说法是“可防不可解”,为什么会有不可解的病毒?
2
勒索病毒使用了高强度加密算法
WannaCrypt勒索病毒使用了高强度加密算法,它在文件加密方面的编程较为规范,流程符合密码学标准。
“不可解”指的是在没有病毒作者私钥的前提下,无法破解其加密算法,对已经被病毒加密的文件进行恢复。
从理论上来说,通过大量计算来暴力破解高强度的加密算法,几十万年也不一定能实现。如果勒索病毒的加密被破解,这意味着金融等领域使用的加密算法也都是不安全的,因为都是通用的加密算法。
尽管WannaCrypt勒索病毒的加密文件目前无法破解,但是它在处理原始文件时存在漏洞,360发现病毒的漏洞后于5月14日凌晨全球首家推出文件恢复工具。之后有多家公司纷纷模仿360推出文件恢复工具,但其实并没有真正理解核心原理,恢复效果也远远落后于360的文件恢复工具。
“不可解”指的是在没有病毒作者私钥的前提下,无法破解其加密算法,对已经被病毒加密的文件进行恢复。
从理论上来说,通过大量计算来暴力破解高强度的加密算法,几十万年也不一定能实现。如果勒索病毒的加密被破解,这意味着金融等领域使用的加密算法也都是不安全的,因为都是通用的加密算法。
尽管WannaCrypt勒索病毒的加密文件目前无法破解,但是它在处理原始文件时存在漏洞,360发现病毒的漏洞后于5月14日凌晨全球首家推出文件恢复工具。之后有多家公司纷纷模仿360推出文件恢复工具,但其实并没有真正理解核心原理,恢复效果也远远落后于360的文件恢复工具。
1
各方提示一旦发现感染这种病毒应给马上“断网关机”,这是不是唯一的解决办法?
2
可以准备一个360急救盘,通过U盘引导进入系统
断网的作用:能够防止病毒利用已经中毒的电脑去攻击其他电脑;
关机的作用:能够防止病毒利用已经中毒的电脑去攻击其他电脑,也可以采取措施保护还没有被病毒加密的文件。
但是由于病毒的勒索提示是在完成加密后才出现,绝大多数受害者只有在这时候才会意识到中毒了,这时再关机,只能起到阻止病毒攻击其他电脑的作用,已经无法保护文件。
由于病毒加密文件的过程会使电脑变慢,细心的电脑用户发现异常后应立刻检查下有没有病毒;或者病毒正好加密到自己正在查看的文件目录,能够发现病毒,这时立刻关机,再以安全模式进入系统(不能直接进入系统,病毒会随着开机启动继续加密文件),把还没有被病毒加密的文件备份到移动硬盘中,可以减少损失;此外,也可以准备一个360急救盘,通过U盘引导进入系统,先杀毒,再保存还没有被病毒加密的文件。
关机的作用:能够防止病毒利用已经中毒的电脑去攻击其他电脑,也可以采取措施保护还没有被病毒加密的文件。
但是由于病毒的勒索提示是在完成加密后才出现,绝大多数受害者只有在这时候才会意识到中毒了,这时再关机,只能起到阻止病毒攻击其他电脑的作用,已经无法保护文件。
由于病毒加密文件的过程会使电脑变慢,细心的电脑用户发现异常后应立刻检查下有没有病毒;或者病毒正好加密到自己正在查看的文件目录,能够发现病毒,这时立刻关机,再以安全模式进入系统(不能直接进入系统,病毒会随着开机启动继续加密文件),把还没有被病毒加密的文件备份到移动硬盘中,可以减少损失;此外,也可以准备一个360急救盘,通过U盘引导进入系统,先杀毒,再保存还没有被病毒加密的文件。
1
大家感觉现在网络病毒比以前少了,但是一旦发生一次就会形成很大影响,为什么?怎样看待未来的网络安全态势?
2
用户还是应该注意对系统进行安全更新,并使用专业安全软件防范病毒
随着360等免费安全软件的普及,国内网络安全水平已得到极大提升。根据微软安全报告显示,中国是全球恶意软件感染率最低的国家。已经多年没有再出现类似熊猫烧香、灰鸽子等动辄感染成百上千万台电脑的木马病毒。
此次WannaCrypt勒索病毒造成很大社会影响,但其影响的普通个人用户极少,受到感染的主要是不打补丁、不装安全软件的机构和单位电脑,其感染数量也远远低于熊猫烧香等病毒的感染量。但是一些公共服务受到病毒影响,引起了社会各界的高度关注。
这也说明,随着各行各业信息化程度与日俱增,互联网已经深入渗透到人们生活的方方面面。人们对互联网的依赖度越高,网络安全就越重要,移动互联网和IoT等领域也同样面临着勒索病毒、僵尸网络、远程控制、窃取网银等不同类型网络犯罪的威胁。
现在智能手机上已经存在各种各样的勒索软件,尽管还没有出现类似WannaCrypt快速自动传播的勒索型蠕虫,但不能排除未来在智能手机上也出现勒索病毒大规模爆发的情况,所以用户还是应该注意对系统进行安全更新,并使用专业安全软件防范病毒,才能够保护好自己的数据和财产安全。
此次WannaCrypt勒索病毒造成很大社会影响,但其影响的普通个人用户极少,受到感染的主要是不打补丁、不装安全软件的机构和单位电脑,其感染数量也远远低于熊猫烧香等病毒的感染量。但是一些公共服务受到病毒影响,引起了社会各界的高度关注。
这也说明,随着各行各业信息化程度与日俱增,互联网已经深入渗透到人们生活的方方面面。人们对互联网的依赖度越高,网络安全就越重要,移动互联网和IoT等领域也同样面临着勒索病毒、僵尸网络、远程控制、窃取网银等不同类型网络犯罪的威胁。
现在智能手机上已经存在各种各样的勒索软件,尽管还没有出现类似WannaCrypt快速自动传播的勒索型蠕虫,但不能排除未来在智能手机上也出现勒索病毒大规模爆发的情况,所以用户还是应该注意对系统进行安全更新,并使用专业安全软件防范病毒,才能够保护好自己的数据和财产安全。
