Welcome to the Shanghai Science Technology Co., Ltd. the official website of the positive data!
Home > 新闻中心 > 行业动态

勒索病毒并非“病毒”,而是一种商业模式

Updated:2018-02-24 14:02:21Click:2717
只要网络环境中有财产可被获取,病毒就会出现无尽的变种。

“勒索病毒并非是一种病毒,而是一种商业模式,只要网络环境中有财产可被获取,就会出现无尽的变种”,360安全技术负责人郑文彬告诉36氪。

勒索病毒最新“战况”

自12日WannaCrypt(永恒之蓝)勒索蠕虫突然爆发以来至今,影响已经遍及近百国家,包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者,中国校园网和多家能源企业、政府机构也中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失,全球至少有10万台机器被感染。

在中国,经过72小时全国动员和应急响应,感染和影响得到了基本控制,总体态势平稳,但这种病毒的传播情况至今仍然无法彻底遏制。

首先,来回望下这次勒索病毒的起源。

根据多家官方权威介绍,本次勒索病毒发行者是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue“永恒之蓝”,将2017年2月的一款病毒升级所致。WannaCrypt(永恒之蓝)勒索蠕虫是NSA网络军火民用化的全球第一例。

一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

勒索者使用病毒的方式也很简单,瞄准机构和个人重要文件,直接“放毒”,加密用户电脑文件并勒索300美元赎金,3天后不交赎金就涨价到600美元,7天后不交赎金就撕票,被锁的重要文件将被永久销毁。

一个很现实的问题:勒索病毒为何就没办法彻底遏制?

一方面因为WannaCrypt利用公开的“永恒之蓝”武器制作的蠕虫型勒索病毒,一台电脑感染后,会继续扫描内网和互联网上其他未免疫的系统,继续感染这些系统,连锁反应导致大规模感染爆发。

勒索病毒并非“病毒”,而是一种商业模式

勒索病毒传播图。

另一个关键因素是勒索病毒使用的是可匿名比特币支付,压根追踪不到病毒来源和背后勒索者。

事实上,根据比特币交易平台的公开数据显示,截至5月15日晨,已经有136人交了赎金,总价值约3.6万美元。

有人可能要问了,有比特币的可以快速支付并解锁,但没有比特币的人怎么办?

别着急,勒索者都已经帮你想好了,这个病毒制造者可谓很贴心,在勒索页面附有教程,直接可以通过网银从分销商那里购买比特币,并且它支持十几种语言,根据每个国家的国情不一样,做非常完整的提示。

勒索病毒并非“病毒”,而是一种商业模式

很贴心的支持多国语言,以及比特币购买流程。

怎么样,是不是很贴心?

事实上,勒索者还设置了一个更贴心的服务,那就是对半年没付款的搞抽奖活动,抽中就可以免费给你解除,但没有抽中就是运气不好了。

这俨然就是一种商品的售卖和营销模式啊,也恰恰验证了郑文彬所说的一整套勒索“商业模式”。

当然,这一次也并非勒索病毒首次爆发,2013年勒索病毒就出现了,只不过当时是通过邮件、挂马传播,2015年开始进入爆发期,目前已经有超过100种勒索病毒家族存在。有数据显示,仅其中一个勒索病毒CryptoWall家族的一 个变种就收到23亿赎金。

那么,问题来了,多年前已经得知的“商业模式”,为什么如今还会呈现大爆发态势?

“可以说,目前对勒索病毒还没有一个特别好的解决的方法,只能说是防御,但中了以后并没有什么好的方法,这种情况下它还会发展出更多的变种,包括在不同的平台,移动平台、IoT,甚至是关键基础信息设施上”,郑文彬如是说。

除此之外,如前文所说,勒索病毒溯源一直是比较困难的问题,FBI曾经悬赏300万美元找勒索病毒的作者,都没有结果。因为它的整个操作体系非常成熟,完全是用比特币和匿名网络,目前全球都没有发现作者是哪个国家的,它的目的是什么,没有一个明确的消息。

这次中枪最多的为何是机构?

如果在以前,勒索病毒的人群多集中在个人,但这次不然,伤害最大的却是大型机构,为什么?

比如,《每日邮报》的报道病毒爆发当天就表示,至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击,这些机构包括医院和全科医生诊所。

病毒制造者为了谋取高额利润,首选机构无可厚非,毕竟机构更具有支付的财力。

但另一个不可忽视的因素是机构安全市场的投入严重不足,一个数据显示,中国整个安全市场占整个中国IT市场的投入是2%,而全球尤其是美国安全市场,占整个美国IT市场的也不过9%,两个超级大国的投入已经如此,更不用提其他国家了。

这导致病毒来袭之后,安全系统弱的机构手足无措,漏洞更新也颇为困难,因为这可能牵涉到整个机构系统的大变动,这也是为何企业客户明显比互联网个人用户反应慢的原因所在。

除此之外,很多机构即便上线了最新的安全产品,但缺乏运营,因为如果没有人经常检查有没有效果、漏洞有没有被修复,445端口有没有被非法的开放,安全产品也没有用。

正如安全行业传播很广的一句话:重视运营,就是安全产品上线的第一天也是失效的第一天。

针对此次勒索病毒,网络很多人认为应该NSA背锅,但是你有没有想过,如果NSA不用这个武器,这些漏洞就不存在吗?

其实这些漏洞还是会存在,总有人会利用它,只不过这件事情被曝光出来,造成了极大的影响。

事实上,我们也无法否认,只要黑客找到一种攻击方式,它就可以拿来作为一个勒索的工具和勒索的蠕虫,下次它可能能攻击你的手机,攻击你的IoT连接设备,所以它并不是某一种病毒,早已经变成一种黑产的商业模式。

转载 (Edit:admin)