网络攻击级别“史无前例” 勒索软件威胁远未消失

【科海观潮】

“英雄拯救世界”？在近两天全球性的勒索软件网络攻击事件中，传出了一名英国网络工程师通过注册某个域名而遏制这场灾难的消息。但网络安全专家指出，目前事态只是由于多种原因而稍显缓和。

网络攻击级别“史无前例”

12日，全球多个国家的网络遭遇名为“想哭”的勒索软件攻击，据统计，涉及中国、英国、西班牙、俄罗斯等近百个国家和地区。电脑被勒索软件感染后文件会被加密锁定，支付黑客所要赎金后才能解密恢复，受攻击对象甚至包括医院、高校等公益性机构。欧盟刑警组织说，这次网络攻击“达到史无前例的级别”。

这一勒索软件利用的是微软“视窗”操作系统中的一个漏洞。尽管此前微软已发布安全补丁，但仍有许多没有更新的电脑被感染。鉴于事态严重，微软很快宣布采取非同寻常的安防措施，为一些它已不再支持的老“视窗”平台提供补丁。多家网络安全厂商也紧急推出了应对勒索软件的安全工具。

13日，媒体报道一个英国小伙“拯救世界”的消息，称他通过注册某个域名遏制了这场网络攻击。这位迄今没有透露姓名等信息的英国网络工程师运营一家分析恶意软件的网站。他在网站上称，通过分析“想哭”软件发现，它预设如果访问某个域名就自我删除，而这个域名尚未注册，他通过注册这个域名并进行相关操作，成功阻止了“想哭”软件蔓延。

“这个说法并不全对，域名的作用其实有限，”安天公司安全研究与应急处理中心主任李柏松说，“一部分已被感染的电脑，确实可以访问这个域名而使勒索软件停止破坏，但当前最大的问题是大量内网节点已被感染，而有些节点无法访问这个域名，并且勒索软件很容易修改出不带有这一特性的新变种。所以，不能指望就靠这个域名拯救世界。”

“我们监测到的攻击量和感染量并没有明显回落，只是一个缓慢的持平和下降，”360公司首席安全工程师郑文彬也说，“随着媒体推动和用户意识到问题，公众和机构的电脑逐渐打上补丁，这才是事态目前稍显缓和的主要原因。”

用户仍然面临风险

“这个缓和很大程度上还因为是周末，15日会是重要的考验关口，”郑文彬强调。由于时区关系，中国将是较早面临这个风险的国家。

李柏松同样判断：“勒索软件网络攻击大规模爆发于北京时间12日晚8点左右，当时国内有大量机构和企业的网络节点已关机，因此15日开机将面临安全考验。”他还说，许多重要的计算机系统处于内网环境，无法访问前述域名，并且也可能无法及时更新安全补丁，因此仍可能面临较大风险。

网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。

“针对勒索软件威胁，用户必须提前做好防御工作，”李柏松强调，“因为这个勒索软件采用了RSA、AES等加密算法，没有密钥无法解密。”也就是说，对已被感染且发作的电脑，其中被锁定的文件暂时没有办法打开。他表示，网上有传闻说勒索软件作者已经公开了密钥，但已经证实这是假消息。

李柏松指出，不建议文件已被锁定的受害者按黑客要求支付赎金，“妥协就是对犯罪的纵容，而且目前无法确定传播者的真实意图，支付了赎金也不一定会收到解锁所需的密钥，我们不建议受害用户支付赎金。”

郑文彬说，文件被锁定的用户可以尝试使用一些恢复工具，根据被锁定文件的性质，有一定概率可以恢复数据。

“勒索”未来可能持续

网络安全专家都在严阵以待15日这个关口。那么，假如过了这个关口，今后又会怎么样？郑文彬认为：“这个勒索软件的攻击未来应该还会持续一段时间。”

“一些不法黑客还可能受到此次勒索软件攻击的启发，将更多技术手段与勒索软件相结合，”李柏松说，“勒索模式带动蠕虫病毒的回潮不可避免，黑客可能利用僵尸网络分发病毒，还可能针对物联网设备的漏洞制造和传播病毒软件，这些问题都会出现。”

比特币的兴起也为勒索软件提供了帮助。比特币是一种虚拟货币，在网上交易难以追踪，成为许多黑客爱用的交易媒介。在此次事件中，就有用户因一台电脑被感染而被勒索5个比特币，目前约合人民币5万元。

此次勒索软件威胁的不仅是个人用户，还有众多机构和企业。专家因此提醒，所有网络用户今后都应加强安全意识，注意更新安全补丁和使用各种杀毒工具。

美囤积安全漏洞做法遭批

美国总统国土安全与反恐助理托马斯·博塞特15日说，尽管这次网络袭击似乎旨在勒索钱财，但所支付的赎金总数可能不到7万美元，而且据美方所知，支付赎金并未导致任何数据恢复。

博塞特说，此次事件中，美国国土安全部部长约翰·凯利领导的团队每天发布两次情况报告并与相关专家和运行中心举行多次电话会议。“到目前为止，没有(美国)联邦系统被感染”。“总体上，美国感染率低于世界上的许多其他国家”。

在这次网络攻击中，不法分子利用从今年早些时候泄漏的美国国家安全局网络武器库中的一个黑客工具制作了恶意勒索软件。

当被要求对此进行评论时，博塞特辩解说，勒索软件不是由美国国家安全局开发，而是由犯罪团伙开发，可能是犯罪分子，也可能是外国政府。他们把相关工具整合在一起通过邮件“钓鱼”的方式造成“感染、加密和锁定”。

博塞特没有回答美国情报机构外泄的黑客工具是否会在未来导致更多网络攻击的问题。

15日晚些时候，网络安全公司俄罗斯卡巴斯基实验室和美国赛门铁克公司表示，这个勒索软件可能与一个叫“拉扎勒斯”的黑客组织有关。

此前一天，美国微软公司总裁兼首席法务官布拉德·史密斯发表博客文章，谴责美国政府部门囤积操作系统安全漏洞的做法，并认为这次事件相当于美国军方的“战斧”巡航导弹失窃。

美国前白宫反恐协调员理查德·克拉克15日在一篇文章中透露，2013年他曾建议美国情报机构应立即告之软件公司所发现的安全漏洞，“奥巴马政府表示接受这一政策建议，但显然在执行上出现了问题”。

美国公民自由联盟在一份声明中批评美国国家安全局囤积安全漏洞的做法“非常令人不安”。“国会早该通过加强网络安全的法律，要求政府及时向公司披露漏洞，”声明说，“立即给安全漏洞打补丁，而不是囤积它们，是让每个人的数字生活更安全的最佳方式。”(黄堃 林小春 新华社发)