勒索病毒大范圍傳播，信息安全專家紛紛發(fā)出警告

騰訊科技訊 據(jù)《連線》雜志報道，新一波勒索軟件攻擊正在全球范圍內(nèi)迅速傳播，導致了英國國家醫(yī)療服務(wù)體系（NHS）多家醫(yī)院的危機，并在西班牙造成大范圍影響。西班牙電信、天然氣公司Gas Natural，以及電力公司Iberdrola均未能幸免。

這一勒索軟件被稱作WannaCry（也被稱作WanaCrypt0r或WCry），似乎是3月底時曾經(jīng)出現(xiàn)過的勒索軟件的變種。截至本文發(fā)稿時，新版本勒索軟件已波及了至少74個國家的數(shù)萬臺計算機。受影響地區(qū)包括俄羅斯、中國、法國和日本等。

WannaCry的爆發(fā)為何如此猛烈？這一惡意軟件似乎利用了Windows中被稱作“EternalBlue”（永恒之藍）的漏洞，而該漏洞的發(fā)現(xiàn)者據(jù)稱是美國國家安全局（NSA）。一家名為Shadow Brokers的組織上月發(fā)布了多款來自NSA的黑客工具，其中就包含針對該漏洞的工具。微軟已于今年3月通過MS17-010補丁修復了該漏洞。不過很明顯，許多組織并未及時安裝補丁。

作為最初版本W(wǎng)annaCry的發(fā)現(xiàn)方，Malwarebytes惡意軟件情報總監(jiān)亞當·庫加瓦（Adam Kujawa）表示：“傳播非常猛烈。我從未見過這樣的傳播?！?/p>

醫(yī)院成為攻擊目標

勒索軟件會感染用戶的計算機、鎖定系統(tǒng)（通常會給硬盤數(shù)據(jù)加密），隨后要求用戶支付贖金換取解密密鑰，而贖金通常會要求通過比特幣形式來支付。在此次攻擊事件中，NHS的計算機和電話系統(tǒng)遭遇了大規(guī)模攻擊，系統(tǒng)出現(xiàn)故障，多家醫(yī)院的計算機都彈出消息，要求用戶支付300美元比特幣的贖金來解鎖計算機。

由于周五的攻擊事件，倫敦和英格蘭北部的多家醫(yī)院、診所和醫(yī)療機構(gòu)都取消了非急診服務(wù)，切換至備份流程。英格蘭多家醫(yī)院的急診室都發(fā)出通知，希望病人在非必要情況下不要前來就診。不過到目前為止，攻擊尚未造成病人數(shù)據(jù)的泄露。

在英格蘭，NHS表示，正在對這起攻擊事件進行調(diào)查，并采取應(yīng)對措施。英國媒體報道稱，醫(yī)院工作人員被告知關(guān)閉計算機和IT網(wǎng)絡(luò)服務(wù)。另一些受害者，例如西班牙電信，也在采取類似的防范措施，包括告知員工關(guān)閉受感染的計算機。

醫(yī)院常常會成為勒索軟件攻擊的目標，因為醫(yī)院必須盡快為病人恢復服務(wù)。因此，醫(yī)院也更有可能向犯罪分子支付贖金，使系統(tǒng)盡快恢復正常。此外，醫(yī)院的系統(tǒng)在攻擊時往往也更簡單。

醫(yī)療信息管理系統(tǒng)協(xié)會隱私和信息安全負責人李·金（Lee Kim）表示：“在醫(yī)療和相關(guān)行業(yè)，我們在解決這些漏洞時動作非常慢?！?/p>

WannaCry并非僅僅瞄準NHS。NHS在聲明中表示：“此次攻擊并非特別瞄準NHS，而是影響了多個行業(yè)的許多機構(gòu)。我們專注于為受影響機構(gòu)提供支持，迅速而果斷地管理好這起事故?！?/p>

從某種方式來看，這導致情況更糟糕。WannaCry并非僅僅瞄準醫(yī)院，而是瞄準了所有一切可能的計算機。這意味著，在好轉(zhuǎn)之前，情況還會進一步惡化。

波及更多行業(yè)

NHS遭到的攻擊最引人關(guān)注，因為這導致了病人的生命安全面臨風險。不過，WannaCry可能會繼續(xù)擴大攻擊范圍，因為這利用了許多計算機系統(tǒng)中的漏洞。微軟于兩個月前發(fā)布了該漏洞的補丁，但很多計算機尚未安裝。消費級設(shè)備安裝補丁的情況可能較好，因此Malwarebytes的庫加瓦表示，WannaCry主要將給企業(yè)基礎(chǔ)設(shè)施帶來危險。

WannaCry的開發(fā)者似乎希望這款惡意軟件能廣泛傳播。MalwarebytesHunterTeam組織研究員MalwareHunter表示，除了利用來自Shadow Borkers的Windows漏洞之外，這一勒索軟件還可能使用了更多的漏洞。該組織發(fā)現(xiàn)了第二代的WannaCry。此外，軟件可以支持27種語言。如果攻擊者只希望瞄準某家醫(yī)院或銀行，或是某個單一國家，那么原本不必如此麻煩。

從微觀角度來看，情況同樣糟糕。在WannaCry進入某一網(wǎng)絡(luò)后，可以迅速傳播至同一網(wǎng)絡(luò)的其他計算機。最大化給企業(yè)和其他機構(gòu)造成破壞，這是勒索軟件通常的特征之一。到目前為止，尚不清楚此次攻擊發(fā)源于何處，因此在更大范圍內(nèi)應(yīng)對攻擊也變得更難。信息安全分析師將利用受害者信息，判斷攻擊者最初從何處下手（例如釣魚、惡意廣告，或是更個性化的有目標攻擊），從而追蹤惡意軟件的起源。

對于已受影響的計算機用戶來說，各種保護措施為時已晚（對他們來說，問題是是否要支付贖金）。不過，對于尚未遭到攻擊的用戶來說，至少可以采取一項措施：盡快安裝微軟的補丁。由于這是服務(wù)器級別的補丁，因此用戶也可以求助最近的系統(tǒng)管理員。

MalwareHunter表示：“我會說，此次攻擊非常成功，因為用戶和企業(yè)沒有及時給系統(tǒng)打補丁。”

在補丁全面安裝之前，預計WannaCry還將繼續(xù)傳播。（編譯/昱燁）