從5月12日起,互聯網世界遭遇一種名為WannaCry(想哭)的勒索病毒攻擊,這波攻擊來勢洶洶,席捲了全球150多個國家,數千家企業和機構、超過30萬臺設備受到影響。
WannaCry加密用戶的文件,要求用戶支付價值300美元的比特幣來解鎖文件。如果72小時後未支付,勒索金額將翻倍至600美元,七天後,這些文件將被永久鎖定。
什麼是WannaCry?企業應該做什麼?如果受勒索軟件影響,是否應該繳納贖金?TEEC天使基金投資企業雲城數據告訴你真相。
WannaCry影響誰?
WannaCry病毒攻擊的是Windows系統,幾乎所有Windows系統如果沒有打補丁,都會被攻擊。 微軟就這個問題 (MS17-010),在今年3月就已經推出了補丁。如果用戶使用的是微軟支持的版本的正版軟件,打開了自動更新或手動進行了更新,那就不會受到WannaCry的影響。(微軟在WannaCry病毒爆發後為已經停止支持的Windows XP 及Windows2003系統也提供了補丁。)
因為WannaCry攻擊的是Windows系統,所以在這次攻擊中Linux、MacOS以及各種手機的操作系統沒有被波及。
綜上,這次WannaCry的攻擊,影響的是企業用戶使用的盜版的,或未能及時進行更新的系統,或早期沒有官方補丁的Windows XP/Windows2003等系統。
小白用戶如何防禦WannaCry勒索病毒?
廣大的Windows個人用戶其實不需要過於擔心。 對於個人用戶,各大服務商早就把WannaCry攻擊所需要藉助的445端口封閉了。所以如果個人用戶沒有使用單位內網、教育網等服務,那麼“中招”的可能性並不高。雖然“中招”的可能性不高,但是還是推薦確認已經採用微軟的補丁,來有效保護自己的安全。
另外,我們也推薦用戶打開Windows defender,可以更好的保護系統。有關安全更新和打開Windows defender的流程,有很多文章已經進行了介紹,我們就不多寫了。個人用戶對於這次WannaCry攻擊無需過於恐慌。
為什麼政府機關和大學是重災區?
長期以來,我國很多政府機關及企業等大量採用了“內網”,“外網”,“互聯網”的機制,並對其進行了物理隔絕來保證網絡安全。但是隨著移動辦公、移動互聯網的普及,以及黑客採用的更狡猾的攻擊手段,主要依賴物理隔絕的“內網”的安全性也就有了漏洞。大量在“內網”內的機器因為沒有能夠及時更新,一旦一臺被感染,就可以迅速傳播。校園網因為學術共享需要,445端口未能封閉。而校園網內計算機的硬件、軟件複雜,大量機器未能及時更新,也就更容易被感染。這也是為什麼政府機關和大學“中招”最多的原因。
WannaCry病毒來自哪裡?
WannaCry之所以在國內被稱為永恆之藍,就在於它利用了“永恆之藍”漏洞。這個漏洞普遍被認為是美國國家安全局開發的,在今年的4月14日,一個自稱“影子經紀人”的駭客組織公佈了一系列來自NSA的駭客工具,其中就包含了“永恆之藍”漏洞。必須指出的是,4月14日既不是該組織第一次公佈漏洞,也不會是最後一次。
WannaCry是其他駭客組織利用了影子經紀人發佈的永恆之藍漏洞,在其上研發的勒索蠕蟲病毒。目前一些機構指出,WannaCry的一些變種顯示有可能病毒的源頭不止一家。也就是說,有可能有多個駭客組織或個人正在利用永恆之藍來對企業和個人進行攻擊,這也就是說,後期攻擊的內容、形式,都有可能發生變化。建議企業用戶緊密監視動態,保護企業數據安全。
Windows 系統之外的Linux、Mac、手機、pad是否就安全了?
雖然WannaCry本身不攻擊Windows之外的系統,但是影子經紀人在過去公佈的漏洞中,頗有一些針對其他系統的。譬如同樣在4月14日被公佈的漏洞中,就有針對Solaris系統的攻擊。WannaCry之所以不影響其他系統,是因為它所依賴的是Windows的缺陷,這並不代表其他系統沒有缺陷,也不代表黑客沒有能力攻擊其他系統。那些針對其他系統的攻擊從來沒有停止過。
讓我們想象一下,如果這次的攻擊利用了別的漏洞,攻擊了在互聯網的伺服器中佔優的Linux, 或者在個人設備中佔優的手機等設備,由於這些生態系統碎片化嚴重,缺乏微軟這樣一家獨大的供應商,在提供補丁等環節中有可能會面臨更大的挑戰,而對於用戶的損失也非常有可能比這次還大。
今後是否還會出現類似問題?
可以肯定的是,今後此類事件不但還會發生,甚至還會發生的更加猛烈。
首先,讓我們不要忘記影子經紀人手中還有其他美國國家隊出產的工具。其次,世界上不僅僅影子經紀人一個駭客組織;第三,當駭客組織可以利用其他公開的漏洞進行二次研發的時候,往往會出產更可怕的病毒。這次的WannaCry就是一個很好的例子。而這次WannaCry的迅速傳播和這類新的攻擊模式及商業模式,也會起到一個非常壞的示範作用,開啟很多新的點子。
我國的網絡安全基礎設施還相對薄弱,但是我國的數據增長卻是全球最快的。在未來以數據的爭奪和攻擊為主的新的攻擊模式下,我國很有可能會首當其衝。因此,企業應提高對數據安全的重視,建立相應的系統及流程,以保證企業的正常運行。
勒索是否會成為常態?
當我們說今後類似事件會經常發生的時候,我們也要清醒的意識到,勒索並不是對數據進行攻擊的唯一表現形式。黑客完全可以採用其他形式來干擾企業業務的正常進行。譬如,黑客有可能偷盜數據,有可能篡改數據,有可能將數據部分或全部銷燬。這些都可能極大的影響企業業務的正常運行,給企業和其客戶帶來不可估量的損失。
勒索有可能成為常態,也有可能因為商業模式的不成熟不成為常態。本次WannaCry的數據勒索,截至5月15日下午4點為止,在全球被感染機器超過幾十萬臺的情況下,只有227人繳納贖金,贖金總額為不到6萬美金。
但是無論勒索是否成為常態,WannaCry開啟了一種新的攻擊模式,在大數據成為我們的生活的一部分的今天,針對數據本身的攻擊應該會成為常態。因此,企業也必須把保護數據作為戰略目標。
企業應該做什麼?
在過往,當企業談論安全的時候,往往更注重網絡安全,更多的想的是防病毒軟件、防火牆,物理隔絕這些措施。但是通過這次WannaCry的感染過程及其後的處置過程來看,以隔絕、防護為主的安全已經不能適應新時代的需要。
我們也同樣可以看到,數據作為企業最重要的資產,也變成了黑客攻擊的主要目標。所以我們希望對企業說的是,在不放鬆網絡安全的同時,也要加強對數據安全的重視。
企業應該對數據統一管理,定期備份,應對數據的生成、加工、共享、存儲的整個過程有完整的可見性及控制能力。當我們總結永恆之藍及WannaCry的經驗教訓的時候,我們可以比任何時候都更明確的看到,絕對的安全是不存在的。任何系統,在任何一個時間點都非常有可能是“帶漏洞”運行的。企業需要以新的戰略來應對這樣的挑戰,可以迅速甄別攻擊,可以在攻擊被甄別後迅速控制局勢並迅速恢復正常業務。
雲城數據的解決方案對於WannaCry攻擊有什麼意義?
針對WannaCry攻擊本身,採用了雲城數據安享解決方案的客戶無論電腦及內網是否受到影響,其數據都是安全的。如果終端設備(如員工的Windows電腦)受到勒索影響,可以通過管理員執行的數據備份恢復或用戶自行執行的數據同步兩種方式恢復數據,其過程相當的簡單,易於操作。
另外,當前大部分企業應對WannaCry問題的流程中,會關閉135、139、445等端口,這也就造成了依賴這些端口進行通訊及共享的一系列網絡協議的崩潰。基於SMB/CIFS/SAMBA等的解決方案無法運行。同時,為了避免蠕蟲傳播,企業內USB、移動硬盤的使用也受到了限制。這讓企業內文件協同、共享無法順利完成。而云城安享解決方案仍可以正常操作,讓員工可以通過電腦、手機、內網網頁等方式正常協作。
企業的管理員可以通過後臺的管理系統,監控企業內數據的使用、存儲、提取、共享等活動,配合網絡安全解決方案,進一步加強企業對於IT運營環境的管控。
綜上,雲城數據對企業數據的統一管控,備份等能力,對於WannaCry一類的數據勒索行為有非常有效的遏制作用。其跨操作系統、跨平臺的數據解決方案,可以讓對單一操作系統的數據攻擊的有效性大大降低,可有效幫助企業完成被攻擊後的業務恢復。
如果受勒索軟件影響,是否應該繳納贖金?
首先,我們要認識到這一夥黑客對醫院、交通樞紐等關乎人命的機構進行了無差別攻擊,顯示其及其冷血;
其次,他們選擇了比特幣作為贖金的手段本身,就意味著很多“中招”的中小企業或個人用戶或許從來就沒有解鎖的希望。
因此,大部分專業機構都不建議受影響個人及企業支付贖金。從實際情況來看,在幾十萬臺受影響的機器中,只有227人繳納了贖金。
所以,我們也不建議繳納贖金。同時,如果出現問題,建議將感染機器交由專業人士進行處理,不要盲目相信網絡傳播的各種“秘籍”。對於企業和個人,對抗此類攻擊最好的方式歸結起來就是以下幾點:
第一 數據統一管理,定期備份,建立有效的數據安全體系
第二 使用正版軟件,密切關注各大廠商的更新,及時維護系統
第三 加強對員工的教育,如不使用不明來源的USB、移動硬盤等設備,不多人混用這些設備,不亂下載文件等
雲城數據
雲城,一個目前領先於世界的安全雲存儲系統,專門針對企業的數據安全問題應運而生。不僅可以很好地解決政府需要私有云,機關、企業等保密資料不能放在公共雲上的問題,更是能確保安全的避開高手黑客們的撬鎖攻擊。
閱讀更多 清谷逆創 的文章
