为什么勒索病毒攻击的都是内网(网赌追款48小时到账)

　　展开全文

　　文/杨书房

　　30.安田、金山和其他网络安全公司今天都在加班加点。

　　一种名为“WannaCry”的病毒开始在全球爆发。全球99个国家受到攻击，24小时内检测到的攻击数量超过10W。国内重灾区是校园系统，医疗系统，能源行业，公安服务系统。

　　国内的一些吃瓜群众已经感受到了WannaCry的影响。

　　有人在北京的警察局排了一个多小时的队，却被告知系统被攻击瘫痪了。有人发现自助缴费系统与加油站断开，支付宝、QQ支付等网上支付无法使用，但他没带现金。浙江传媒大学、中国季良大学和其他国内大学的校园网也遭到了攻击。

　　很多安全公司都说这个病毒可以防御，但是一旦被抓到，目前还没有解决方案。

　　大概是因为这个原因，病毒发布者疯狂行动。他给用户留下一封洋洋得意的勒索信，要求3天内付款，3天后费用翻倍，1周后加密数据永不恢复。

　　大多数公司似乎都没有按照他的意愿行事。目前黑客留下的其中一个比特币收藏账户里有30笔交易，4.62个比特币。按照目前的比特币价格，总价约为47500元。但用户的支付频率明显加快，5月13日晚9点半后一小时内新增8笔交易。有业内人士认为，赎金支付高峰期尚未到来，从14日起赎金规模将大幅增加。

　　从黑客和被攻击公司的还价邮件来看，这个黑客对中国当前的政治事件也是非常清楚的，相当“政治自觉”。

　　目前对于这次WannaCry攻击相对安全的有两个群体。第一，Mac用户，这个攻击是针对windows系统的。二是大部分windows个人用户，不包括通过校园网等局域网接入网络的用户。

　　大多数安全公司将内网成为重灾区的原因归咎于445端口。国内的情况是，个人用户的445个网络端口大部分已经被网络运营商屏蔽，但在大型局域网和企业内网仍然有很多开放的端口。

　　那么，445是什么?端口45的主要特点是支持文件共享。您在内部网和校园网中看到的对共享文件夹和共享打印机的访问意味着端口445正在工作。但是它暴露给黑客的危机也很大。入侵成功后，他们可以共享、加密、格式化你的硬盘。

　　在此基础上，安全大数据公司微步在线给出了更详细的解释。在分析样本后，他们发现当前样本中有一个秘密开关，这是攻击的第一步。

　　在用户计算机中启动WannaCry示例后，第一步是请求以下域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。如果请求失败，则执行文件加密;如果请求成功，放弃加密，直接退出。他们还提醒用户不要在防火墙、IPS等设备中屏蔽上述域名的访问。

　　5月12日，这个交换机域名被安全机构接管。但之后大量电脑还是加密的。微博在线给出的原因是这些机器没有接入外网，所以WannaCry请求切换域名失败，造成加密行为。

　　另外WannaCry还有蠕虫功能，很容易在内网造成连锁效应。如果内网没有上网权限，一台机器掉了，很可能所有机器都会被攻陷。

　　360云安全团队漫威团队的一位工程师解释说，这个秘密开关可以理解为黑客设置的一个控制阀，或者是他的一把锁。如果域名不被接管，一旦他关闭域名，用户的所有请求都会失败，从而引发更大的血雨腥风。

　　他透露，360安全部门正在集体通宵工作，编写中毒电脑加密文件的解密工具，预计14日发布。

　　巴菲特刚刚在一周前的伯克希尔哈撒韦股东大会上表示，“我对大规模杀伤性武器非常悲观，但我认为核战争的可能性低于生化武器和网络攻击。”

　　不幸的是，他是对的。或许有一天，《速度与激情8》中自动驾驶车辆被密集攻击的场景也将成为现实。