勒索病毒攻击，还是挑战现有金融秩序的导火索？

更多全球网络安全资讯尽在E Security官网

Esafety 5月13日讯 即将到来的无现金社会无疑受到了各国政府的热烈欢迎。 在 2017 年的两届会议期间，有很多关于无现金社会的讨论。 全国人大代表也提出了相关建议。 支付宝官方账号3月2日在微博上表示，“推动中国进入无现金社会需要五年时间”，而福耀玻璃集团负责人曹德旺则认为“需要一两百年”。

无现金社会不是消灭现金的社会，而是以无现金为主流支付方式的社会。 它的内涵也很丰富。 无现金包括互联网支付、银行卡、二维码支付、NFC（近场支付）等多种支付工具的应用。 而支付宝则被全世界的歪果仁奉为中国21世纪新的“四大发明”。

就在5月12日，eWTP全球首条“数字之路”开通，支付宝正式登陆马来西亚便利店。 支付宝正在被越来越多的全球商户所接受，甚至被誉为中国21世纪的新“四大”。 发明”。

今天，我们的朋友圈、微博、新闻都被ONION和WNCRY勒索病毒刷屏，虚拟货币“比特币”再次进入大家的视野。 E Security小编甚至认为，有这样一种可能，这次全球黑客攻击是具有一定商业目的的比特币与现有电子支付系统的正面较量！

2107年4月，日本正式实施虚拟货币新规，明确规定比特币为合法支付方式。 近一个月以来，比特币币圈行情火爆，币值涨幅连连，尤其是最近一周，涨幅极为明显，一直居高不下。 这个现象至少在一定程度上支持了小编这个个人观点。

以下是E Security根据各家媒体报道、朋友圈、微博等消息整理出的关于此次勒索软件攻击的相关内容和防护建议。

图：NSA黑客武器携带的勒索软件感染

【黑色星期五】

5月12日，几乎同一时间，英国、意大利、俄罗斯等全球多国爆发勒索病毒攻击。 与此同时，我国一大批高校也受到严重感染。 不少师生的电脑文件被病毒加密，只有支付赎金才能恢复。 ONION、WNCRY等勒索软件在校园网迅速蔓延。

[严重性]

这次被黑产做成蠕虫病毒在内网传播比特币账号密码丢失如何寻找，危害极其可怕。 攻击规模涉及全球99个国家和地区，英国、美国、中国、俄罗斯、西班牙、意大利和台湾均有感染报告。 在攻击发生的前十个小时内，74 个国家/地区的至少 45,000 台计算机受到影响。 但是有一个国家又成功规避了风险……或许你也想到了比特币账号密码丢失如何寻找，没错，就是朝鲜。 至于原因，相信大家都心知肚明。 网友戏称：“这里的风景独一无二。”

外国的：

FedEx 和 Telefónica 等大公司以及英国国家医疗服务体系 (NHS) 都受到了严重影响。 许多NHS医院已经停止运营，X光机无法使用，化验报告和患者病历无法获取，连电话都难以接通。 伦敦、诺丁汉等地医院的IT系统已经瘫痪。

网络安全公司 Avast 表示，它在全球检测到 75,000 起 WannaCry 劫持事件。 庞大的规模让 Avast 的软件研究员 Jakub Kroustek 感到震惊。 目前，国内外高校、医院、加油站、机场等内网均有疫情爆发，甚至物理隔离的内网。

国内的：

ONION病毒最早出现在中国，平均每小时攻击200次左右，夜间高峰期每小时攻击超过1000次； WNCRY勒索病毒是5月12日下午新一轮全球性攻击，在中国校园网迅速传播。 扩散，夜间高峰期每小时约有4000次攻击。 目前，中国每天有超过5000台机器受到美国国家安全局“永恒之蓝”黑客武器的远程攻击，而教育网络是重灾区。

高校：

中国也有大量高校被感染。 不少师生的电脑文件被病毒加密，只有支付赎金才能恢复。 目前受影响的有：

贺州大学；

桂林电子科技大学；

桂林航天工业学院；

广西等地区的高校。

此外，有网友反映，大连海事大学和山东大学也遭到病毒攻击。

当前正值高校毕业季，勒索病毒导致部分应届毕业生的毕业论文被加密篡改。 这部分应届毕业生可能陷入“退学危机”。

加油站：

全国多地中石油加油站断网，加油卡无法使用。 疑似被勒索病毒攻击。 截至5月13日中午，估计中国有超过2万台机器被感染，全球有超过10万台机器被感染。

金融机构：

政府机构：

我国很多政府部门与教育网通信，部分政府机构也被勒索病毒感染。 有微博用户开始反映，北京、上海、江苏、天津等地的出入境、派出所等公安网络也疑似被病毒攻击。

安全专家发现，ONION勒索病毒还会与矿机（计算生成虚拟货币）、远程控制木马成组传播，形成集挖矿、远程控制、勒索为一体的木马病毒“大礼包”。 高性能服务器挖矿获利，普通电脑会加密文件敲诈勒索，将受害机器的经济价值最大化。

许多研究人员表示，此次突然爆发的攻击事件可能相互关联，但并不认为这是针对特定目标的有组织的攻击。

要点

1、中国：以教育行业相对薄弱的安全相关网站为突破口

教育网对445端口没有限制，暴露445端口的机器数量较多，因此成为不法分子利用NSA黑客武器进行攻击的重灾区。 正值高校毕业季，受害机磁盘文件会被篡改相应的后缀。 图片、文档、视频、压缩文件等资料无法正常打开。 只有支付赎金才能解密和恢复。 勒索病毒导致部分应届毕业生毕业论文被加密篡改，直接影响毕业答辩。

2. 不法分子利用NSA泄露的黑客武器发动攻击

校园网勒索病毒是由美国国家安全局泄露的“永恒之蓝”黑客武器传播的。 “永恒之蓝”可以远程攻击Windows 445端口（文件共享）。 如果系统没有安装今年3月份的微软补丁，则无需用户操作。 只要电脑开机并联网，《永恒之蓝》就可以在电脑上执行任意代码。 ，植入勒索软件等恶意程序。

3.利用Windows漏洞

针对被NSA黑客利用的Windows系统漏洞，微软已于今年3月发布补丁进行修复。此前，360安全中心还推出了“NSA武器库免疫工具”，可以检测并修复NSA漏洞一键黑客武器攻击； 对于XP、2003等已经停止更新的系统，免疫工具可以关闭漏洞端口，防止电脑被黑客攻击。 NSA 黑客武器植物勒索软件和其他恶意程序

一些专家表示，这次攻击可能利用了一个名为“EternalBlue”的漏洞

4. 本次事件中黑客使用的基于ONION和WNCRY的勒索软件

这两类勒索软件的勒索金额分别为5个比特币和300美元，分别折合人民币5万余元和2000余元。

五、勒索对象最新进展：以“洞”堵“洞”

据英国《卫报》报道，一位“意外英雄”发现了如何阻止勒索病毒WannaCry在全球范围内传播的方法。 他花了几美元注册了一个隐藏在 WannaCry 中的域名。

在安全公司 Proofpoint 的 Darien Huss 的帮助下，这位在 Twitter 上自称为@malwaretechblog 的英国安全研究员发现了隐藏在 WannaCry 中的“终止开关”。 这个开关被编码到 WannaCry 中。 如果恶意软件的创建者希望停止其传播，则可以激活该开关。

根据switch机制，恶意软件会向长域名发送请求，如果请求被响应，说明该域名已经在线，那么kill switch就会生效，恶意软件就会停止传播。

“我发现域名没有注册，我想，‘我可以试试看，’”研究人员说，他为该域名支付了 10.69 美元。 上线后，该域每秒收到数千个连接请求。

“他们今天获得了意想不到的英雄奖励。他们没有意识到的是，这将在减缓勒索软件的传播方面产生巨大的影响，”Proofpoint 的 Ryan Kalember 说。 感谢@malwaretechblog 注册了域名，欧洲和亚洲已经来不及帮忙了。 在这些地区，许多机构都受到了影响。

然而，这为美国用户争取了时间紧急修补他们的系统以避免感染。

同时，对于已经被勒索软件感染的电脑，这个kill switch也无济于事。 带有其他类型终止开关的恶意软件也有可能仍在传播。

一个名为 Shadow Brokers 的组织于 4 月 14 日公布了该恶意软件。该组织表示，去年它从美国国家安全局 (NSA) 窃取了一系列“信息战武器”。