触目惊心的危机：不得不了解勒索软件的那些事

5月12日是汶川地震九周年，而在这一天，发生了一件影响全世界的大事——全世界都遭受了勒索病毒的攻击，我国的校园网络也未能幸免。 一些高校电脑中毒，一些学生的毕业论文被病毒加密，需要支付高额赎金才能恢复。 这没什么大不了的，中石油两万个加油站断网，英国公共卫生系统国民健康服务（NHS），印尼几家医院，美国联邦快递，西班牙西班牙电信，日产汽车法国雷诺公司和雷诺公司的工厂等遭受严重袭击，NHS救护车暂时无法工作。 勒索病毒的爆发及其严重后果让我们再次看到，当今的互联网及其先进的网络技术是一把双刃剑，巨大利益的背后也隐藏着巨大的危机。 下面就让我们通过此次勒索病毒攻击的特点以及背后的相关知识点来揭秘互联网背后隐藏着怎样的巨大危机？

此勒索软件攻击的特点：

Windows 操作系统，尤其是 Windows 7 和 Windows 2008 服务器，通常会被感染，因为 Windows MS17-010 相关漏洞被利用：

影响非常大，影响了150个国家，内网也受到了攻击。 关键是要利用美国国家安全局（NSA）泄露的工具的力量；

这次病毒完美利用了“去中心化”的“暗网”和比特币的监管漏洞。 追踪溯源非常困难，导致病毒作者可以肆无忌惮地释放和传播蠕虫，肆无忌惮地收取赎金；

勒索病毒机制通过网络密钥加密来伪装和自我保护，采用主动加密、过期删除等破坏性手段，采用邮件钓鱼、水坑钓鱼等攻击方式，直接威胁内网和隔离网络中的主机，让杀毒软件无能为力。

下面我们就来看看Windows操作系统的安全漏洞、美国国家安全局（NSA）的泄露工具、暗网、比特币、水坑木马等，让大家了解我们的网络环境。 敬畏互联网，更好地保护自己（最后附上“勒索病毒”应急对策）。

1.Windows安全漏洞

Windows可以说是最不安全的系统，但是国内很多单位还是愿意使用Windows操作系统，包括使用Windows作为服务器。 真不知道他们的IT领导是怎么想的？ Windows 不仅不安全，而且还需要购买许可证，为什么不使用更安全、开源的 Linux 呢？ 是因为盗版和使用Windows的习惯，对应的是“出来混的，迟早要还的”？ 还是缺乏Linux服务器管理能力或人才？ 有证据表明 Windows 是最不安全的系统。 2016 年，微软发布了超过 155 个安全公告，而 2017 年，已经发布了 23 个公告。

如果你熟悉Windows操作系统并且愿意使用它，确实没有什么问题，那就老老实实关注微软的安全公告，及时更新补丁，才不会遭此劫难。 MS17-010安全公告2个月前就发布了，还被标记为“严重”，为什么没有及时更新补丁，或者没有屏蔽445端口的外部访问呢？

其实早在2017年2月，人们就发现Windows SMBv3存在远程攻击0day漏洞。 攻击者可以冒充SMB服务器，诱导客户端发起SMB请求，从而触发该漏洞。 攻击者还可以通过中间人“毒化”SMB 响应，插入恶意 SMB 响应以实现拒绝服务。

2. NSA泄露的工具

今年4月14日，一个名为“Shadow Brokers”的黑客组织曾进入NSA网络，曝光了该机构的一批档案，同时公开了其“Formula Hacking Group”使用的部分网络武器（包括23 种黑客工具），包括可以远程破坏全球大约 70% 的 Windows 系统的漏洞利用工具。 这些漏洞利用工具主要包括：

充分说明445端口是非常不安全的。 这些漏洞利用工具甚至不需要用户进行任何操作，只要连接到互联网，它们就可以进行远程攻击。 像多年前的Shockwave、Sasser、Conficker等蠕虫，可以瞬间洗刷互联网，并可能被用来攻击全球银行系统。

事实上，早在去年（2016年8月13日），“影子中介”就通过社交平台声称打入了NSA的网络“军队”——“公式组织”，并泄露了其部分黑客工具和数据. 该黑客组织试图在网上销售这些武器收到比特币威胁邮件,真的有记录吗，但没有成功。 据报道，该黑客组织曾声称，如果他们收到 100 万个比特币（总价值约 5.68 亿美元），他们将公开所有工具和数据。

3.暗网

广义上的“暗网”是指那些不能被搜索引擎收录，处于搜索引擎盲区的网站，即所有具有非公开访问机制的网站（如微博），甚至一个只有注册才能访问的小论坛——它们都是“暗网”的一部分。 与“暗网”相对应的是“明网”，又称表层网（Surface Web）。 有学术机构计算过“暗网”和“明网”所含数据的比例，结果显示，“暗网”的数据存量是“明网”的100倍，增长速度更快.

这里所说的“暗网”特指那些敏感的“暗网”——故意隐瞒信息和身份，将在大多数国家属于非法的业务转移到互联网上正常运作，奉行和捍卫无政府主义。

在美剧《纸牌屋》第二季中，女记者佐伊被男主角弗兰克杀害。 她的男朋友卢卡斯为了调查已成为副总裁的弗兰克收到比特币威胁邮件,真的有记录吗，使用了一种名为 Tor 的工具访问“暗网”。 ”，寻找黑客帮助挖掘弗兰克不为人知的秘密，这个过程是在“暗网”中完成的。

说到“暗网”，就不得不提Tor。 Tor引入了P2P分布式机制，将每个安装了Tor的用户电脑变成一个加密的中继连接。 当用户访问基于Tor的“暗网”时，其路径会随机经过多个中继连接。 并且每次更改时，中继或服务器都无法获知完整的连接踪迹。

2004年，美国海军研究实验室陷入财政拮据的状态，它削减了对开源Tor的资助。 一个名为电子前沿基金会（EFF，Electronic Frontier Foundation）的知名自由意志主义网络组织接手了 Tor 的后续开发和支持。 但是今天，美国政府和 EFF 都无法控制 Tor 的发展。 分布在世界各地的中继节点使 Tor 完全去中心化。 每年有近 5000 万人下载 Tor。 就连 Tor 的发明者也承认，我“没有能力摧毁 Tor”。 与此同时，Tor 的使用也逐渐变得极其多样化。 有人在上面买卖毒品，有人经常泄露政府机密文件，甚至制造炸弹的材料和知识都可以轻而易举地获得……这就是“暗网”的意思。 潜在的巨大危机。

4. 比特币

比特币（BitCoin）是一种P2P形式的数字货币。 P2P点对点传输是一种去中心化的支付系统，类似于“暗网”与Tor融合形成的黑色力量，任何个人或组织都无法控制。 其概念最早由中本聪于2009年提出，根据中本聪的想法，设计并发布开源软件，并在其上构建P2P网络。

与大多数货币不同，比特币不依赖于特定的货币机构来发行。 它是根据特定算法通过大量计算生成的。 比特币经济在整个 P2P 网络中使用由众多节点组成的分布式数据库来确认和记录所有交易。 并采用密码学的设计，保证货币流通各个环节的安全。 P2P 的去中心化特性和算法本身可以保证不能通过大量生产比特币来人为操纵货币的价值。 基于密码学的设计使得比特币只能由真正的所有者转移或支付，这也保证了货币所有权和流通交易的匿名性。

5.水坑挂马

在讨论“水坑攻击”之前，先介绍一下APT（Advanced Persistent Threat，高级持续威胁）。 APT利用先进的攻击手段锁定特定目标，进行长期、持续的网络攻击，绕过传统的基于代码的安全解决方案（如杀毒软件、防火墙、IPS等），潜伏在系统中进行一段长时间的网络攻击。很久。 传统的防御系统很难被发现。 攻击者将“受控主机”当作跳板，可以在用户环境中潜伏一年或更长时间，不断搜索，直至完全掌握目标的各种信息。 例如，攻击者可以建立类似于僵尸网络的远程控制框架，并定期将具有潜在价值的文件的副本传输到命令和控制服务器（C&C Server）以供审查。 过滤后的敏感和机密数据以加密方式传输。 APT的主要攻击方式或特点有：

水坑攻击的典型例子是木马病毒OceanLotus，它有100多个特殊木马样本，感染者遍布全国及境外36个国家。 为了隐瞒行踪，海莲花组织先后在6个国家注册了35个C&C（命令与控制）服务器域名和19个IP地址，分布在全球13多个不同的国家。 2014年2月之后，海莲花进入活跃攻击期，并于2014年5月发起了最大规模的鱼叉攻击，大量受害者通过打开带毒邮件附件感染特殊木马。 2014年5月、2014年9月、2015年1月，该组织先后对多家政府机构、科研院所、涉外企业网站进行篡改挂马，发起多轮针对性网络攻击。 坑攻击。

海莲花专用木马利用文件伪装、随机加密、自毁等一系列复杂的攻击技术对抗安全软件，大大增加了查杀难度。 2014年11月以后，海莲花专用木马开始使用云控技术，大大增加了攻击的危险性和不确定性，增加了木马的查杀难度。

附：“勒索病毒”应急对策

1、暂时关闭端口。

2、及时更新已发布的Windows安全补丁。 MS17-010漏洞在3月份首次曝光时，微软已经为Win7、Win10等系统提供了安全更新； 事件爆发后，微软也迅速发布了Windows XP等尚未提供官方支持的系统。 特殊补丁。

3.随时备份。 必须经常备份重要数据以防止数据丢失。