黑手 勒索病毒软件幕后黑客已收到8个比特币
据英国《卫报》报道,调查这起网络攻击事件的专家表示,至于上周六晚上9点半,幕后的犯罪分子似乎仅勒索到了价值约2万美元的比特币。
调查涉及比特币非法活动的公司Elliptic的联合创始人罗宾逊表示,至少有三个比特币地址被确定与周五全球网络攻击事件使用的恶意软件相关联。
罗宾逊称:“目前,所有努力都集中于获取相关的恶意软件并让受影响的计算系统重新启动和运行。在识别攻击者方面,我们现在发现上述比特币地址已经收到大约2万美元的赎金。”
他指出:“这个恶意软件实际上有两个版本,其中一个出现在今年4月份,我们已经确定了一个与之相关的比特币地址;第二个版本出现在周五,我们已经确定了与之相关联的三个比特币地址。”
他表示:“迄今为止这三个地址已经收到8个比特币,价值约为14000美元,所有这些比特币仍然留在这些地址之内。勒索者没有转移任何资金,所以还没有机会追踪他们。”
正当人们为病毒软件焦头烂额之时,勒索软件的主谋似乎在网上出现了。在社交软件上,一个帐名为SpamTech的用户称,肆虐全球的勒索软件作者是他们团队一名成员开发的。而团队已经攻下了NHS的电脑和主要的工程系统运行模块。目前还尚不能确定这个SpamTech的真实性。
意外英雄
英国程序员小哥随手注册域名阻截病毒
当病毒大规模爆发后,世界各国的安全人员,立马开始了对病毒样本的分析。这其中,就有一个英国安全人员,他分析了病毒的代码,发现在代码的一开始,有一个特殊的域名地址。同时,地球另一端思科的网络安全人员也发现了这个域名。通过分析他们发现,在12日以前,网络上完全没有针对这个域名的访问。而12日开始,这个域名的访问量激增,峰值达到了每小时1400多次。发现这个域名之后,这个英国网络安全小哥照例搜索了一下,发现那个域名地址并没有被注册。
出于职业习惯,他花了很少的钱,把这个域名注册了。
事后才发现,他当时这随手的一注册,简直立了大功。
随着对病毒代码的进一步分析,安全人员发现,这个域名,看起来像是病毒作者给自己留的一个紧急停止开关。
也就是说,每一个感染了病毒的机器,在发作之前都会事先访问一下这个域名,如果这个域名依旧不存在,那就继续传播;如果已经被人注册了,无论是被病毒作者本身还是被其他人,那就停止传播。
这位英国程序员小哥万万没想到,自己随手一注册,触发了病毒作者留下的紧急停止的开关。
事后,小哥自己在社交网站上自嘲道:“所以以后我简历上大概可以加一句‘一不小心阻止了一场全球性的网络攻击”。
提高警惕
病毒的攻击高峰期至少还有一周
根据360威胁情报中心发布的最新报告显示,国内至少已经有29372家机构组织的数十万台机器感染病毒,被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。
从行业分布来看,教育科研机构成为最大的重灾区。共有4316个教育机构IP被发现感染勒索蠕虫,占比为14.7%;其次是生活服务类机构,3302个,占比11.2%;商业中心(办公楼、写字楼、购物中心等)3014个,占比10.3%,交通运输2686个,占比9.1%。另有1053个事业单位及社会团体,706个医疗卫生机构、422个企业的IP都被发现感染了勒索蠕虫。
金山安全专家李铁军告诉记者,相对于互联网企业,教育机构对网络系统的综合管理水平普遍较低,缺乏专职安全管理人员,加之盗版软件普遍,教育机构成为此次病毒攻击的“重灾区”。不过他认为,普通家庭用户并不用过分担心,因为家庭用户的网络并没有服务器,并且家庭用户使用的路由器会隔绝外界的访问,“只要及时更新系统补丁,电脑基本上没有被入侵的可能。”
郑文彬则坦言,目前对于这种病毒还没有什么出现完美的解决办法。“如果资料实在特别重要,按照勒索病毒的要求交钱也是挽回文件的方式之一。”
虽然目前已经不少电脑中毒,但郑文彬预计病毒在国内的爆发仍将继续,本周仍然是企业办公电脑的“危险期”。
“周一又会有很多办公电脑重新开工,估计又会出现一轮爆发的情况,但是未来随着大家都开始给电脑打补丁、用工具杀毒,这种病毒的影响会逐步减弱。”
华西都市报-封面新闻记者杨尚智
综合新华社、《参考消息》等
原标题:“勒索病毒”变种来袭
