6.1了解病毒
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中有明确的定义。病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并目能够自我复制的一组计算机指令或者程序代码”。
计算机病毒与医学上的“病毒”不同,计算机病毒不是天然存在的,是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介质(或程序)里,条2时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中而感染其他程序,对计算机资源进行破坏。病毒是人为造成的,对其他用户的危害很大。
6.1.1 病毒案例
WannaCry,又叫Wanna Decryptor,是一种“蠕虫式”的勒索病毒软件,大小为3.3MB,由不法分子利用NSA(National SecurityAgency,美国国家安全局)泄露的危险漏洞EternalBlue(永恒之蓝)进行传播。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。WannaCry勒索病毒全球大爆发后,至少150个国家的30万名用户中招,造成损失达80亿美元,已经影响到金融、能源、医疗等众多行业,导致严重的管理危机。中国的部分Windows操作系统用户受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
WannaCry主要利用微软Windows系统的漏洞获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会在资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码WNcry@2ol7解密并释放文件。这些文件包含后续弹出勒索框的exe、桌面背景图片的bmp、各国语言的勒索字体、辅助攻击的两个exe文件。这些文件会释放到本地目录,并设置为隐藏。
“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称。“永恒之蓝”是指NSA泄露的危险漏洞EternalBlue,此次的勒索病毒WannaCry是利用该漏洞进行传播的。当然其他病毒也可能通过“永恒之蓝”漏洞传播,因此给系统打补丁是必须的。
2017年5月13日晚间,一名英国研究员于无意间发现了WannaCry隐藏开关(Kill Switch)域名,意外地遏制了病毒的进一步大规模扩散。
2017年5月14日,监测发现WannaCry勒索病毒出现了变种WannaCry 2.0。与之前版本不同这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播。该变种传播速度可能会更快。
2017年6月28日凌晨,一个全新的勒索病毒在全世界迅速流行,很多知名的大公司不幸中招,可以看作是WannaCry的高级进化版,被命名为Petya。
Petya的开发者比WannaCry更专业,更细致,更懂防护系统实践,有着更丰富的对抗经验。 Penya加密的是整个NTFS分区,加密文件后直接重启,彻底断绝了“本机急救、尽力恢复”的可能。Penya没有试验开关,付款后台也很稳固,并且采用钓鱼攻击,对企业内网的危害更大。