下拉查看目录

第二波勒索攻击启动和 'Accidental hero' 意外关闭了第一波勒索病毒

2017-05-15 frank 学习学习再学习 学习学习再学习

这是我们的一个技术(天天用英语团队的技术)写的文章,竟然妙趣横生,竟然比 Guardian 那篇“’Accidental hero’ halts ransomware attack and warns: this is not over”更好玩,因为还有作者自己的一点“实证参与”……

我从来都认为任何人都能写出好文章的 —— 只要有料。没有料,文笔再好也没啥用处;有料,根本用不上文笔…… (虽然说,文笔这个东西也是很有用处的罢。)

我看了两遍,找 Frank,让他开通了白名单,转载到这里。


大家知道吗?前几天刷屏的勒索病毒被一个英国的安全研究员意外的关闭了。
大致上相当于一个原子弹被一个普通人用10块钱的扳子给拆除了,真是个有趣的故事。不过病毒的制造者也发现病毒被关闭了,攻击者已经释放了新的版本,并在扩散中。

先来个斯诺登的推特,交代一下背景。

当NSA(National Security Agency,美国国家安全局)“帮助下”研发的勒索软件吞噬互联网的时候,反而是民间的一个研究员关掉了开关,而不是国家机构。
— 斯诺登

斯诺登提到的NSA是美国的国家安全局。NSA除了保护美国的网络之外,还会研发一些网络攻击武器,用来进行网络军事战争和从事间谍活动。

在 2017年4月初,一个专门贩卖这种国家级攻击武器的黑客(ShadowBroker)释放了一个武器库。这个武器库是NSA下最厉害的黑客组织 Equation Group 的内部工具,ShadowBroker 拿(黑吃黑)到后,将它分为两个部分,一部分不加密公开,另一部分加密后公开,并售价100亿人民币(是的你没看错,购买的肯定是国家级的客户了)。 下图是当时的国内新闻:

这次勒索病毒就是利用了其中不加密部分的一个工具,这个工具叫做“永恒之蓝”,永恒之蓝仅仅是 ShadowBroker 为了出售100亿的武器而放出的几十个例子中的一个。

不能想象这个价值100亿的武器会厉害成什么样子(导致全国电网自毁,电脑自毁??)。

勒索病毒的制作者非常迅速的利用到这个工具,赶在缺陷厂商打补丁之前制作出了这个病毒。然后就是我们看到的病毒的大规模传播了。

交代完背景,然后有意思的事情开始了。 在各国的安全情报部门都在战斗状态处理这次网络安全危机的时候,一个英国22岁的民间网络安全研究员也注意到了这个刷屏的病毒。

休息了几天的他,开始工作了,于是找到样本开始分析这个病毒。他搭建了一个虚拟机环境来体验病毒,发现病毒每次启动的时候,都会去请求一个叫“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”的网站,可能是出于职业直觉,他觉得这个网址有可能是黑客用来统计僵尸网络的感染情况用的,但是这个域名没有被注册,他就去自己买下了这个域名(10美元一年)。


购买日期是2017-5-12

购买完后,也没有什么发生,因为域名生效有延迟,病毒没有发生变化。一段时间后他发现这个域名的服务器开始有大量的网络请求,由于他希望记录下僵尸网络都在发送些什么数据给这个服务器,就开始去优化这个服务器去了。

他用这个 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的服务器收集到了很多数据,并做成了一个我们新闻里常看到的图片。可见到这时候,他还是在想着监控这个网络的感染情况,没有开始处理病毒呢。这都火烧连营了,他还在看火势呢,而且折腾这个图也挺花时间的吧大哥。

万万没想到的是,正是这个意外终止了病毒的传播。

过了一会另一个分析员好友告诉他,“好像你把病毒给关了”。

@MalwareTech就是22岁的英国人

第一个推特显示,有人告诉他注册这个域名停止了感染,他想确认一下。第二个推特他发现是自己关掉了病毒,并坦白不知道注册域名可以停止感染,所以纯属意外(被赞了6912次)。

后来他的这个好友逆向(病毒的二进制代码编程源代码)了病毒样本。

发现病毒的逻辑是:

  • 病毒程序启动。
  • 寻找 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 有返回就关闭,否则继续
  • 拼命感染互联网和局域网的机器,并加密你的数据文件

这个22岁的年轻人非常坦诚,说这只是意外,而且也只是匿名的接受了新闻采访。

所以这就是第一波病毒攻击被关闭的故事了。

然后5月15日晚9点,他收到了一个邮件。

他说有人试图偷走这个 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的域名。然后非常多的人开始推测攻击来自中国了。。。。

当我点开一看

我的天,这是我之前工作的公司(DNSPOD)发出的域名找回邮件。我很了解啥时候会发出这个邮件。看到邮件后分析了一下,推测这个邮件应该是一个用户“Accidental,意外的”触发的。这个用户应该是个DNSPOD的新用户,想起到类似 @MalwareTech 一样劫持(或者这些黑客说叫sinkhole)这个www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com网址的目的,但是乱点了按钮。因为仅仅是在DNDPOD发送找回域名的请求,是不能修改记录的,他必须先黑掉域名的注册商。于是我判断这个是用户的 Accidental action,真正的黑客应该不会这么天真,在一个实名制的网站里试图找回一个不可能找回的域名(要先黑namecheap)。

于是我给他提供了一些细节,说明了为什么会有这个邮件。


右边的猫是我。。。

交流了一些后,我估计@MalwareTech 应该懂了,不会觉得那个邮件来是来自病毒作者了。

但是我一直很纳闷的是,黑客的中文为什么这么好。。。

中文的版本里第一句说:“我以人格担保,能够提供安全有效的恢复服务”。我怎么觉得这句话是中国人写的呢。英文版里就没有这个幽默的表达。

接下来的故事是,第二波攻击启动了。

因为黑客发现了这个病毒被人关闭了。还被人嘲笑太业余。


黑客此时的心情

于是他放出了新的版本,目前的变异版本是改变了域名的版本。所以威胁继续存在请注意防范。这个不是谣言,已经发现了多个变异的样本了。

@MalwareTech 把第一波攻击给有效的停止,给了世界上的机构和用户更多的时间升级,有效的打击了病毒,真是太酷啦。

周一如果你的电脑是在局域网(校园,单位)的话,请按照这个方法安全开机:(针对的是非windows 10 的几乎所有windows xp以上版本。没有mac和linux被报道中毒)

方法 1:

  1. 如果你的电脑在单位局域网的话,拔网线,不要联网启动。
  2. 找到网络管理员,或者可以完全启动电脑并联网的人(通常他们的系统是mac,linux,window 10),下载 http://dl.360safe.com/setup_jiuzai.exe (360的工具)或者 http://guanjia.qq.com/wannacry/ (腾讯的工具)这个软件到你的u盘。
  3. 使用u盘,运行这个软件,等待修复完毕。

如果上述办法中的2无法完成,那么需要自救:

方法 2:

  1. 如果你的电脑在单位局域网的话,拔网线,不联网启动电脑。
  2. 立即关闭Windows系统的445端口:打开控制面板——网络和共享中心——更改适配器设置——右键点击正在使用的网卡然后点击属性——取消勾选Microsoft网络文件和打印机共享——确定。(如下图)
  3. 重启电脑,后插上网线。
  4. 下载 http://dl.360safe.com/setup_jiuzai.exe 或者 http://guanjia.qq.com/wannacry/ (腾讯的工具)

备注

  • 个人和单位的重要的文件不应该被单独存储,应该多在云上备份,这是防止一切病毒的方法。Google和苹果的文件存储服务是军事级别的安全。
  • 从这里我们可以看出国家级的网络安全武器库是多么危险(黑市价值100亿),如果不是这种恶性事件公众很难想象什么是网络攻击和网络监控。
  • 我之前写过一个关于网络安全(domain的单词表)和网络攻击的文章(cyber的单词表,里面提到特朗普的网络安全议题,特朗普在2天前签字了。文章里的游戏下架了,很抱歉),可以复习一下。
  • 盗版软件很危险,尽量正版。个人手机不要root和越狱,现在放出的这些武器都是过时的武器,新式武器会针对手机。
  • 愚人节我发过一个帮你背单词的枕头的文章,那个是愚人节活动,为了专业点,我没有回复大家很抱歉。。。。。。。

内容转载自公众号

单词机器人服务号
单词机器人服务号
了解更多

评论