3 天绑架了 20 万台电脑,但病毒背后的黑客只收到 5 万美元赎金 | 好奇心小数据_智能_好奇心日报

龚方毅2017-05-16 19:00:55

一台电脑 0.25 美元。

WannaCry 大概是目前最成功的计算机攻击了。

从上周五晚间出现,到本周一为止,至少有 150 个国家的超过 20 万台 Windows 计算机被锁住。

这种病毒具有自我复制机制,可以从一台被攻击的电脑传到另外一台电脑上,所有受到感染的电脑会被锁住。想重新使用电脑或者拿到里面的文件,需要向黑客支付价值 300 美元的比特币。

很多大型服务机构,比如学校、医疗系统都中了招。病毒最早集中爆发的地点是英国,当地卫生服务机构(NHS)电脑文件被锁住,被迫取消门诊预约、转移病人。

其他受害者还包括西班牙最大的电信运营商、俄罗斯内政处以及联邦快递(FedEx)等,他们的电脑文件都被加密无法获取。

在国内,诸多高校、中石油加油站、公安系统(包括派出所、出入境管理等)、公积金系统也都受到攻击,通过微博或者现场张贴告示的形式,请民众暂时不要前去办理业务。

图中红圈处即为感染 WannaCry 的计算机。

但黑客收到的赎金只有 5 万美元,平均每台电脑 0.25 美元

与执法机构合作追踪比特币交易的 Elliptic 公司表示,自从病毒爆发以来,黑客截止到本周一总共收到了大概价值 5 万美元的比特币。

总计 20 万台受感染电脑、5 万美元“赎金”,相当于黑客每感染一台电脑拿到 0.25 美元。

以及,收到的 5 万美元等值比特币,还没有美国加州旧金山地区程序员半年工资多。据 Glassdoor 统计,后者平均年薪约为 11 万美元、半年 5.5 万美元。

考虑到这位黑客一旦被抓可能要在监狱里待上很长时间,这个收入实在不令人羡慕。

思科 Talos 团队的网络安全研究员 Craig Williams 表示,从获取的赎金角度来看,这是一场灾难性的失败。

“哪怕是跟其他影响范围中小规模的勒索软件比,WannaCry 的‘利润率’都是最低的。” Craig Williams 说。

碍于比特币匿名、不容易追踪的问题,执法机构与 Elliptic 等公司合作,试图找出解决这个问题的方法。现在 Elliptic 通过跟踪比特币的地址尝试找到那些黑客。史密斯说,当黑客们试图提取比特币时,情况会变的明朗些。

“目前黑客还没有动过赎金。”史密斯说。

现在荷兰警方高科技犯罪部门、欧洲网络犯罪中心以及卡巴斯基和英特尔实验室共同发起 nomoreransom 项目,帮助人们在不支付赎金的情况下解锁电脑。

病毒的勒索手段很有力。目前被锁定的电脑不但不能使用,而且里面的数据也用不了。自攻击的 72 小时后,赎金将翻倍至 600 美元;七天后,被锁住的文件将被永久锁定。如果安全人员找不到解锁方法,文件需要很长时间才能解锁。

对于数据备份习惯不好的公司来说,长时间锁定数据的代价远远高于一台电脑 300 美元。

实际上越来越多的人也开始交赎金。“我们已经看到今天的支付数量开始上涨。”Elliptic 首席执行官詹姆斯·史密斯(James Smith)告诉 CNBC。

这几天交赎金的人怎么这么少?

付款缓慢的主要原因之一可能是因为很多人不知道如何获得和支付比特币。

根据 BitInfoChart 统计,现在全球大概已经挖出 1633 万枚比特币、存在 171 万个地址。

比特币的地址可以简单理解为是一种不需要实名登记的银行账户。

也就是说,全球最多只有 171 万人用过比特币。考虑到一个人可以持有多个账户,实际用过比特币的人会更少。

并且 56.2% 的账户拥有的比特币数量还不到 0.001 枚(12 人民币左右)。事件发生后,比特币的报价从 1830 美元/枚跌到 1665 美元/枚。

史密斯解释说,如果一家企业被告知需要支付这个数量的比特币,大多数时候会问“什么比特币?”

在大型企业或者机构,按照流程换一大笔比特币也是个问题。以及,设置比特币钱包和交帐户也需要一定的时间。

再遇到中国企业,比如中石油,可能还会问一句,“增值税发票有么。”

这些都是麻烦。所以尽管比特币有匿名特性,从技术上适合敲诈、勒索,但实现起来还是挺难的。

而了解比特币的人则会担心赎金支付了拿不到密钥。

网络安全公司 Check Point 星期天在一篇博文中说此次勒索的解密过程本身是有问题的:“跟其他勒索软件幕后黑手比,WannaCry 似乎并没有将付款与付款人的方式联系起来。大多数勒索者都会为每个受害者生成唯一的 ID 和比特币钱包,从而知道给谁发送什么样的解密密钥。但 WannaCry 只要求你付款……”

思科的团队则补充说到,他们发现一个受害人支付赎金 12 小时后还没收到解密密钥,“他们(黑客)没有准备好处理这个规模的爆发。”

Errata Security 的安全顾问 Rob Graham说,“他们只提供一个比特币地址,而不是为每个受害者提供一一对应的比特币地址,说明他们想问题很简单。”

技术人员进一步发现,支付赎金中界面的“查看付款”按钮实际上甚至不检查是否已发送任何比特币,让后来人几乎没有任何动机去付款。

最后还有一个原因是数据备份。此次病毒影响的是采用早期 Windows 操作系统的电脑。有现代 IT 部门的公司(遗憾的是很多公司没有),都不会在服务器上部署这些系统,并且会备份数据。

这意味着有些公司只需要给员工换一台电脑,就能保证工作正常进行。虽然会有所不便,但并不致命。而且今天很多笔记本电脑采购价并不比 600 美元赎金更贵。

虽然黑客没赚多少钱,但损失还是很大

网络安全机构 Cyence 告诉 CBS 新闻,根据他们预测模型,WannaCry 预计在全球造成约 40 亿美元损失。还有其它一些机构声称损失可能控制在“上亿美元规模”。

这个厉害的病毒利用了微软 Windows 系统的一个漏洞,它浮出水面可以追溯到 ShadowBrokers 去年 8 月攻破美国国家安全局(NSA)的一个分支 Equation Group。NSA 平时使用的网络武器、源代码等资料遭到泄露。

它们曾分别在 Github 和 Tumblr 开设账号分享文件和事情进展,但目前均无法访问。当时 ShadowBrokers 只提供了 60% 的泄漏数据,剩余数据将以拍卖的形式公布,要价一百万枚比特币(按当时价格计算约合 5.68 亿美元)。

泄露的数据大部分是安装脚本、配置文件以及命令和控制服务器,以及专门用来破解思科、Juniper 等美国企业防火墙的工具。工具包里就有这次 WannaCry 攻击用到的“永恒之蓝”。

截图是部分受威胁的中国 IP。

但那次拍卖并不成功。一个说法是他们只收到 2 枚比特币。过了两个月 ShadowBrokers 发起第二波拍卖,“只要” 10000 枚比特币,不过还是没人买;最后又转到 ZeroNet 平台销售部分黑客工具,遇到的是一样的结局。

借着对特朗普执政表达不满,ShadowBrokers 在一篇致特朗普的公开信结尾,公布了文件密码。

跟此次 WannaCry 病毒前后有关联的数起事件

2001

被称为“永恒之蓝”(EternalBlue)的漏洞首次出现在 Windows XP 中,并且自此以后存在每一版 Windows 中;

2001-2015 

美国国家安全局在某个时间发现这一漏洞,不清楚他们是否使用该漏洞(发起攻击);

2016.08

一个名为 “ShadowBrokers” 的小组声明黑了美国国家安全局,取得相关资料和入侵工具;

2017.01

ShadowBrokers 出售盗取的 Windows 漏洞,包括 SMB 零日漏洞。这可能就是 WannaCry 中使用的“永恒之蓝”;

2017.03

微软悄然修复一批漏洞,包括“永恒之蓝”。但微软没有对谁表示感谢。可能是美国国家安全局提醒了它们;

2017.04

ShadowBrokers 发布一批新漏洞,包括“永恒之蓝”,可能是微软已经修复该漏洞的关系,大大降低零日漏洞攻击的价值;

201705

基于“永恒之蓝”的 WannaCry 发布,并被传播到大约 20 万台计算机。

回过头看,整件事始于美国的情报机构攒了许多漏洞、开发了一系列攻击工具,准备在关键时刻攻击其它国家或者组织的计算机基础设施。

结果还没到政府想用的时候,它就被人偷了、用于勒索式的攻击。

事件发生后,微软称自己已经在一个多月前修复了最新 Windows 系统的漏洞,只是很多电脑没有更新所以被攻破。随后,微软在一篇博文里指责是政府囤积漏洞结果对其失去控制,导致这次重大的网络安全事故。

此次事件再次说明了计算机基础设施的脆弱,以及政府幻想给“好人”留个后门是多么危险的一件事。这也是为什么去年苹果公开抵抗政府在 iOS 系统留后门的要求之后,美国所有大科技公司都去支持它。

今年 3 月,微软按照中国要求,完成中国政府定制版 Win 10 开发,原因是中国担心微软零售版操作系统可能隐藏“后门”。至于具体做了什么改动,微软也没说。

总之,只要漏洞存在就有危险,不管它当初是为谁留的。


制图:冯秀霞


题图/卡巴斯基

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。