WannaCry 的历史
NSA 在 WannaCry 攻击前几个月发现了 SMBv1 漏洞。然后,它开发了一种黑客手段来利用名为 EternalBlue 的系统,但没有告诉 Microsoft 它发现了这个漏洞。2017 年 4 月,Shadow Brokers 入侵了 NSA,窃取了 EternalBlue 的代码并将其发布给公众。虽然在 2017 年 5 月的攻击之前,互联网上流传了几个月的 WannaCry 版本,但网络犯罪分子使用 EternalBlue 使其更加危险。
谁创造了 WannaCry?
从来没有一个团体公开声称拥有 WannaCry 的所有权。然而,网络安全企业的研究人员发现,WannaCry 中使用的代码与 Lazarus Group(他们也称自己为和平卫士)以前使用的代码有相似之处。据信,该组织与朝鲜政府有联系,并对 2014 年索尼影业 的网络攻击负责,以回应索尼电影,该电影显示朝鲜独裁者金正恩被杀。
经过几个月的调查,美国政府正式指责朝鲜应对 WannaCry 攻击负责。朝鲜否认了所有指控。新西兰、日本和加拿大与美国一起指责朝鲜。后来,英国表示,美国的评估是正确的。
许多计算机研究专家和外国政府也批评 NSA(美国国家安全局)没有事先通知 Microsoft 它已经发现了 SBMv1 漏洞。许多人认为,美国国家安全局本可以悄悄地告诉 Microsoft 这个问题,而不公开。俄罗斯总统弗拉基米尔·普京(Vladimir Putin)直接将 WannaCry 病毒归咎于美国情报部门,因为它创造了 EternalBlue。
WannaCry 为何有效
WannaCry 之所以有效,是因为它依赖于几个关键因素:
许多企业使用较旧的、不受支持的 Windows 操作系统
每当新的 Microsoft 操作系统可用时,全球许多企业(尤其是发展中国家的企业)都买不起新软件。他们也买不起使用较新 Microsoft 操作系统的较新计算机。因此,全球许多计算机网络仍在使用带有 SBMv1 漏洞的 Microsoft 操作系统。因此,WannaCry 很容易在全球范围内感染计算机。
即使使用较新的操作系统,许多用户和企业也无法在 Microsoft 发布新补丁以修复漏洞时定期更新其系统
即使在拥有大型互联网安全运营的企业中也是如此。许多人以业务问题(例如网络停机或担心新补丁会导致其他软件无法使用)作为不下载补丁的原因。
许多企业不想花时间或花钱来创建其重要文档的安全备份
也许击败 WannaCry 等勒索软件的最好方法就是为最重要的文档建立一个安全的备份系统。不幸的是,许多受 WannaCry 影响的企业都没有这样做。他们不得不关闭业务的关键部分,在某些情况下包括关闭整个工厂,或者完全暂停生产几天。
影响
WannaCry 的影响是全球性的,而且相当大。根据不同研究小组的估计,在 150 个国家中,受感染的计算机数量在 200,000 至 250,000 之间。该病毒影响中国台湾、印度、乌克兰和俄罗斯,主要是因为它们使用的是较旧的 Microsoft 操作系统。由于防御措施,例如马库斯·哈钦斯(Marcus Hutchins)发现的终止开关,北美国家受到的影响较小。
也许受 WannaCry 病毒影响的最大机构是英格兰和苏格兰的国家卫生服务局。WannaCry 不仅影响计算机,还影响血液储存冰箱、手术室设备和 MRI 扫描仪。该病毒迫使 NHS 取消了数千次非紧急医院就诊,这使其损失了数百万英镑。
其他受到 WannaCry 打击的组织包括印度的警察局;希腊、加拿大和印度尼西亚的大学;俄罗斯、罗马尼亚和日本的汽车制造商;联邦快递;斯洛伐克和印度尼西亚的医院;葡萄牙和沙特阿拉伯的电信网络;俄罗斯铁路;甚至巴西的法院。这些只是受 WannaCry 影响的数百家企业和组织中的一小部分。虽然 WannaCry 仅要求支付 300 至 600 美元的小额赎金,但对企业造成的总体生产损失估计高达 40 亿美元。
防御性反应
毫无疑问,由于早期版本操作系统遭到攻击,Microsoft 在 Windows 10 和 Windows 11 中内置了反勒索软件工具。此工具称为受控文件夹访问,仅允许经过审查的应用程序下载到计算机上。
同样在最初的 WannaCry 攻击后的几天内,Microsoft 发布了补丁,以修复其较旧的,不受支持的操作系统中的此漏洞。虽然这对 Microsoft 来说是一个不寻常的步骤,但该企业认为有必要保护用户免受 WannaCry 的侵害。
许多人没有支付赎金。研究人员发现,WannaCry 病毒在完全准备好之前就已经释放了。因此,网络犯罪分子无法确定谁支付了赎金,也无法还原对加密文件的访问权限。此外,政府和执法机构意识到,向网络犯罪分子支付赎金只会鼓励他们制造更多的勒索软件攻击,而不能保证即使您支付了赎金也能取回数据。