英媒称“想哭”病毒令美国安局声誉扫地 微软或成最大受益者

参考消息网5月21日报道 英媒称，“想哭”勒索病毒令英国国家医疗服务体系、西班牙电话公司和美国国家安全局（NSA）等机构声誉扫地。而这一病毒软件可能在一定程度上是由美国国家安全局开发的。但是，有一家公司可能受益于这次攻击。

据英国《金融时报》网站5月19日报道，被攻击操作系统的所有者微软，本来得花数百万美元才能得到同样有效的宣传。诚然，20万台搭载Windows操作系统的计算机受到了攻击，硬盘被加密，计算机屏幕上出现了索要比特币赎金的信息。但是，这家世界最大软件制造商却抓住了有利的一面。

报道称，微软总裁、法律总顾问布拉德·史密斯不但借此机会告诉用户更新软件，而且还朝国家安全局和政府开了火。多家科技公司在隐私和安全问题上跟政府缠斗不休，这是微软在呼唤一项高尚使命的同时追逐利益的一次神来之笔。

它借助了一个花招。Windows仍是90%的个人电脑的核心部分，并在多年来已被证明在许多攻击面前脆弱不堪。但有一点事实：此事表明，政府更热衷于攻击敌人，而不是保护本国公民。而公民并不擅长保护自己。

报道称，微软的明显优势在于，它已准备好了：它在3月为“想哭”漏洞制作了一个补丁，并将其推送给数百万台计算机。在被打个措手不及的人当中，许多仍在使用Windows XP系统——这个版本推出于2001年，正日益老化。

当时的微软处于一段黑暗时期，它不断推出包括Windows 98和Windows XP在内的Windows版本。这些版本充满了新功能，但缺乏基本的可靠性和安全性。2002年，微软创始人比尔·盖茨不得不写下了他的“可信计算”备忘录，承诺未来会表现得更好。在很大程度上，微软做到了。微软最近版本的操作系统（如Windows 7或8）的任何用户，都可以通过保持更新来保护自己。互联网使黑客更易于扫描电脑，同时也使用户更容易保卫自己——企业至少能针对任何已知漏洞给电脑打上补丁。

剩下的挑战是，Windows有一条长尾巴——有些电脑仍在运行旧版操作系统，因为更新要么太昂贵，要么太难。后者更常见：公司运行定制软件，这些软件不容易与新版Windows兼容。人们心里总是存在让事情保持原样的诱惑。

微软需要激励那7%仍运行XP的用户把电脑升级到新版，并鼓励所有用户都保持最新状态。这就是“想哭”攻击，以及这可能只是一连串类似攻击中的第一次这一事实，提供的机会。

坚持使用旧版软件的习惯也许很难克服，但当机器停止工作，会带来大得多的痛苦。“掌握像保持电脑最新和给电脑打补丁这样的IT基础知识，是每个人的高度责任，”史密斯警告称。换言之，坚持更新Windows软件是每个人的公共义务。

报道称，微软和其他技术公司的第二个优势在于，此事为抵制来自政府的仅为官员放松安全措施的压力，提供了一个很好的理由。英国政府是反对加密数据不可破解的政府之一。数据加密保证了移动和桌面设备发送的消息的私密性。

政府经常要求，应在软件中置入“后门”，以便他们读取比如恐怖分子之间的通信等内容。但是，除非他们能保证这种技术的安全，并且不会泄露，否则这也将导致其他人用它胡作非为。

报道称，实际上，美国国家安全局在保密方面做得很糟糕。“想哭”病毒传播速度很快，因为它与一种名为“永恒之蓝”的蠕虫捆绑在了一起。这种蠕虫被认为是美国国家安全局为了自己的目的而开发出来的。去年，在一位国家安全局合同工因窃取数据而被捕后，这种蠕虫和其他工具外泄。

明显由美国国家安全局某团队研发的“永恒之蓝”等工具，在黑市上被另一个名为“影子经纪人”的组织兜售。黑帮团伙如今可以购买来自政府机构的软件来部署犯罪活动。

报道称，这是一场实力悬殊的竞赛。由心意坚决的黑客组成的流动性组织带着从情报机构意外获得的支持，与官僚化的企业和资金不足的公共部门机构的技术部门展开较量。

当医院的手术被取消、医疗扫描仪出现故障时，所有政府都不得不扪心自问。很多政府假设自己的机构可以在毫无风险的情况下打击别人，但公民已经开始承受附带损害了。

美国、俄罗斯、中国以及其他国家达成协议限制本国网络攻击——微软称之为“数字日内瓦公约”——的概率微乎其微。战略与国际问题研究中心的詹姆斯·安德鲁·刘易斯严肃地表示，这将“非常难以谈判”。

报道称，但无论是政府、企业还是个人，所有人都需要为保护社会付出更多努力。这恰好符合微软的诉求，但这也是事实。

美媒称勒索软件攻击暴露中国网络风险：盗版软件存隐患

参考消息网5月17日报道 美媒称，作为世界上互联网用户最多的国家，中国网络技术行业兴旺繁荣，但软件盗版情况猖獗。当其近日急着从一场全球性的黑客袭击中恢复时，依赖盗版软件产生的风险变得明晰起来。

据美国《纽约时报》网站5月16日报道，芬兰网络安全公司F-Secure的研究人员认为，中国有大量电脑运行的是盗版的Windows软件，这或许为所谓的勒索软件入侵打开了方便之门。因为盗版软件通常没有在开发者那里注册，用户往往会错过安装可以抵御袭击的重要安全补丁。目前并不清楚遭该勒索软件入侵的中国企业与机构是否在使用盗版软件，但大学、地方政府和国营企业可能有依赖盗版Windows的电脑网络。

报道称，多年来，微软等西方企业一直抱怨许多国家普遍使用盗版软件，这些国家在这次袭击中损失尤其严重。软件供应商同业公会BSA去年进行的一项研究发现，2015年中国的计算机上安装的软件有70%没有获得正当授权。在俄罗斯这个比例为64%，印度紧随其后为58%。

在中国杭州学习网络工程的朱焕杰将这次袭击的大面积传播归因于许多问题，其中包括学校的网络缺乏安全保障。他表示，盗版也是一个因素。他说很多用户之所以不更新软件以获得最新的安全保障，是因为他们担心自己的盗版软件会遭破坏或无法使用，而大学提供的只有更老的盗版。

“目前大多数的学校，全部都是用盗版软件的，包括操作系统和专业软件，”他说，“在中国，大部分人用的Windows都是盗版的，这就是一个现状吧。”

15日，中国的一些机构还在清理因这次袭击而瘫痪的系统。清华等知名研究机构受到影响，中国电信和海南航空等大公司也是如此。警察局和当地的派出所报告了社交媒体上的问题，大学生表示自己无法登录电脑准备期末论文，国有石油巨头中石油运营的加油站的电子支付系统中断。据报道，中国总计有大约3万家机构受到影响，另据中国安全公司奇虎360报告，有超过2.9万个IP被感染。

为企业提供网络安全建议的Archefact Group公司创始人托马斯·帕朗蒂表示，使用拷贝软件及其他媒介已经在中国的计算机文化中扎根。他提到，有些人以为在中国使用盗版软件是合法的，有些人则只是不习惯为软件付费。

帕朗蒂举了他在一个美国客户的北京办公室工作时碰到的例子，“结果证明那里每台电脑上的所有软件都是盗版的，”他说。

报道称，恶意软件和不愿为软件付费的双重问题如此根深蒂固，以致在中国催生了另一种类型的安全企业。奇虎360的商业模式是提供免费的安全方案，公司则通过卖广告赚钱。

报道称，相比于软件盗版，中国政府更关注发展微软的本土替代品。美国情报机构前合同雇员爱德华·J·斯诺登泄密事件发生后，中国知道了美国在实施黑客袭击，于是开始加速推动开发更难攻破的中国自有品牌的软件和硬件。然而，截至目前，中国的大多数电脑依然使用Windows系统。

在谈到14日那场黑客袭击的影响时，帕朗蒂表示，他觉得这件事并不会对人们对盗版软件的态度产生太大影响。

（2017-05-17 08:23:16）

勒索病毒WannaCry进行变种 安全企业发现WannaSister病毒

中新网北京5月16日电 (记者 程春雨)记者从腾讯反病毒实验室获悉，通过搜集相关信息，初步判断WannaCry病毒在爆发前已存在于互联网中，且病毒目前仍然在进行变种。在监控到的样本中，腾讯发现疑似黑客的开发路径，有的样本名称已经变为“WannaSister.exe”，从“想哭(WannaCry)”变成“想妹妹(WannaSister)”。

腾讯反病毒实验室向记者表示，根据目前掌握的信息，该病毒12日大规模爆发前，就已经通过挂马的方式在网络中进行传播。WannaCry在12日爆发是因为黑客更换了传播的武器库，挑选了泄露的MS17-010漏洞。

“自12日后，WannaCry病毒样本出现了至少4种方式来对抗安全软件的查杀，这也再次印证了WannaCry还在一直演化。”腾讯反病毒实验室称，已获取的样本中找到一个名为WannaSister的样本，这个样本是病毒作者持续更新，用来逃避杀毒软件查杀的对抗手段之一。

在分析的过程中，腾讯反病毒实验室发现，WannaCry在演化中为躲避杀毒软件的查杀，有的样本在原有病毒的基础上进行了加壳的处理；有的样本在代码中加入了许多正常字符串信息，在字符串信息中添加了许多图片链接，并且把WannaCry病毒加密后，放在了自己的资源文件下，混淆病毒分析人员造成误导。

此外，有的样本中发现病毒作者开始对病毒文件加数字签名证书，用签名证书的的方式来逃避杀毒软件的查杀；病毒作者在一些更新的样本中，也增加了反调试手法，例如通过人为制造SEH异常改变程序的执行流程，注册窗口Class结构体将函数执行流程隐藏在函数回调中等。

不过广大网友不必太惊慌。国内官方以及多家安全企业最新消息显示，针对勒索病毒已经找到了有效的防御方法，WannaCry勒索软件还在传播，但周一开始传播速度已经明显放缓，用户只要掌握正确的方法就可以避免被感染。(完)

谁是勒索软件幕后黑手？美媒：线索指向朝鲜黑客 尚不确定

参考消息网5月16日报道 美媒称，情报官员和私企安全专家说，新的数字线索表明，开展大规模勒索软件攻击并导致世界各地电脑系统瘫痪的嫌疑人，有可能是与朝鲜有关联的黑客。

据美国《纽约时报》5月16日报道，研究人员警告说，这些线索远远谈不上具有决定性，可能要再过数周乃至数月，调查人员才会对它们的结论有足够的信心，并正式把矛头指向日益大胆的平壤数字黑客军团。袭击者的武器的基础是从国家安全局窃取并于上月被发布的漏洞。

赛门铁克的安全专家发现这种名为“想哭”（WannaCry）的勒索软件的早期版本所用的一些工具，曾被用于攻击索尼影业，还曾在去年被用于攻击孟加拉国央行，在今年2月被用于攻击波兰的一家银行。该公司过去曾准确识别由美国、以色列以及朝鲜发起的攻击。美国官员15日表示，他们也发现了同样的相似之处。

所有这些攻击的源头最终都指向了朝鲜。奥巴马于2014年末正式指责朝鲜为了就索尼出品的喜剧片《刺杀金正恩》实施报复，破坏了该公司的计算机系统。该片杜撰了一个中情局（CIA）刺杀朝鲜领导人金正恩的阴谋。

报道称，“想哭”使用的计算机代码和被用于这三场攻击的代码有着惊人的相似。该代码尚未得到大范围使用，人们只在与朝鲜有关联的黑客发起的攻击中见过。谷歌和总部位于莫斯科的网络安全公司卡巴斯基的研究人员确认了代码的相似性。

不过，单单凭借这些线索还不能得出确定的结论。黑客常常相互借用并翻新攻击方法；人们还知道政府机构会在代码中植入“假旗”，以蒙蔽取证调查人员。

“截至目前，我们只掌握时间上的联系，”赛门铁克的调查人员埃里克·钱说。钱是首先识别出“震网”（Stuxnet）蠕虫的人之一。这种蠕虫曾被用于由美国和以色列主导的针对伊朗核计划的攻击；朝鲜曾借助它的力量从孟加拉国央行窃取数以百万计美元的资金。“我们希望看到更多的代码相似性，”他说，“这样才会更有把握。”

（2017-05-16 17:06:33）

别犯傻！给勒索病毒付赎金找回文档或遇“黑吃黑”

中新网北京5月17日电 (记者 程春雨)腾讯反病毒实验室对Wannacry病毒作者提供的比特币账户监控发现，截至目前已有约200个受害者支付了价值37万人民币的比特币，但黑客收到了赎金，他也无法准确知道是谁付的款，该给谁解密，甚至黑客间出现"黑吃黑"现象。

Wannacry病毒在刚刚过去的周末通过MS17-010漏洞在全球范围内大爆发，感染了大量的计算机。欧洲刑警组织表示，WannaCry病毒截至前日已感染全球150个国家逾30万部计算机。

中国国家互联网应急中心表示，目前，安全业界暂未能有效破除Wannacry病毒的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

来自国内外权威机构发布消息显示，目前Wannacry病毒蔓延势头已受到控制。而对受害者来说，目前面临的一个重要的问题，是该不该付赎金？

但有外媒报道称，美国国土安全部的电脑紧急应对小组说，支付赎金也不能保证加密文件会被释放，还可能让这些黑客获得他们的银行信息。

360公司认为，交赎金并无法确保能恢复文件。虽然已经有国外研究机构验证，交付赎金后确实可解密文件。

据了解，勒索病毒采用一机一密，支付后将对应的代码通过匿名网络发给病毒作者，验证后就可以解密文件。

腾讯反病毒实验室经过最新分析发现，WannaCry病毒提供的赎回流程可能存在一个让受害者更加悲惨的漏洞，支付赎金的操作是一个和计算机弱绑定的操作，并不能把受害计算机的付款事实传递给黑客。通俗点说，即使黑客收到了赎金，他也无法准确知道是谁付的款，该给谁解密。

腾讯反病毒实验室发现“冒牌Wannacry”就将收款地址修改为了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV。

“Wannacry病毒的受害者对于支付赎金一定要慎重考虑，对于通过付款赎回被加密的文件，不要抱太大的期望。”腾讯反病毒实验室称，对病毒作者提供的比特币账户进行监控，发现截至发稿为止已有约200个受害者付款，价值37万人民币的比特币被转到黑客账户。

经过对Wannacry病毒变种的持续监控，腾讯反病毒实验室分析人员还发现了"黑吃黑"的现象，有其他黑客通过修改"原版Wannacry"比特币钱包地址，做出了"改收钱地址版Wannacry"重新进行攻击。而这一部分新的受害者支付的赎金，都进修改者的钱包，他们文件也基本不可能赎回了，因为他们"付错对象了"。(完)