上周末,一場大規(guī)模的勒索病毒肆虐全球。受害者的電腦會(huì)被病毒鎖定,需向黑客支付比特幣之后才能解開。
5月14日,新京報(bào)記者從證監(jiān)會(huì)、銀監(jiān)會(huì)、券商、銀行等機(jī)構(gòu)證實(shí),證監(jiān)會(huì)和銀監(jiān)會(huì)均針對近日全球爆發(fā)的大規(guī)模比特幣勒索病毒感染事件發(fā)文要求各地證監(jiān)局、銀監(jiān)局以及券商、銀行、基金等機(jī)構(gòu)進(jìn)行自查并做好防護(hù)。
有消息稱,在這場病毒侵襲中,高校受到的攻擊最為嚴(yán)重,金融系統(tǒng)的安全也引發(fā)了廣泛關(guān)注。這場病毒來自何方?為何會(huì)選擇比特幣作為解鎖手段?高校為何“首當(dāng)其沖”?金融系統(tǒng)是否將遭受沖擊?新京報(bào)記者采訪相關(guān)監(jiān)管部門和企業(yè),追問這場病毒帶來的影響。
證監(jiān)會(huì)內(nèi)部人士稱14日停網(wǎng)待打補(bǔ)丁
昨日,監(jiān)管部門內(nèi)部人士向新京報(bào)記者表示證監(jiān)會(huì)和銀監(jiān)會(huì)首先要求自查并做好技術(shù)防護(hù),同時(shí),發(fā)文到地方監(jiān)管局要求其落實(shí)文件,并將文件轉(zhuǎn)給分管金融機(jī)構(gòu)自查并做好防護(hù)。
證監(jiān)會(huì)內(nèi)部人士對新京報(bào)記者表示,5月14日,會(huì)里已下發(fā)文件要求自查并做好防護(hù)。為了隔離比特幣勒索病毒,證監(jiān)會(huì)于5月14日全天停網(wǎng),并將于15日上班時(shí)間進(jìn)行全方位打“補(bǔ)丁”。不過,“每個(gè)電腦安裝補(bǔ)丁應(yīng)該很快就能好”。
昨晚,多地銀監(jiān)局人士向新京報(bào)記者確認(rèn),5月14日已經(jīng)收到銀監(jiān)會(huì)統(tǒng)一下發(fā)的文件,要求銀監(jiān)局做好部署防范。同時(shí),根據(jù)批示,在自查自護(hù)的同時(shí),要求銀監(jiān)局將文件轉(zhuǎn)給分管金融機(jī)構(gòu)。
新京報(bào)記者另從多家銀行獲悉,銀行已經(jīng)下發(fā)《關(guān)于防范“蠕蟲”式勒索軟件(ONION)病毒攻擊的通知》(下稱《通知》),要求提前做好病毒的防范工作,仔細(xì)逐一排查各項(xiàng)信息系統(tǒng)的漏洞隱患,防微杜漸,將信息科技風(fēng)險(xiǎn)降到最低。
新京報(bào)記者拿到的多份《通知》顯示,多家銀行主要采取了網(wǎng)絡(luò)安全防護(hù)措施及終端和數(shù)據(jù)安全防護(hù)措施:檢查互聯(lián)網(wǎng)出口和各區(qū)域網(wǎng)絡(luò)防火墻是否關(guān)閉或禁用445端口的訪問。要求各個(gè)機(jī)構(gòu)電腦聯(lián)絡(luò)員第一時(shí)間將病毒感染信息發(fā)送給所在機(jī)構(gòu)的微信群,并通知所在機(jī)構(gòu)的所有員工,近期盡量避免接入互聯(lián)網(wǎng)。
同時(shí),上述銀行科技信息部為所有Windows操作系統(tǒng)的電腦終端下載安裝微軟發(fā)布的補(bǔ)丁,修復(fù)病毒攻擊的漏洞。
此外,上述銀行還要求,做好備份電腦中的重要文件資料到移動(dòng)存儲(chǔ)介質(zhì),備份后脫機(jī)保存存儲(chǔ)介質(zhì)。如果發(fā)生“蠕蟲”中毒事件,科技部第一時(shí)間隔離感染,關(guān)閉銀行互聯(lián)網(wǎng)出口和445端口,避免“蠕蟲”在內(nèi)網(wǎng)的快速傳播。
新京報(bào)記者從某券商信息技術(shù)總部接到的《通知》看出,證監(jiān)會(huì)機(jī)構(gòu)部、當(dāng)?shù)刈C監(jiān)局和證券業(yè)協(xié)會(huì)已要求券商自查并做好預(yù)防保護(hù),并于5月14日中午12點(diǎn)前反饋。
為了應(yīng)對證監(jiān)會(huì)的《通知》,該券商也發(fā)了應(yīng)對通知,制定相關(guān)技術(shù)應(yīng)急處置方案,并進(jìn)行各業(yè)務(wù)系統(tǒng)的檢查和持續(xù)加固。應(yīng)急處置方案通過郵件、短信、OA系統(tǒng)等發(fā)出,提醒各部門、各分公司、子公司、營業(yè)部老總安排人員14日中午前完成協(xié)同檢查,落實(shí)防護(hù)措施。
支付寶微信稱未受影響
相較于傳統(tǒng)端口,比特幣病毒席卷之下,主要依賴網(wǎng)絡(luò)進(jìn)行支付的機(jī)構(gòu)是否受到影響?14日下午,多家網(wǎng)絡(luò)支付機(jī)構(gòu)向新京報(bào)記者表示,目前沒有受到病毒的影響。
支付寶方面表示,支付寶“沒有受到任何影響”。支付寶相關(guān)負(fù)責(zé)人也向記者回應(yīng)稱,“中石油斷網(wǎng)確切原因我們尚不清楚,但可以確認(rèn)的是支付寶與中石油的支付接口目前無任何問題,可正常提供支付服務(wù)?!?/p>
相關(guān)人士所稱的“斷網(wǎng)”,源自5月14日,中石油在官網(wǎng)發(fā)布公告確認(rèn),因受比特幣勒索病毒影響,5月12日晚間,公司所屬部分加油站正常運(yùn)行受到波及,導(dǎo)致只能使用加油卡和現(xiàn)金進(jìn)行支付。
上述支付寶相關(guān)負(fù)責(zé)人表示,支付寶目前并沒有受到該病毒任何影響?!爸Ц秾毤皶r(shí)發(fā)現(xiàn)了此威脅并進(jìn)行了全面保護(hù)。我們會(huì)一直為用戶提供最好的安全保護(hù)?!?/p>
此外,騰訊財(cái)付通相關(guān)人士當(dāng)日也向記者表示,“沒有影響”。
該人士向記者提供一份騰訊安全團(tuán)隊(duì)的舉措材料顯示,在防范上,騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全技術(shù)專家馬勁松指出,可采取幾種手段。一是臨時(shí)關(guān)閉端口;同時(shí),及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁。此外,可利用騰訊電腦管家“勒索病毒免疫工具”進(jìn)行修復(fù)。另外,重要的資料一定要備份。
5月14日下午,記者分別通過支付寶和微信進(jìn)行一筆消費(fèi)支付,支付過程中均未出現(xiàn)異常。
另外,將蘋果iTunes作為最大客戶的易聯(lián)支付董事長朱啟文對新京報(bào)記者表示,目前公司沒有受到影響。在辦公環(huán)境,易聯(lián)支付不會(huì)接受任何從外界發(fā)起的連接。
中石油加油站系統(tǒng)遭攻擊,昨起部分恢復(fù)
全球比特幣勒索病毒爆發(fā),國內(nèi)部分加油站也成為受害者。
中石油5月14日下午在官網(wǎng)發(fā)布公告確認(rèn),因全球比特幣勒索病毒爆發(fā),公司所屬部分加油站正常運(yùn)行受到波及。截至14日12時(shí)80%以上加油站已恢復(fù)網(wǎng)絡(luò)連接,受病毒感染的加油站陸續(xù)恢復(fù)加油卡、銀行卡、第三方支付功能。
中石油稱,5月12日22時(shí)30分左右,因全球比特幣勒索病毒爆發(fā),公司所屬部分加油站正常運(yùn)行受到波及,病毒導(dǎo)致加油站加油卡、銀行卡、第三方支付等網(wǎng)絡(luò)支付功能無法使用。
在國內(nèi),中石油為僅次于中石化的第二大加油站運(yùn)營企業(yè),其他同業(yè)企業(yè)并未發(fā)生被攻擊事件。
在加油站管控系統(tǒng)服務(wù)商喂車科技官微發(fā)布的一篇文章中,喂車科技表示,傳統(tǒng)油站系統(tǒng)更容易遭受病毒攻擊的原因在于時(shí)間久遠(yuǎn),缺乏有效的安全維護(hù),更容易被病毒利用,而且網(wǎng)絡(luò)方案陳舊,隔離度不足,更容易引起病毒傳播。
不過,另一位加油站行業(yè)人士表示,客觀而言,如果沒有這次攻擊的話,中石油的系統(tǒng)在行業(yè)內(nèi)并不算太差。這次中石油支付系統(tǒng)出事其實(shí)有些“倒霉”,因?yàn)楦鷦e的同行業(yè)企業(yè)相比,就他們使用了Windows系統(tǒng)。
5月14日,一位加油站企業(yè)負(fù)責(zé)人對新京報(bào)記者表示,中石油支付系統(tǒng),因?yàn)榻⒃赪indows系統(tǒng)上,未做相關(guān)端口的安全防范及補(bǔ)丁修復(fù),由漏洞工具“永恒之藍(lán)”攻擊導(dǎo)致中毒。喂車科技等其他同業(yè)企業(yè)也有部分服務(wù)建立在Windows系統(tǒng)之上,不過其及時(shí)關(guān)注到漏洞發(fā)布并做了防范,所以未受影響。
面對突發(fā)事件,5月13日,中石油緊急中斷所有加油站上連網(wǎng)絡(luò)端口,并會(huì)同有關(guān)網(wǎng)絡(luò)安全專家連夜開展處置工作,全面排查風(fēng)險(xiǎn),制定技術(shù)解決方案。截至14日12時(shí)80%以上加油站已恢復(fù)網(wǎng)絡(luò)連接。
5月14日,新京報(bào)記者來到位于大興區(qū)小紅門路的中石油加油站,有車主正在使用現(xiàn)金支付。工作人員告訴記者,14日上午本站恢復(fù)微信等支付功能正常使用,中午時(shí)候中石油其他加油站也恢復(fù)正常。
對于加油站未來如何規(guī)避病毒攻擊,上述加油站企業(yè)負(fù)責(zé)人建議,系統(tǒng)安全是支付系統(tǒng)關(guān)注的重點(diǎn),首先秉著最小權(quán)限和最小開放的原則,需要對整個(gè)系統(tǒng)進(jìn)行權(quán)限設(shè)置管理,關(guān)閉不必要的端口及服務(wù)。其次,對于運(yùn)行程序的基礎(chǔ)系統(tǒng)需要隨時(shí)關(guān)注其動(dòng)態(tài)與世界同步信息,第一時(shí)間發(fā)現(xiàn)問題解決問題。
■抗毒一線
“開始很蒙,不知病毒怎么進(jìn)來的”
外界意識(shí)到永恒之藍(lán)病毒是在上周末,對于從事安全工作的工程師,早在上周前兩天,就已經(jīng)開始忙碌起來了。
在最近一周的病毒狙擊戰(zhàn)中,安全工程師們歷經(jīng)失落與興奮,心情會(huì)隨著病毒的一波波攻擊而跌宕。
“失落感是上周前幾天,從對系統(tǒng)日志等的觀察中已經(jīng)發(fā)現(xiàn)了一些異常,但那段時(shí)間很蒙,不知道病毒怎么進(jìn)來的,經(jīng)過幾天跟蹤后查到原因,反而豁然開朗,因?yàn)檫@就有目標(biāo)了,只要找到原因,一步一步向前推導(dǎo)來排查,就不害怕了”,在一家互聯(lián)網(wǎng)安全軟件公司工作的反病毒人員劉海粟,向新京報(bào)記者講述了他近一周的病毒狙擊戰(zhàn)的過程。
在病毒爆發(fā)的周五(12日)晚上,劉海粟接到同事朋友的求助,朋友遭遇的這場嚴(yán)重的入侵行為,恰好是之前該公司團(tuán)隊(duì)就已經(jīng)在跟進(jìn)的入侵方法,那時(shí)候覺得“這已經(jīng)是不幸中的萬幸”,知道病毒是如何來的,不用再從零開始復(fù)盤,可以有的放矢,跟團(tuán)隊(duì)一起提出應(yīng)對策略。
在與勒索病毒交戰(zhàn)過程中,劉海粟還記得曙光乍現(xiàn)的那一刻。在幫助用戶遠(yuǎn)程看電腦Windows系統(tǒng)日志的過程中,因?yàn)槿罩竞艽致裕鸪鯖]抱太大希望,但突然看到服務(wù)啟動(dòng)這一項(xiàng),憑經(jīng)驗(yàn)看不是正常程序,從而鎖定病毒樣本。鎖定病毒樣本之后,后續(xù)的分析就有跡可循,相對簡單多了。